一番最近買ったのはサングラスだった。そのブランドの名前は聞いたことがなかったが、私はアイウェアが大好きで、インスタグラムのフィードに上がってきたロッククライマーの広告(私がすることではない)に引き込まれた。だから、なぜダメなのか?数回クリックし、スイスに本社があるというどこかの会社にクレジットカード番号を入力すると、カリフォルニアの冬の日差しを遮る新鮮なシェードが新しい住処を見つけた。
小売業がこんなにも身近な存在であることに驚かされる。探していないときでも、そこにある。メリー・ポピンズのようにバッグやポケットに手を入れて「今すぐ買う」をクリックするだけで、必要なものは何でも手に入る。その手軽さは否定できないが、別の側面もある。ダークサイド?もちろん、それだけではない。私たちが名前、住所、電話番号、Eメール、クレジットカード情報など、個人を特定できる情報(PII)を入力するとき、その情報が悪人の手に渡らないよう安全性を確保するのは誰の仕事だろうか?小売業者?消費者?私たちの情報がデータ漏洩に巻き込まれないようにするために雇われたセキュリティ・ベンダー?
端的に言えば、関係者全員である。10年以上サイバーセキュリティに携わってきた私は、小売業におけるデータ漏洩の可能性や、自分の情報が盗まれる可能性についてよく知っているが、自分の情報を入力する場所については、自分にも責任があることも知っている。ヨーロッパではGDPRが施行され、アメリカ西海岸ではカリフォルニア州消費者プライバシー法(CCPA)が施行された。しかし当然ながら、朝になって目を拭いたときに、またしても小売業者の情報漏えいが発覚する。
小売業へのサイバー攻撃を防御するセキュリティチームの前途は?
物事がひどくうまくいかないとき、指を指すのは簡単だが、違反という点では、多くの場合、誰に責任があるかということよりも、今後このようなことが起こらないようにするためにはどうすればよいかということの方が重要だ。おそらく、我々はいくつかの答えを掘り起こすことができる?
私のバラ色の視点(Vectra )から見ると、「ハイブリッドクラウド」という言葉は、子供の名前を口にするよりも1日に何度も耳にする。この辺りには、脅威検知とレスポンスに生き甲斐を持って取り組んでいる賢い人たちがたくさんいる。ハイブリッドクラウド 、リテール・サイバーセキュリティの未来と一体どんな関係があるのだろうか?それは、私たちが生きている世界であり、セキュリティチームが守るべき課題でもあるからだ。
ガートナーは、これを「社内外のクラウドサービスが混在する中で、ポリシーに基づいて調整されたサービスのプロビジョニング、利用、管理」と定義している。結局のところ、小売企業(あるいは本当にあらゆる組織)は現在、パブリッククラウド 、SaaS、アイデンティティ、ネットワーク、エンドポイント、そしてその間にあるあらゆるものが接続され、連携して動作する環境で事業を展開しているということだ。ネットワークはどこにでもあり、便利で、速く、効率的で、いつでも利用可能であり、アタックサーフェスを拡大する主な理由の1つである。実際、ガートナーは「攻撃対象の拡大」を今年のサイバーセキュリティのトレンドの第1位に挙げており、「攻撃に対して組織がより脆弱になる」と述べている。
攻撃対象の拡大により組織がより脆弱になっただけでなく、Vectraの製品担当SVPであるKevin Kennedyは最近のブログで、セキュリティチームは現在「より多くのスパイラル」の中で活動していると指摘している。
- 攻撃対象が増えるということは、ツールが増えるということであり、それは複雑さを意味する。
- 回避的な攻撃者が増えるということは、ルールが増えるということであり、それはアラートとチューニングが増えることを意味する。
- チューニングとメンテナンスをしなければならないアラート・ルールが増えるということは、アナリストが増え、仕事が増え、燃え尽き症候群になることを意味する。
現在、セキュリティチームは、「より多くの」脅威を担当することになり、ネットワーク全体に存在する自分たちが知らない脅威から防御することが求められている。未知の脅威は、彼らがSOCで日々直面する「より多くの」脅威によって引き起こされる。未知の脅威は、組織が今日直面しているサイバーセキュリティの唯一最大のリスクなのでしょうか?我々はそう考えている。
これらの未知の脅威は、小売企業(あるいはあらゆる企業)にとって何を意味するのだろうか?ケヴィンが指摘するように、「未知の脅威は、クラウドに基づくものであれ、アカウント乗っ取りやサプライチェーンへの攻撃であれ、単に組織内部に侵入し、横方向に移動する方法が増えただけである。」そのため、サイバー攻撃者が貴重な顧客の個人情報を持ち去ろうと計画を練っているとき、彼らはより多くの侵入経路を持ち、侵入後に隠れる方法を持ち、ひいてはセキュリティチームにとってより多くの仕事と課題を生み出すことになる。
小売企業のセキュリティチームは、どのようなサイバーセキュリティ対策を講じることができるのだろうか。
Vectra 、セキュリティ実務者が攻撃中に攻撃者が行うこと(ATT&CK)と攻撃技法に対処するために使用できる対策(D3FEND)を理解するために使用できる貴重なツールとして、MITRE ATT&CKと MITRE D3FENDの2つのリソースがよく引用される。例えば、クラウド、SaaS、アイデンティティ、ネットワークにわたるVectra の検知は、セキュリティチームが調査の結果について議論し、発表するのに役立つように、MITRE の ATT&CK にマッピングされている。MITREは、セキュリティ担当者にとって活用すべき賢明なリソースのように思えるが、ベンダーは、小売チームが次の攻撃に先手を打つのをどのように支援できるのだろうか。
世界のサイバーセキュリティ・スキル格差は340万人という驚くべき数字になっており、特にハイブリッド時代(クラウド)に議論したように、利用可能なセキュリティ・リソースには明らかな限界がある。スキル・ギャップがあるということは、より少ない人員でより多くの仕事をこなさなければならないということである。セキュリティチームが直面している仕事の多さ、そしてその多くは、仕事を増やすだけで何の役にも立たない誤検知を軽減するために、セキュリティ・アラートを常に調整しなければならないことである。そうでなければならないのだろうか。
その多くは、さまざまなセキュリティ責任をどのように管理できるか、また、自社にリソースがあるか、一部の作業を補強する方法が必要であるかによって決まります。特に、Vectra MDRチームでは、当社のセキュリティ専門家が、社内のセキュリティチームを追加リソースで補強する顧客と協力しています。Vectra小売業のお客様がVectra MDR をご利用になる理由は、お客様の環境の性質によって異なり、スキル不足、アナリストの燃え尽き症候群、ハントと調査、またはVectra プラットフォームの最適化などの課題に対処するための支援です。
ある小売業のお客様(グローバル2000企業)は、クラウド、特にMicrosoft 365の複雑さにより、脅威の可視化という課題に直面していました。このケースでは、緊急の脅威に対処するためにAI主導のAttack Signal Intelligenceを活用したVectra プラットフォームを導入したが、手持ちのセキュリティチームが少人数であったため、24時間365日脅威をカバーするためのリソースを確保するためにVectra MDRを活用することにした。
「私たちは、セキュリティ担当者を中心とした3人のチームで、検知やアラートの調査やフォローアップを行っています。また、Vectra MDRサービスを利用しています。これは、優れた顧客視点で物事を調べる熟練した人材を提供することで、大いに役立っています。」 ITセキュリティの責任者
このチームは、リスクと自分たちで対処できることを把握し、それに従って構築した。しかし、この小売業者のような企業には、答えを知らない人がその2倍はいるかもしれない。小売業のセキュリティチームは、他の業界のセキュリティチームよりも悪いのだろうか?それを数値化できるかどうかはわかりませんが、一人でやっているのであれば、処理することがたくさんあるように思われます。米国人口の80%(2億6300万人)がオンラインで買い物をしており、消費者の要求の厳しさは確かに証明できる。
瞬間的な満足感はさておき、小売企業のセキュリティチームは、より差し迫った課題を抱えている。IBMの「Cost of Data Breach 2022」レポートでは、全データ侵害の約半数(45%)がクラウドで発生していることを挙げている。同レポートでは、AIと自動化が最大のコスト削減をもたらすことを挙げており、「AIと自動化プログラムを完全に導入している組織は、そうでない組織よりも28日早く侵害を特定し、封じ込めることができた」と述べている。私たちは、ヒューマンインテリジェンスと人工知能が協力して大きな課題を克服できる時代に向かっているだけでなく、すでにそこにいるのだ。小売店のセキュリティチームにとって朗報なのは、攻撃者がクラウドデータや SaaS 環境を狙ったとき、それを知る方法があるということだ。
Vectra MDRとVectra Attack Signal Intelligenceがハイブリッドクラウド 全体で未知の脅威を阻止するのに役立ちます。