Vectra Masked CISOシリーズは、セキュリティリーダーがセキュリティにおける最大の問題を暴露し、その克服方法について同僚に助言する場を提供する。
私は数え切れないほど見てきた。また別のCISOが取締役会に出席し、自社のコンプライアンス状況を示す統計資料を読みあさる。ISO27001に75%準拠しているのは素晴らしいことだが、これでリスクのレベルについて何がわかるというのだろうか?
ISOコンプライアンスの問題点
実際のところ、ISO 27001の114の管理策をすべて実施するのに何年も費やしても、決意の固い攻撃者なら数時間で防御を迂回することができます。敵は絶えずTTP(戦術、技術、手順)を更新し、誤りを犯しやすい従業員を騙しているため、いくらコンプライアンスを遵守しても、すべての基盤をカバーすることはできません。では、なぜCISOは古い安全毛布のようにコンプライアンスの数字にしがみついているのだろうか?
取締役会は、進歩の明確な兆候に好意的な反応を示す傾向があるが、安全保障の分野でこれを測定するのは、なかなか難しい。しかし、私たちは会話を変えなければならない。リスク=脅威×脆弱性という古典的なリスク管理の方程式では、脅威アクターのモチベーション、スキル、リソースをコントロールすることはできない。包括的なコンプライアンス戦略に全リソースを投入しても、失敗する可能性がある。
"スレッドリード "であれ
そうではなく、脅威を考慮したアプローチが必要である。つまり、最も価値のある資産、組織を狙う可能性のある人物を特定し、特定されたリスクを軽減するための活動に優先順位をつけることである。CISOは、セキュリティをテストする際の平均侵入時間や、脅威を検知するまでの平均時間といった意味のある指標を用いて、侵入されたかどうかを発見する能力に基づいてセキュリティを評価すべきである。そして、CISOは、これらの数値を合意されたレベルまで引き下げるよう努めることができる。
このデータを得るためには、包括的なレッドチーム演習が不可欠である。レッドチームは、テクノロジー、人材、プロセスをテストし、盲点を探り、侵入するための異例の方法を見つける。これはまさに、有能な脅威アクターがどのように活動するかということである!これによって、何が隙を突いたのかについての貴重なデータが得られるため、CISOはそれに応じて優先順位をつけ、検知 、侵害が発生するまでの平均時間を短縮することができる。しかし現在、レッドチーム演習を受ける組織はほとんどない。これは攻撃者の耳に心地よいものであり、攻撃者が攻撃する前に成熟するための息抜きの時間を与えようとはしない。レッドチーム演習は、成熟度が十分でなく、現実の脅威を軽減するための優先順位付けができない場合に実施されるべきである。
結果を客観的に測定することなく、これほど多くの投資を行う業界は他にない。クラッシュテストが行われなければ自動車を運転することはないだろう。TIBER-EUのようなスキームでは、銀行はレッドチーム・テストを実施し、単純なコンプライアンス・ベースラインを超えていることを確認するよう要求している。
次回の理事会で認識を高める
次回の取締役会では、コンプライアンスの数値は脚注にとどめましょう。その代わりに、攻撃者が貴社のビジネスを標的にする可能性とともに、情報漏えいがもたらすビジネスへの影響について考えるよう関係者に促す。さらに、攻撃が成功する確率についても議論する。CEOは、貴社がランサムウェアに襲われたときにタイムズ紙の一面を飾るかどうかを気にするだろう。システムがダウンしている間に取引ができなくなれば、CFOも同じように気にするだろう。
会議では、コンプライアンスを遵守し、プロジェクトが順調に進んでいることを示すのではなく、自社の弱点について議論し、それを軽減するための選択肢を取締役会に提示し、必要な予算を確保するよう働きかける。今日のダイナミックな脅威環境では、年度途中で計画を変更する必要が生じる可能性があるため、取締役会が、投資を行わないことを選択することによって受け入れるリスクを理解することが極めて重要である。
このブログはもともと『The Register』に掲載されたものです。