この記事のバージョンはMariselaOrdazによって翻訳されました [サイバーセキュリティ]は、道路や車の安全とセキュリティとして考えてください。車は過去30年間実際に変更されていませんが、多くのセキュリティが組み込まれており、命を救う瞬間までセクシーではありません。隠されたビット(エアバッグ)と、シートベルトのように安全であることを思い出させるためのビットがあります…それのいくつかは、良い行動と良い態度に関するものであり、いくつかはリスクがあることを思い出させるための物理的セキュリティに関するものです。その一部はあなたを救うために焼き付けられています。
– Sian John、Symantecのシニアサイバーセキュリティストラテジスト
認めます。サイバーセキュリティはセクシーではありません。しかし、今日のデジタル時代では、サイバーセキュリティは大企業と小規模の新興企業の両方にとってますます重要になっています。今日、「すべての企業がテクノロジー企業になっている」ため、その賭け金はかつてないほど高くなっています。テクノロジーは企業の運営を補完する以上のものになり、多くの場合、ネットワーク上に存在する資産は 彼らのコアオペレーション。これは、モバイルの使用やモノのインターネットの台頭、およびサイバー犯罪者のエコシステムの成長により、ハッキングが一般的になりつつあるという事実によってさらに複雑になっています。
この記事では、サイバー犯罪者の種類、サイバー犯罪の戦術、および要因について概説します。この作品には、企業が自らを守るために使用できる具体的なソリューションも含まれています。ソリューションには、技術的な保護手段と人的要素の両方が含まれます。たとえば、リーダーシップはサイバーセキュリティを単なる「IT問題」ではなく戦略的なビジネス問題として認識しなければなりません。さらに、従業員教育やユーザーの2要素認証など、最も効果的なソリューションのいくつかはかなり基本的なものです。
簡単に言えば、サイバー犯罪とは、ある種のコンピューターまたはサイバーの側面を伴う犯罪です。それは、さまざまな形式で、さまざまな動機付け要因を持つ個人またはグループから形を成すことができます。サイバー脅威は、個人の小さなグループが不釣り合いに大量の損害を引き起こす可能性があるという点で、基本的に非対称のリスクです。
金銭的に動機付けられた組織犯罪グループ: これらのグループのほとんどは東ヨーロッパにあります
国民国家の関係者: 政府が機密情報を盗み、敵の能力を破壊するために直接的または間接的に働いている人々。彼らは一般的に最も洗練されたサイバー攻撃者であり、30%が中国を起源としています。
活動家グループ、または「ハクティビスト」: 通常、お金を盗むために出かけることはありません。彼らは自分たちの宗教、政治、または大義を宣伝するために出かけています。評判に影響を与えたり、クライアントに影響を与えたりします。
インサイダー: これらは、企業内で活動している「幻滅した、恐喝された、あるいはあまりにも役に立った」従業員です。ただし、意図的にサイバー犯罪活動に従事することはできません。一部の人は、それが引き起こす可能性のある害に気付かずに、単に連絡先リストまたは設計文書を取得する可能性があります。
サイバー犯罪者の平均年齢は35歳で、犯罪ハッカーの80%が組織犯罪に関与しています。要するに、人々はこれを職業として選びます。
サイバー犯罪者は、静的な方法と動的な方法の両方を利用して犯罪を犯します。掘り下げてみましょう。
DDoS攻撃は、ネットワークのサービスを妨害しようとします。攻撃者は、ネットワークが過負荷になり機能を停止するまで、ネットワークを介して大量のデータまたはトラフィックを送信します。被害者を氾濫させる着信トラフィックは、多くの異なるソース、場合によっては数十万から発生します。これにより、単一のIPアドレスをブロックして攻撃を阻止することが不可能になり、正当なトラフィックと攻撃トラフィックを区別することが困難になります。
多くの場合、信頼できるサードパーティからのデータの要求を装って、フィッシング攻撃が電子メールで送信され、ユーザーにリンクをクリックして個人データを入力するように求めます。多くの場合、心理的な操作、緊急性や恐怖の喚起、無防備な個人をだまして機密情報の引き渡しを行います。
要因に関していくつかあります。まず、フィッシングメールは洗練されており、多くの場合、正当な情報要求のように見えます。第二に、フィッシングテクノロジーは現在、オンデマンドのフィッシングサービスや既製のフィッシングキットなど、サイバー犯罪者にライセンス供与されています。おそらく最も懸念されるのは、ダークウェブサービスによってサイバー犯罪者がキャンペーンやスキルを磨くことができるようになったという事実です。実際、フィッシングメールは、通常の消費者向けマーケティングメールよりも6倍クリックされる可能性があります。
「悪意のあるソフトウェア」の略であるマルウェアは、コンピューターにアクセスしたり、コンピューターに損傷を与えたりするように設計されています。マルウェアは、トロイの木馬、ウイルス、ワームなど、多数のサイバー脅威の総称です。多くの場合、電子メールの添付ファイル、ソフトウェアのダウンロード、またはオペレーティングシステムの脆弱性を通じてシステムに導入されます。
ウィキリークスに情報を漏らした悪意のあるインサイダーはすべての報道と栄光を受け取りますが、より一般的なシナリオは、平均的でありながら日和見主義の従業員またはエンドユーザーが、将来のどこかで現金化することを期待して機密データを密かに取得することです(時間の60%) 。時々、従業員は少し好奇心をそそられ、いくつかの詮索をします(17%)。個人情報と医療記録(71%)は、個人情報の盗難や確定申告詐欺などの金融犯罪の標的になっていますが、単にゴシップを目的としている場合もあります。
これらの攻撃には、支払いカードから磁気ストライプデータを読み取る資産(ATM、ガスポンプ、POS端末など)への物理的な埋め込みが含まれます。このような攻撃は比較的迅速かつ簡単に実行でき、比較的高い利回りが得られる可能性があります。また、人気のあるアクションタイプ(8%)も同様です。
3年前、ウォールストリートジャーナルは、米国でのサイバー犯罪のコストは1,000億ドルと推定しました。他の報告によると、この数字はこれの10倍にもなると推定されています。 2017年のデータ侵害の平均コストは、2014年の5.85ドルに対し、735万ドルです。コストには、検出、封じ込め、復旧から、ビジネスの中断、収益の損失、機器の損傷まで、あらゆるものが含まれます。金銭的な懸念だけでなく、サイバー侵害は企業の評判や顧客の信用などの無形資産を台無しにする可能性もあります。
興味深いことに、最高レベルのビジネスイノベーションを実現している企業は、多くの場合、コストのかかる攻撃を受けます。 「ビジネスイノベーション」とは、買収や売却から新しい地理的市場への参入まで、何でもかまいません。企業の買収または売却により、サイバー犯罪のコストが20%増加する一方で、重要な新しいアプリケーションの立ち上げにより、コストが18%増加することが示されました。
金融サービス会社の場合、セキュリティ違反後のコストは、ビジネスの中断、情報の損失、収益の損失、およびその他のコストに起因する可能性があります。
残念なことに、業界は免除されていませんが、サイバーセキュリティの問題は金融サービスで特に顕著です。 2017年のベライゾンデータ侵害調査レポートによると、侵害の24%が金融機関(トップ業界)に影響を及ぼし、続いて医療機関と公共部門が影響を受けました。比較のために、2012年には、この業界は防衛、公益事業、エネルギー業界に次いで3番目にランク付けされました。頻度を超えて、企業の資金調達コストはすべての業界の中で最も高く、2013年には平均1650万ドルを失っています。
金融サービスでは、最も一般的なタイプのサイバー侵害にはDDoS攻撃が含まれていました。そして、すべてのDDoS攻撃に関して、金融業界は最も大きな打撃を受けました。
2012年には、6つの主要なアメリカの銀行(バンクオブアメリカ、JPモルガンチェース、シティグループ、米国銀行、ウェルズファーゴ、PNC)が、中東の関係を主張するグループによるコンピューター攻撃の波の標的になりました。この攻撃により、インターネットの停電とオンラインバンキングの遅延が発生し、アカウントにアクセスしたり、オンラインで請求書を支払うことができなかった顧客を苛立たせました。
これらはDDoS攻撃であり、ハッカーが銀行のWebサイトを圧倒してシャットダウンしました。攻撃はまた、犯罪者の入札を行う感染したコンピューターのネットワークであるボットネットを利用しました。ボットネットは、「マスターボットネット」のコマンドに従う「ゾンビコンピューター」と呼ばれることもあります。残念ながら、これらは闇市場を通じて貸し出されたり、犯罪者や政府によって貸し出されたりする可能性があります。
2014年の夏、これまでのアメリカの銀行の最大のセキュリティ侵害で、約8300万のアカウントの名前、住所、電話番号、および電子メールアドレスがハッカーによって侵害されました。皮肉なことに、JPモルガンは毎年約2億5000万ドルをコンピュータセキュリティに費やしています。 2014年の違反は、洗練された計画の結果ではありませんでした。この攻撃では、闇市場で何百万ドルも売れている新しいソフトウェアのバグであるゼロデイ攻撃は使用されませんでした。また、北朝鮮のハッカーがソニーのサイバー攻撃に使用したマルウェアも利用していませんでした。むしろ、問題の原因は基本的なものでした。銀行は、ユーザーがデータやアプリケーションにアクセスするためにサインインする際のセキュリティの追加レイヤーである2要素認証を採用していませんでした。 JPMorganのセキュリティチームは、ネットワークサーバーの1つをデュアルパスワードスキームでアップグレードすることを怠りました。それだけでした。
2016年2月、国境を越えた送金を促進する11,000を超える銀行からなる国際コンソーシアムであるSociety for Worldwide Interbank Financial Telecommunication(SWIFT)がハッキングされました。 SWIFTネットワークのユーザーであるバングラデシュ銀行は8100万ドルのハッキングを受けました。ニューヨーク連邦準備銀行がさらに8億5000万ドルを送金した可能性のある他の30件の取引を阻止する前に、わずかな割合しか回収されませんでした。
これらの攻撃は、支払いネットワークが最も弱いリンクと同じくらい信頼できることを示しています。業界の多くは、この攻撃に驚かされませんでした。サイバーセキュリティ企業であるGothamDigitalScienceの共同創設者であるJustinClarke-Saltによると、攻撃はシステムの弱点を悪用しました。すべての機関が同じ方法でSWIFTへのアクセスを保護しているわけではありません。結局のところ、「攻撃者は攻撃しやすい人々を攻撃することがよくあります…私たちが公に報告されていることから遠く離れて、彼らは非常に小規模な金融機関を標的にしています。これはおそらく、コントロールがあまり洗練されていないためです。」
ニュースは大企業(Target、Yahoo、Home Depot、Sony)への攻撃を取り上げることがよくありますが、中小企業はではありません。 免疫。 2016年のStateofSMB Cybersecurity Reportによると、過去12か月間に、ハッカーは米国内の中小企業の半分を侵害しました。
一方では、中小企業はサイバー攻撃から回復できない可能性があると主張する人もいます**。 **SymantecのシニアサイバーセキュリティストラテジストであるSianJohnによると、セキュリティの問題に見舞われた企業は、通常に戻る前の1年後に企業に「大規模な評判と財務上の打撃」を経験します。彼女は、「あなたが小さな会社なら、その落ち込みを乗り切ることができますか?」と質問しました。
一方、他の人は、中小企業には利点があると主張しています。「大企業は中小企業よりも脆弱です。大企業には大きなデータプールがあり、何百人もの人々がアクセスする必要があります。規模を拡大し、ビジネスプロセスについて賢く、それらのビジネスプロセスが悪用される可能性のある場所を理解することは、大規模な組織よりも簡単です」と、PricewaterhouseCoopersのパートナーであるRichardHorneは宣言しました。
サイバー犯罪者は現在、攻撃の効率を高めるために企業のベストプラクティスを採用しています。最も進取的な犯罪者の中には、あまり洗練されていない犯罪者にハッキングツールを販売またはライセンス供与しているものがあります。たとえば、プロの犯罪者は、ゼロデイテクノロジーを公開市場の犯罪者に販売しており、そこではすぐにコモディティ化されています。ギャングはまた、被害者が金銭的要求を満たすまでコンピューターファイルを凍結し、ライセンスを提供するための削減を行うサービスとしてランサムウェアを提供しています。
現在、サイバー犯罪者が活用できるリソースのエコシステム全体があります。 「高度な犯罪攻撃グループは、現在、国民国家の攻撃者のスキルセットを反映しています。彼らには豊富なリソースと高度なスキルを備えた技術スタッフがいて、通常の営業時間を維持し、週末や休日を休むことさえできます。低レベルの犯罪者がコールセンターの運用を作成して、その影響力を高めています。詐欺」と、SymantecのディレクターであるKevinHaley氏は述べています。
サードパーティがハッキングされた場合、会社はビジネスデータを失ったり、従業員情報を危険にさらしたりするリスクがあります。たとえば、4,000万の顧客アカウントを侵害した2013年のターゲットデータ侵害は、サードパーティの暖房および空調ベンダーからネットワーク資格情報が盗まれた結果でした。 2013年の調査によると、その年のデータ侵害調査の63%はサードパーティのコンポーネントに関連していました。
オンラインターゲットの数が増加しているため、ハッキングはかつてないほど容易になっています。リテールバンキングでは、モバイルデバイスやアプリの使用が爆発的に増加しています。 2014年のBain&Companyの調査によると、モバイルは22か国中13か国で最も使用されている銀行チャネルであり、世界のすべてのインタラクションの30%を占めています。さらに、消費者はモバイル決済システムを採用しています。フィンテックの新興企業と競合する銀行にとって、顧客の利便性は引き続き重要です。彼らは、潜在的な不正損失と、より不便なユーザーエクスペリエンスによる損失を比較検討する必要があるかもしれません。一部の機関では、高度な認証を利用してこれらの追加のセキュリティリスクに立ち向かい、顧客が音声および顔認識を介して自分のアカウントにアクセスできるようにしています。
モノのインターネット(IoT)は、電化製品、車両、建物など、さまざまなデバイスを相互接続できるという考えに専念しています。たとえば、アラームが午前7時に鳴った場合、コーヒーメーカーにコーヒーの淹れ方を開始するように自動的に通知することができます。 IoTは、マシン間通信を中心に展開します。モバイル、仮想、そして瞬時の接続を提供します。現在、10億を超えるIoTデバイスが使用されており、2020年までに500億を超えると予想されています。問題は、多くの安価なスマートデバイスに適切なセキュリティインフラストラクチャがない場合が多いことです。各テクノロジーのリスクが高い場合、組み合わせるとリスクが指数関数的に増大します。
サイバーセキュリティとその脅威に関するヘッドラインにもかかわらず、企業の認識とそれに対処する準備の間にギャップが残っています。昨年、ハッカーは米国の中小企業全体の半分を侵害しました。 Ponemon Instituteの2013年の調査では、回答者の75%が、正式なサイバーセキュリティインシデント対応計画を持っていないと回答しました。回答者の66%は、組織が攻撃から回復する能力に自信がありませんでした。さらに、サイバーセキュリティ会社Mantaによる2017年の調査によると、中小企業の3分の1には、自らを保護するためのツールがありません。
戦術的に言えば、金融サービス企業は、攻撃の検出と対応の点で多くの改善が必要です。 2013年には、FS企業に対して開始された攻撃の88%が1日以内に成功しました。ただし、これらの21%のみが1日以内に発見され、発見後の期間では、40%のみが1日以内に復元されます。
サイバーセキュリティに対する「万能」ソリューションはありません。ただし、一般的に、ソリューションには、高度なテクノロジーと、従業員のトレーニングや会議室での優先順位付けなど、より「人間的な」コンポーネントの両方を含める必要があります。
リアルタイムインテリジェンスは、サイバー攻撃を防止および封じ込めるための強力なツールです。ハッキングの特定に時間がかかるほど、その結果のコストは高くなります。 Ponemon Instituteによる2013年の調査によると、ITエグゼクティブは、セキュリティ違反の事前通知が10分未満であれば、脅威を無効にするのに十分な時間であると考えています。侵害の通知がわずか60秒で、結果として生じるコストを40%削減できます。
BAESystemsのサイバーサービスディレクターであるJamesHatch氏によると、「[サイバー攻撃]を早期に発見することが重要です…[コンピューター]の10%を失うことと50%を失うことの違いかもしれません。」残念ながら、実際には、企業が悪意のある攻撃を発見するのに平均して7か月以上かかります。
企業は、自らを守るために、いくつかのより小さな戦術的なステップを踏むことができます。これらには以下が含まれます:
多層防御戦略の制定。 企業全体、すべてのエンドポイント、モバイルデバイス、アプリケーション、およびデータをカバーしていることを確認してください。可能な場合は、ネットワークとデータへのアクセスに暗号化と2要素または3要素認証を利用してください。
サードパーティベンダーの評価の実行、またはサードパーティとのサービスレベル契約の作成: 他の人が誰に何にアクセスできるかに関する「最小特権」ポリシーを実装します。サードパーティとの資格情報の使用を確認することを習慣にします。サードパーティが会社のセキュリティポリシーを遵守することを契約上義務付けているサービスレベルアグリーメント(SLA)を使用して、さらに一歩進めることもできます。 SLAは、サードパーティのコンプライアンスを監査する権利を会社に与える必要があります。
継続的にデータをバックアップします。 これは、被害者が金銭的要求を満たすまでコンピュータファイルを凍結するランサムウェアから保護するのに役立ちます。データへのアクセスに料金を支払う必要がないため、コンピュータやサーバーがロックされた場合、データのバックアップが重要になる可能性があります。
頻繁にパッチを適用します。 ソフトウェアパッチは、既存のソフトウェアのコードアップデートです。多くの場合、ソフトウェアのフルリリース間の一時的な修正です。パッチは、ソフトウェアのバグを修正したり、新しいセキュリティの脆弱性に対処したり、ソフトウェアの安定性の問題に対処したり、新しいドライバをインストールしたりする場合があります。
ソフトウェアアプリケーションのホワイトリストへの登録。 アプリケーションのホワイトリストに登録すると、コンピューターが承認されていないソフトウェアをインストールするのを防ぐことができます。これにより、管理者はより詳細な制御を行うことができます。
新たなトレンドは、アンチハッカー保険、またはサイバー保険です。その範囲はプロバイダーによって異なりますが、通常はセキュリティ違反や損失から保護します。保険会社は通常、クライアントあたりの容量を500万ドルから1億ドルに制限しています。 2016年10月の時点で、サイバー保険を購入したのは米国企業の29%にすぎません。ただし、サイバー保険市場全体は2025年までに200億ドルと推定されており、現在の32億5000万ドルから増加しています。保険会社は強気で、保険料は今後数年間で3倍になると予測しています。
組織が必要なサイバー保険の金額を決定するには、サイバーリスクを測定する必要があります。資産がサイバー攻撃によってどのように影響を受けるか、そしてそれらに優先順位を付ける方法を理解する必要があります。
業界のもう1つの新しいアイデアは、バグバウンティプログラムと呼ばれるものです。このプログラムでは、組織がセキュリティ上の欠陥を通知するために部外者(「友好的なハッカー」)に支払います。 GoogleやDropboxからAT&TやLinkedInに至るまで、さまざまな企業がすでにこの手法を採用しています。
「ITの問題」は戦略的なビジネスの問題になります。 多くのCEOやCFOにとって、ハッキングは敵を理解していないため、イライラする可能性があります。インスティテュート・オブ・リスク・マネジメントのリチャード・アンダーソン会長は、「ビジネス上の問題ではなく、オタクが世話をしているものと見なしている大企業にまたがって座っている人はまだたくさんいる」と語った。しかし、統計が示しているように、これは真実から遠く離れることはできません。
デロイトのホワイトペーパーは、専用のサイバー脅威管理チームを作成し、「サイバーリスクを意識した文化」を作成することを提案しています。また、組織は最高情報セキュリティ責任者(CISO)を指名することをお勧めします。たとえば、JPモルガンとターゲットのどちらも、2014年と2013年にそれぞれ違反したときにCISOを持っていませんでした。
基本に戻る:従業員のトレーニング。 データ漏えいは、多くの場合、人間の心理的な弱さの結果です。したがって、セキュリティ違反の警告サイン、安全な慣行(サーフィンをしている場所で、電子メールの添付ファイルを開く際に注意する)、および疑わしい乗っ取りに対応する方法について、従業員を教育することが重要です。
サイバーセキュリティの危険性に対する注目が高まっていることに対する一般的な反論は、「では、何ですか?攻撃を恐れて革新をやめることになっているだけですか?」 答えは、正確ではありません。ただし、企業がサイバーセキュリティを倫理の問題と見なすことが役立つ場合があります。つまり、サイバーセキュリティは単にテクノロジーの問題であるだけでなく、道徳の問題でもあるはずです。結局のところ、消費者を脆弱なままにするテクノロジーを作成して販売することは倫理的ですか?シリコンバレーの「成長または死」、そして時には近視眼的な文化では、これはおそらく不人気な態度です。
しかし、他の分野でも前例があります。たとえば、米国医師会と米国法曹協会は、専門家にそれぞれの倫理規定に従うことを義務付けています。医師は、歴史上最も古い拘束力のある文書の1つであるヒポクラテスの誓いを誓約する必要があります。これは、医師が患者を保護することを誓うものです。同様に、弁護士は職業上の行動のモデル規則に従い、クライアントを保護し、尊重することを誓います。
テクノロジーは行き来するかもしれませんが、善悪は決して変わらないことを覚えておいてください。