時間は私たちの味方ではありません
統計によると、Verizonの企業はわずか数分でシステムのハッキングや妥協に費やしますが、情報セキュリティの専門家は通常数か月以内にハッキングシステムを発見します。 これらの数字はどれほど現実的ですか、これはより多くのお金を費やすように設計された典型的なホラーストーリーですか、実際には数字は実質的に価値がなく、美しいラッパーにすぎません。 これらの番号の確認はどこで確認できますか? これは、情報セキュリティのコンテキストにおける時間の要因を考慮して、この記事で検討するものです。
時間特性の観点からの攻撃者のアクション
サイバー犯罪者が最近行っていることを見ると、絶え間ない適応、新しい機能の追加、セキュリティ機能を回避する新しい方法に加えて、時間特性も集中していることがわかります。 セキュリティシステムを構築するには、通常、ファイアウォール、侵入防止システム、ウイルス対策、コンテンツスキャンなどが使用されます。
マルウェアは、この一連のセキュリティテクノロジー全体を回避するために何をしますか?
セキュリティ機能を回避するために、IPの絶え間ない変更、1日のサイトの使用、日々の改善、目的の定期的な変更など、まったく異なるメカニズムを使用して、ほぼ2つの侵入効率を高めます。 悪意のあるコードの効率を高めるのは、絶え間ない変更です。
役に立たないブラックリストのヘルプ
悪意のあるサイトの71%が1日以内にしか存在しないというデータに同意します。つまり、主な攻撃者は数時間しか存在しない1日のサイトの使用に切り替えています。 残念ながら、悪意のあるサイトをブラックリストに登録する多くの従来のアプローチは、1日1回更新されるため、この頻度に対処できません。 これは、システムを保護するこのような手段が無効になることを意味します。
時間係数
大きく見ると、情報セキュリティ業界での平均的な脅威検出時間は平均で約200日です。 つまり、脅威は1時間ごとに更新されるため、保護は1時間ごとに更新する必要があります。 通常、保護具は1日に1回以下更新されますが、もちろん、効果的なセキュリティシステムについて話すことはできません。
時間とあなた
しかし、保護装置自体と、時間の要因に真剣に注意を払うべきメーカーに加えて、情報セキュリティサービスもあります。 また、彼らはこの問題に目をつぶるべきではなく、彼らのすべての問題が彼らまたは彼らが購入した製品を所有する他のメーカーによって解決されることを期待すべきではありません。
検出不足
Verizonのレポートによると、システムを侵害する時間が短縮され、逆にこの事実を検出する時間が増加します。 したがって、検出が不足しています。 事例の60%で、攻撃者は組織の企業または部門のネットワークに1分で侵入しました。 ほとんどすべての救済策は、そのような時間間隔で攻撃者を検出できません。 ロシアを含む世界中で収集された統計によると、ネットワークハッキングの平均検出時間は通常数か月です。 残念ながら、この数字は近年減少していません。
見えないハック
他の企業の報告に目を向けると、これはまだ200日であることがわかります。 最近では、システムは保護されず、ハッキングされたままです。 つまり、攻撃者はほとんどすべての組織のシステムをホストします。 最大のインシデントは2287日間続きました。つまり、会社がハッキングされてから2,000日以上になりました。 ほぼ7年間、同社は、情報セキュリティの構築の分野ではもはや有効ではなかった古い原則に基づくアプローチを使用していたため、ハッキングされたことを知りませんでした。
最も単純なものが最も効果的です
上記でレビューしたVerizonのレポートによると、ユーザーの50%が平均してメールを開き、メールを受信してから最初の1時間でフィッシングリンクをクリックします。 フィッシングリンクのクリックと戦う準備はできていますか? 彼らはこれに対抗する準備ができていますか? 悪用された脆弱性の99.9%について、CVE速報はこの脆弱性が悪用される1年以上前に公開されました。 つまり、ほとんどの場合、攻撃者はよく閉じることを忘れていた有名な脆弱性を使用します。
長い時間間隔
NopSecのレポートによると、さまざまな業界の脆弱性を除去するのに平均して数十日かかります。 教育機関、金融機関では-これは176日、医療は3か月です。 クラウドプロバイダーの場合、状況はわずかに良くなります-脆弱性を修正するのに50日ですが、これも非常に長い時間間隔です。
遅い除去
脆弱性が長く解決されない場所を見ると、外部期間(ネットワークレベル)で、脆弱性の削除が非常に遅いことがわかります。 そして、攻撃者が侵入を実行するのは、よくあることですが、適用された層ではなく、ネットワーク層を通してです。
未解決の脆弱性
一般的なWebアプリケーションの場合、金融会社、IT会社、小売、ヘルスケア、製造企業など、これらは2年以上ありますが、会社のWebサイトの脆弱性は未解決のままであり、サイバー犯罪者が「ブラック」ケースを実行するために使用できますが、ノードを侵害し、データを盗み、場合によっては組織の内部ネットワークに侵入します。
その理由は何ですか?
唯一の理由があります-情報技術サービス、情報セキュリティサービスは攻撃者よりもはるかに遅いです。 最初の40〜60日間の脆弱性の確率は90%に達します。 そして、脆弱性の除去は100〜120日に達します。 これにより、脆弱性が既に悪用されている2か月程度のかなり大きな時間差が生じます。 しかし、会社はこの脆弱性を排除して脆弱なシステムを修正することすら考えていませんでした。つまり、攻撃者は最初の40〜60日で既に脆弱性を悪用していたため、ほぼ2か月間ハッキングされた状態でした。
更新戦略はありますか?
ハースブリードの状況を見ると、この脆弱性のあるバージョン、openSSLソフトウェアおよび他の多くのライブラリに対するこの脆弱性は、SSLに基づくソフトウェアが脆弱であった数年間保護されていませんでした。 これは、脆弱なソフトウェアをより迅速に調査し、さまざまな組織のさまざまなシステムの「ホール」を使用できる適切なエクスプロイトを開発する攻撃者と比較して、ITおよび情報セキュリティサービスが遅れているためです。 そのため、脆弱性の修正、または特別な技術(仮想パッチ)の使用、またはパッチがまだ開発されていない場合に特定の脆弱性の使用をブロックする技術の使用に深刻な注意を払う人はほとんどいません。
自己更新
「栄冠にとどまる」ことはできず、システムが保護され、攻撃者によるアクションの前に完全な戦闘準備が整っていると想定することはできません。 最高の、最も高価で宣伝されている治療法があなたを保護するかどうかはわかりませんが、そうではありません。
最新のセキュリティシステムを構築するには、さまざまな手段を使用する必要があります。侵入防止システム、ウイルス対策、コンテンツフィルタリングシステム、アクセス制御システム、ファイアウォール、データベース保護システム、セキュリティスキャナー、パッチ管理システム、バックアップシステム、保護ツールの組み合わせ、保護の組み合わせテクノロジーにより、少なくとも何らかの形で情報、アプリケーション、インフラストラクチャ、およびビジネスプロセスのセキュリティを確保できます。
戦略を変える
数年前に登場した原則を使用する必要はありません。10年、20年前に登場した保護は言うまでもなく、すでに時代遅れです。 攻撃者は戦略を変更し、情報セキュリティサービスも戦略を変更する必要があります。
結論
問題に目をつぶる必要はありません。時間の要因は非常に重要です。攻撃者はあらゆる変更、悪意のあるコード、攻撃にすぐに対応します。
もちろん、保護ツールの更新頻度を最大限に増やす必要があります。これは、悪意のあるコードの検出を100%保証するものではありませんが、既に入手した情報保護ツールの作業が増えます。
それがどれほど優れていて宣伝されていても、1つの救済策に依存しないでください。 機能の重複、冗長性、重複保護は、情報セキュリティの分野で急速に発展している現代の環境で成功するための鍵です。
システムを保護するだけでなく、特定の保護オブジェクトの周囲に「壁を築く」だけでなく、異常なアクティビティや疑わしいイベントを監視し、異常なイベントに対応することもできます。つまり、対処できる保護システムのライフサイクル全体を構築する必要がありますオブジェクトに現れる前の攻撃、保護オブジェクトへの攻撃の実装中、攻撃が成功するように準備し、この事実を検出できるようにする必要があります。つまり、コーパス全体に拡散しないように問題を特定する必要があります。 TIVEまたはプライベートネットワーク。
自分自身の知識、能力を高める必要があり、2、3年前に得た知識に頼らず、それらはおそらく時代遅れです。 もちろん、基本は変更されていませんが、基本的にはテクノロジーの変更ははるかに高速です。