「危機を無駄にしないでください」ということわざを聞いたことがあるかもしれません。残念ながら、ハッカーはCOVID-19の間にその概念を心に留めています。パンデミックによって引き起こされた気晴らしの中で、ハッカーが脆弱なバックドアを企業システムに繰り返し悪用したため、サイバー攻撃の数は急増しました。ターゲットには、ヘルスケア、金融サービス、および世界保健機関などの公共部門の機関が含まれていました。金融セクターに対する攻撃は、2020年2月から4月の間に世界全体で238%増加しました。
マスターカードの副最高セキュリティ責任者であり、バラク・オバマ大統領の下でホワイトハウスの元副CIOであるアリッサ・アブドラによると、COVID-19とその結果としての仮想仕事への移行は、「敵の機会を変え、他のいくつかに焦点を移しました。私たちが使用しているツール。」
ハッカーもコラボレーションプラットフォームを攻撃しました。 2020年4月、ハッカーは500,000を超えるZoomアカウントのユーザー名とパスワードを入手し、ダークウェブの犯罪フォーラムでアカウントあたりわずか1ペニーで販売しました。一部の情報は単に提供されました。 COVID-19ワクチンを含むサイバー攻撃も出現しました。 2020年12月、欧州医薬品庁は、サイバー攻撃中にファイザー/バイオエヌテックCOVID-19ワクチンに関する一部のデータが盗まれたと報告しました。同じ頃、IBMは、COVID-19ワクチンの配布の中心となる企業を標的とするハッカーに警鐘を鳴らしました。
サイバー攻撃とそれに関連するコストは、加速し続けるだけです。次のことを考慮してください。CybersecurityVenturesは、サイバー攻撃が2021年に11秒ごとに発生し、2019年のレートのほぼ2倍(19秒ごと)および2016年のレートの4倍(40秒ごと)になると予測しています。現在、サイバー犯罪の費用は世界で年間6兆ドルと推定されており、2015年の合計3兆ドルの2倍になります。 2025年までに、サイバー犯罪は世界に毎年10.5兆ドルの費用をかけると予測されています。
サイバー犯罪の値札には、知的財産、個人データ、財務データの盗難、実際のお金に加えて、攻撃後のビジネスの混乱、生産性の低下、評判の低下などのコストが含まれます、と創設者のSteveMorganは説明します。サイバーセキュリティベンチャーの。これらの直接的な結果に加えて、サイバー犯罪の隠れたコストには、保険料の増加、信用格付けの低下、顧客が訴訟を起こしたための法定費用も含まれます。
17か国の17か国で524の侵害された組織を調査した2020年のIBMSecurityレポートによると、データ侵害の平均コストはなんと386万ドルであり、封じ込めまでに平均280日かかりました。その結果は、事件後何年も続く可能性があります。
2019年の英国では、データ侵害の90%が人為的ミスによるものでした。パンデミックの間、従業員は増幅された個人的および経済的ストレスに夢中になり、スピアフィッシング(組織内の特定の人々またはグループを標的とするフィッシングの一種)および個人を心理的に操作して明らかにするように設計された「ソーシャルエンジニアリング」攻撃に対してより脆弱になります。機密情報。
より具体的には、ソーシャルエンジニアリング攻撃は、従業員をだまして、正当に見えるがそうではないことを実行させることを目的としています。企業は通常、不正な要求を特定するように従業員を訓練しますが、パンデミックの異常な状況の中で、従業員が詐欺と正当な要求を区別することが難しくなっています。
「誰もがあなたが駐車場でUSBを拾うことができないことを知っています[そしてそれをあなたのコンピュータに入れる]、しかし上司からの偽の電子メールで洗練された従業員を訓練することはまだ本当の問題です」とToptalの財務専門家であるThomasRulandは言います安全なデータ共有とコラボレーションを専門とする会社であるDecentriqのネットワークおよび財務および運用責任者。 「同じオフィスにいない場合、偶発的なデータ共有がより頻繁に発生する可能性があります。人々が同じ物理的なオフィスで働いているときは、「本当にこれを送ったのですか?」と尋ねることができますが、自宅で仕事をしているときは解析が難しくなります。
「ビッシング」(音声フィッシング)の問題もパンデミックによって悪化しており、攻撃者は呼び出しを使用してVPNクレデンシャルやその他の機密情報を従業員から取得しています。ビッシング詐欺は、被害者になる可能性のある人に、個人の社会保障番号や銀行口座番号などの正確な個人情報を提供することで、正当に見せかけようとすることがよくあります。攻撃者は、驚くほど多くの他の個人情報を公開しています。攻撃者は、ソーシャルメディアプラットフォームやその他の関連するWebサイトを調べて、そのような詳細にアクセスするだけで済みます。
COVID-19は、組織が社内作業の混乱の中で新しいデジタルプロセスを開始したため、新しいテクノロジーの急いでの採用に拍車をかけました。パンデミックの初期段階では、多くの企業は、運用を維持するために、管理基準の低下などの新しいリスクを受け入れるしかありませんでした。
このような急速で劇的な変化の主な結果の1つは、クラウドの普及でした。 Flexeraは、2021年のクラウドの状態レポートで、リモートワークの需要により、調査対象グループの半数以上が、計画されていた以上にクラウドの使用量を増やすようになっていることを発見しました。他の回答者は、従来のデータセンターへのアクセスが困難であり、サプライチェーンが遅れているため、組織が移行を加速する可能性があると述べています。企業の20%パーセントが、年間のクラウド支出が前年比7%増の1,200万ドルを超えたことを明らかにしましたが、74%は、コストが前年の50%から120万ドルを超えたと報告しました。
残念ながら、極端な時間と運用上の圧力の下で取られた行動は、必然的にサイバーセキュリティのギャップにつながりました。また、Cybersecurity Insidersの2020年クラウドセキュリティレポートの回答者の75%は、パブリッククラウドセキュリティについて「非常に懸念している」または「非常に懸念している」と回答しました。回答者の68%がそうであるように、組織が2つ以上のパブリッククラウドプロバイダーを使用すると、クラウドセキュリティの懸念はさらに悪化します。
セキュリティの専門家と雇用主は、主に3つのクラウドセキュリティの課題に関心を持っています。まず、管理者が組織のセキュリティポリシーと競合するクラウドシステムの設定を誤って展開した場合の、クラウドとコンテナの設定ミス。もう1つは、ネットワークの可視性が制限されていることです。この場合、組織は、ネットワークに接続されているハードウェアとソフトウェア、および発生しているネットワークイベントがわかりません。そして3番目の大きな懸念は、保護されていないクラウドランタイム環境です。これは、攻撃者が組織を捕食する機会を提供します。
COVID-19と仮想作業への移行により、BYODプログラムが広く採用されるようになりました。特にパンデミックの初期段階では、多くの労働者は、個人用デバイス、パブリックWi-Fi、またはホームネットワークを使用してリモートで作業するしかありませんでした。このような状況は、ハッカーが組織のリソースにアクセスするための機会を提供します。個人のデバイスが危険にさらされると、企業ネットワークへの発射台として機能する可能性があります。
「最大のサイバーセキュリティリスクの1つは個人用デバイスです」と、Stark&Starkの弁護士であるTrinaGlassはSocietyfor HumanResourceManagementに語りました。 「スマートフォンであろうとラップトップであろうと、機密情報を含む職場環境でパーソナルテクノロジーを使用することによって引き起こされる深刻な問題があります。従業員は、ドキュメントをデスクトップに保存したり、ドキュメントの下書きを個人の電子メールに送信したりできます。最新のウイルス対策ソフトウェアを使用していないか、古い個人パスワード保護を使用している可能性があります。」
2020年12月、大手IT管理会社であるSolarWindsが、何ヶ月も検出されなかったサイバー攻撃に苦しんでいるというニュースが流れました。その年の初め、外国のハッカーがSolarWindsのシステムに侵入し、悪意のあるコードを挿入していました。その後、SolarWindsが33,000人の顧客にソフトウェアの更新を送信すると、攻撃者のコードがそれに伴い、顧客のITシステムへのバックドアを作成しました。ハッカーはこれらのバックドアを使用して、追加のスパイマルウェアをインストールしました。最終的に、国土安全保障省や財務省などの米国の機関や、Intel、Microsoft、Ciscoなどの民間企業を含め、約18,000人のSolarWindsの顧客がこれらのアップデートをインストールしました。
ハッカーは、ソフトウェアまたはハードウェアのサプライチェーンの安全でない要素を標的にして攻撃することがよくあります。アクセンチュアは、サイバーセキュリティ攻撃の40%が拡張されたサプライチェーンから発生していることを発見しました。攻撃者は通常、サイバーセキュリティ制御やオープンソースコンポーネントがほとんどない小規模ベンダーなど、最も弱いリンクを探します。多くの場合、ハッカーは標的を特定した後、正当で認定されたソフトウェアにバックドアを追加したり、サードパーティプロバイダーが使用するシステムを侵害したりします。したがって、サプライチェーン攻撃は、組織のサイバーセキュリティ制御がチェーンの最も弱いリンクと同じくらい強力であるという真実を明らかにします。
世界がパンデミックに陥ってから1年以上が経過した今、企業は単に一時的な対策を講じるだけでなく、「次の正常」を予測する必要があります。最高情報セキュリティ責任者、CFO、およびサイバーセキュリティチームは、従業員、顧客、サプライチェーン、およびセクターのピアがどのように連携して適切なサイバーセキュリティを提供するかを理解する必要があります。開始する5つの方法は次のとおりです。
従来のITネットワークセキュリティは、城と堀の概念に基づいています。ネットワーク内のすべての人がデフォルトで信頼されており、ネットワーク外の人がアクセスすることは困難です。 COVID-19のパンデミック中に発生したサイバー攻撃により、この戦略の限界が明らかになりました。企業は、厳格なアクセス制御を維持し、デフォルトで個人、デバイス、またはアプリケーションを信頼しないゼロトラスト戦略の採用を検討する必要があります。すでにネットワーク境界内にあるものも同様です。ゼロトラストモデルでは、プライベートネットワーク上のリソースにアクセスしようとするすべての人とデバイスのID検証と承認が必要です。 2019年、Gartnerは、2023年までに企業の60%がVPNからゼロトラストイニシアチブに移行すると予測しました。
さらに、企業は従業員に2要素認証を義務付ける必要があります。二要素認証では、ユーザーがオンラインアカウントまたはITシステムにアクセスするために2つの異なるタイプの情報を提供する必要があります。通常、これにはユーザー名とパスワードのペア(単一要素認証)と、従業員の電話やメールアドレスに送信されるコードなどの別の身元証明が含まれます。
世界経済フォーラムは、企業が指紋、顔、タイピング行動、またはその他の要素を使用してユーザーの身元を確認する生体認証多要素認証への移行も開始することを推奨しています。顧客のパスワードをサーバーに保存する企業とは対照的に、ユーザーの生体認証はユーザーデバイスに保存されるため、サイバー犯罪者がアクセスする単一のデータ収集ポイントがなく、オンライン詐欺や個人情報の盗難のリスクが大幅に軽減されます。 。世界の生体認証システムの市場規模は、2020年の366億ドルから、2025年までに686億ドルに成長すると予測されています。
サイバーセキュリティを強化するために、組織はベンダーと個人情報を共有および維持するためのセキュリティツールと要件を検討する必要があります。組織は、すべてのベンダーと潜在的なシャドウサードパーティサービスを確認することから始める必要があります。リスク階層をベンダーに割り当て、運用にとって最も重要なものを描写し、重要な情報への最大のアクセス権を持ちます。次に、それに応じて評価範囲を調整します。
次に、企業はサードパーティの制御とアクセス制限を更新し、より堅牢なデータ損失制御を開発する必要があります。組織はまた、サイバーリスクの高まりに現在備えていないベンダーが、情報を安全に処理し、組織の企業ネットワークとやり取りするためのサイバー対策計画の策定に取り組むことを保証する必要があります。さらに、可能であれば、企業は重要なサードパーティのログを企業のセキュリティ監視に統合し、監視と応答を調整するためのアラートシステムを作成する必要があります。これらすべての手順を実行することで、サプライチェーン全体でサイバーレジリエンスを構築できます。
組織が従来のオンプレミスのサイバーセキュリティソリューションからクラウド中心のアーキテクチャに移行するにつれて、クラウドを防御する方法を学ぶ必要があります。
ITプロフェッショナルだけがネットワークインフラストラクチャをセットアップして展開できるオンプレミスネットワークとは対照的に、クラウド環境でははるかに多くの人がそうすることができるため、クラウドとコンテナの設定ミスが問題になる可能性があります。攻撃者は、簡単に見つけられるため、設定ミスを利用してネットワークにアクセスすることがよくあります。組織は、Gartnerのクラウドワークロード保護プラットフォームのマーケットガイドに従って、ネットワークに接続されている資産のベースラインを確立することにより、設定ミスの管理を支援できます。 (完全なレポートはここで購入できます。)そこから、組織はそれらの資産の逸脱を監視し、システムを攻撃から保護するために自動化された防御手段を採用する可能性があります。
ネットワークの可視性に関しては、資産検出ツールは、デバイスの検出と、ネットワーク内にあるものだけでなく、保護されていない資産の認識も提供します。これらのツールは、資産、それらの使用法、ネットワーク、およびネットワークにインストールされているソフトウェアモジュールを含む他のデバイス間の関係に透明性を提供します。
最後に、組織は、コンテナ化されたワークロードに対して保護されていないクラウドランタイム環境から防御できます。デバイスがアプリケーションを実行しようとすると、ランタイム環境はアプリケーションとオペレーティングシステムの間の仲介役として機能します。
人間の安全保障アナリストはすでに自動化ツールを使用して、大規模なデータセットから最も緊急のアラートを抽出し、人間に行動を起こさせていますが、人工知能(AI)および機械学習(ML)ツールはますます高度になっています。
「私たちは、メトリックを調べて、特定の外れ値について何かをするように人間に指示するアルゴリズムを超えています」と、Splunkのエンジニアリング担当副社長兼機械学習責任者のRam Sriharshaは、同社の2021年のデータセキュリティレポートで述べています。 「規模の問題として、行動を起こすアルゴリズムと自動化が必要です。セキュリティドメインでは、過去の悪意のある人物や行動についてモデルをトレーニングして、新しい類似の行動を特定するだけではありません。何が起こっているのか(トラフィックを調べ、データを調べて)だけを調べて、悪いパターンを特定し、回避策を講じるアルゴリズムを見ていきます。」
組織は、自己学習型のAIベースのサイバーセキュリティ管理システムの使用を検討する必要があります。ただし、AI / MLサイバーセキュリティソリューションが開発されるにつれて、攻撃者も開発されます。敵対的学習を使用して、悪意のある人物はAI / MLモデルについて十分に収集し、システムを汚染して防御に効果を発揮しない方法を設計します。敵対的学習は、たとえば、自動運転車をだまして一時停止の標識を誤解させることに似ています。ガートナーの調査によると、すべてのAIサイバー攻撃の30%は、トレーニングデータポイズニング、AIモデルの盗難、または敵対的なサンプルを利用して、2022年までAIを利用したシステムを攻撃します。それでも、AI / MLシステムに対するこれらの脅威にもかかわらず、最近のMicrosoftの調査では28の企業のうち25は、AI/MLシステムを保護するための適切なツールが整っていないことを示しています。そのうちの1人にならないでください。
一見単純そうに見えますが、組織がサイバーセキュリティ対策に関する従業員トレーニングを強化することは重要です。組織は、新しい脅威、承認されたデバイスの使用に関するルール、サイバーインシデントを報告するプロセスなど、リモート環境での新しいサイバーリスクに関する認識を高めるための役割ベースのトレーニングプログラムと演習を設計する必要があります。
管理チームは、サイバー攻撃シナリオのシミュレーションとウォークスルーを提供して、従業員を積極的に関与させる必要もあります。経営陣はまた、必要な行動と意思決定をいつエスカレートすべきかについて明確なガイドラインを提供する必要があります。
最後に、従業員は、公共のWi-Fiネットワークやプリンターを使用したり、自宅のコンピューターにドキュメントを保存したりしないように注意する必要があります。
ソーシャルエンジニアリングやサプライチェーン攻撃の形でエスカレートするサイバー攻撃に対応し、シャドーITや脆弱な一時的対策を強化するために、企業は「次の正常」への適応に集中する必要があります。つまり、管理者はサイバーセキュリティチームと提携して、アクセスに関する警戒を強化し、サプライチェーンとサードパーティのリスクを再考し、クラウドセキュリティスキルセットを開発し、AIおよびMLツールを活用し、インタラクティブな従業員トレーニングを強化する必要があります。顧客のための安全な環境を構築することは、企業に競争上の優位性を与え、現在および将来の顧客との信頼と忠誠を築きます。