次に、この研究についてさらに詳しく説明し、そのトピックに関する専門家のアドバイスをします。
/ Flickr / conor lawless / cc
ServiceNowとPonemon Institute は、 3,000人のサイバーセキュリティ専門家を対象にオンライン調査を実施しました 。 彼らは、オーストラリア、ドイツ、フランス、日本、ニュージーランド、イギリス、アメリカ、シンガポール、オランダの9か国に1000人以上の従業員がいる企業を代表していました。 この調査の目的は、企業のどのプロセスがセキュリティに最も大きな影響を与えるかを見つけることです。
この調査では、企業の48%が過去2年間にサイバー攻撃にさらされていることが示されました。 同時に、回答者の57%が、攻撃は発見した脆弱性によるものであるが、どうにか閉じることはできなかったと述べています(ただし、パッチは既に入手可能です)。
新たな脅威に迅速に対応するために、企業は新しい従業員を雇用しています。組織の64%は、来年、情報セキュリティ部門のスタッフを増やす予定です。 ただし、ServiceNowは、脆弱性を排除するメカニズムが変更されるまで、これによってセキュリティが向上することはないと指摘しています。
状態拡張が問題を解決しない理由
ServiceNowでは、この問題をパッチングパラドックスまたは「セキュリティパラドックス」と呼びます。 情報セキュリティ部門がすべてのパッチのインストールを手動で調整するのは61%のケースであるため、情報セキュリティの専門家を雇ってもすべての困難を解決することはできません。 平均して、チームは1週間に321時間パッチを適用します(これは、8人のフルタイムスペシャリストの週ごとの作業にほぼ相当します)。 同時に、1つの脆弱性を閉じるには約12日かかります。
この場合、スタッフの拡大は、従業員間の調整と相互作用をさらに複雑にする可能性があります。 現在、スペシャリストの55%はすでに、セキュリティの脅威を排除するよりも、チーム内でのタスクの分散により多くの時間を費やしています。 フォーチュン100の1つの会社は、脆弱性情報を含むスプレッドシートドキュメントを管理することを唯一の責任とする特別な従業員を雇用しています:閉鎖方法、担当部署など。
同時に、新しい従業員を雇おうとする組織は、情報セキュリティの専門家の不足という別の問題に直面しています。 Indeedの求人検索サイトによると 、需要は供給を数倍超えています。
たとえば、米国では、サイバーセキュリティの分野で空席が10個あるごとに、6.67のビューがあります(ドイツではこの数字は3.50、イギリスでは3.16)。 これは、空席の少なくとも3分の1がまったく表示されていないことを意味します。 監査機関ISACAの予測によると、2019年までに、サイバーセキュリティの分野で200万の職が空になります。
サイバーセキュリティベンチャーズの創設者であるスティーブモーガンは、2021年までに空室数が350万人に達すると考えています。
彼らはこの問題を解決しようとしています。 たとえば 、IBMは4年間の専門教育を受けずに労働者を雇用しています。 さらに、さまざまな企業が従業員を再教育し 、 学生とIT担当者の女性の間でサイバーセキュリティ分野を普及させ、企業に情報セキュリティへの投資を促しています。
しかし、これまでのところ、これらすべての対策は、空いている場所とそれらを占有する準備ができている専門家との間の「ギャップ」を減らすほど十分に機能していません 。
/ Flickr / エメリーウェイ / cc
セキュリティパラドックスを解決する方法
スタッフ不足の問題を解決し、セキュリティを強化するために、ServiceNowはセキュリティの提供方法を修正することを提案しています。 ServiceNowのバイスプレジデントであるSean Converyは、ほとんどのサイバー攻撃は、企業がすべての脆弱性を時間通りに閉じることができないことに起因していると指摘しています。
ハッカーは迅速に勝ちます:サイバー防衛企業のBarklyでは、フィッシングキャンペーンを開始するのに平均で数分かかり、ハッキングを検出するのに256日かかると計算しました。 ServiceNowのレポートでは 、攻撃者がより速くなっていることにも言及しています。回答者の53%によると、パッチのリリースからそれをバイパスする修正された攻撃までの時間が過去2年間で29%短縮されました。
上記のように、脆弱性をカバーするパッチがすでにリリースされていたため(Equifaxの事例を思い出してください)、企業インフラストラクチャに対するほとんどのサイバー攻撃(57%)を防ぐことができました。 一部の企業はソフトウェアを手動で更新し、時間に余裕がなかったが、他の企業(37%)は定期的にITシステムの脆弱性を定期的にスキャンしなかった(たとえば、パッチの適用後にインフラストラクチャを再度スキャンするのを忘れていた)。
組織がインシデントと脆弱性をより迅速に解決できるように、ServiceNow は次の推奨事項を提供します。
- まず、企業が脆弱性を検出して排除するプロセスをどのように実装しているかを評価する必要があります。 また、たとえば、部門間の調整の欠如や脆弱性のライフサイクルを追跡できないなどの問題領域を特定します。 セキュリティリスク評価システムを構築するための段階的なアルゴリズムが、CSOの主要な情報セキュリティスペシャリストであるGeorge Viegas によって提案されています。
- 主要なIS問題だけを解決するべきではありません。 そして、このヒントはかなり明白に思えますが、サイバーセキュリティツール会社であるTrip Wireが指摘しているように 、多くの組織はそれを無視しています。 「燃える脆弱性」のみにパッチを適用することにより、攻撃者はシステムに侵入する他の多くの目立たない機会を残します。
- IT部門と情報セキュリティ部門の作業を組み合わせると便利です(たとえば、 セキュリティ運用ソリューションを使用)。 これにより、パッチを適用する際の優先順位が向上します。 たとえば、Freedom Security Allianceの情報セキュリティ部門は、クライアントのIT部門との緊密なやり取りにより、脆弱性の検出を40%加速することができました。
- エンタープライズでIBインシデントが正確に解決された後、ルーチンタスク(インシデントのルーティングまたはステータスの追跡)を自動化する方法に注意する価値があります。 オーストラリアの企業AMPはこのアドバイスを使用して、パッチのインストールプロセスを60%スピードアップしました。
最初の企業IaaSブログのPS資料:
PPSHabréのブログからの追加の読み物: