サイバーセキュリティではプロアクティブな対応が重要であることについては、以前もブログでご紹介しました。
脅威ハンティングの実施であれ、積極的な防御態勢をとることであれ、あるいは組織が保持するセキュリティ機器のアラートやログを改善するだけにしても、サイバーセキュリティのインシデントや侵害が発生した場合に備えて前もって準備しておくことが大切です。これは、規模に関係なくあらゆる組織について言えることです。
そのことを目の当たりにした最近の事例をご紹介すると、教育業界のあるお客様が Talos インシデント対応(Talos IR)リテーナーを利用してプロアクティブな脅威ハンティングを行った結果、ネットワーク上で不審なアクティビティが確認されたとのことで、Talos に連絡がきました。対応にあたった Talos IR チームは、お客様のネットワーク上のたった 1 台の機器に対してアラートが生成されていることにすぐに気付き、ネットワーク内の 1 つのエンドポイントを分離して侵入を食い止めました。Talos IR はかなりの確信を持って、侵害を受けたエンドポイントは 1 つのみで、攻撃者が使用したのは侵害されたログイン情報 1 つのみだという結論を出しました。お客様と Talos との間にこの強力な協力体制があったからこそ、迅速に攻撃者を封じ込め、お客様の環境から完全に排除することができたのです。
Talos の『四半期レポート:インシデント対応の動向(2022 年第 3 四半期)』で取り上げているように、ランサムウェアとランサムウェア感染前のアクティビティは最大の脅威となっており、攻撃者によるランサムウェア感染前のアクティビティが脅威環境で頻繁に確認される傾向が続いています。攻撃者の狙いは、本格的なランサムウェア攻撃を真っ向から仕掛ける代わりに、ネットワークに足場を築くことです。攻撃者が、侵害した環境内でランサムウェアを展開するのではなく恐喝の手口を変えてきている要因として考えられるのは、規制と、中小企業が標的にされていることです。攻撃を受けた可能性があっても、攻撃者がネットワーク上のファイルを暗号化して身代金の支払いを要求する必要はないと判断した結果、無害かもしれない小規模なアクティビティが確認されるだけということもあり得ます。
Talos の『2022 年版一年の総括』で概説したとおり、教育機関は特に脆弱な部門の 1 つです。夏休みが終わり、児童生徒や大学生が授業に戻ってくる時期には、学校や大学を狙った攻撃が増えると予想されます。
今回ご紹介したお客様のように、攻撃者を検出して迅速に対応し、完全に排除したいとお考えの場合は、インシデント対応の専門知識を備えておく必要があります。このほど、Cisco Secure の『セキュリティ成果調査レポート』で、外部のインシデント対応リテーナーを採用している組織と採用していない組織では、レジリエンスの平均スコアに 11% の差があることが判明しました。
このプロアクティブな計画の基礎となるのが、Cisco Talos インシデント対応リテーナーです。Talos IR リテーナーのお客様が何か不審なものを発見された場合は Talos IR が直ちに対応し、どのような封じ込め措置が適切か、また、さらなるフォレンジック調査が必要かどうかを判断します。お客様の環境でファイルが暗号化されていないからといって、ビジネスに影響を与えるサイバーセキュリティ インシデントにつながるランサムウェアを展開する能力を攻撃者が持っていないというわけではありません。標的にする組織への最初のアクセスを獲得した攻撃者が、アクセスを維持することはよくあることです。
インシデント対応リテーナーを利用すれば、組織の計画や対応にいろいろと盛り込む必要はありません。机上演習、サイバーレンジトレーニング、パープルチーミング、オンデマンド インテリジェンスなど、さまざまなニーズに応えるサービスがワンパッケージで提供されるからです。そして、もし(仮定ではなく、現実に起こる可能性の方が高いわけですが)最悪の事態が発生し、サイバー攻撃の標的になった場合は Talos IR がいつでも控えており、お客様のチームが高度な攻撃者や固い意志を持つ攻撃者を検出して完全に排除できるよう支援します。
インシデント対応リテーナーについては、4 月 27 日正午(米東部時間)に行われる『Talos IR On Air』のライブ配信で詳しく取り上げる予定です。Talos の LinkedIn ページと Twitter ページでライブ視聴できます。
Talos IR リテーナーを採用すれば、組織もユーザーも、信頼できるデジタルフォレンジック/インシデント対応チームにいつでも支援を求められるという安心感が得られます。A 社から緊急インシデント対応サービスを購入し、B 社に研修費用を払って演習を行い、次にインシデントが発生した場合に備えてインシデント対応計画を作成する際に C 社に支援料を支払う必要はありません。Talos IR は、ここに挙げたすべてのサービスをリテーナー付きでワンパッケージで提供します。
侵害を受けたことやインシデントが発生したことのないお客様でも、Talos IR をプロアクティブに活用する方法はたくさんあります。インシデントが発生したと仮定した机上演習で Talos IR がお客様のチームの指導にあたることも、侵害アセスメントを実施して、攻撃者よりも先にお客様のネットワークに潜在するギャップを特定することも可能ですので、ぜひご相談ください。
シスコ製品を利用されていなくても大丈夫です。どのベンダーの製品かはまったく問題ではなく、Talos IR はお客様と協力して取り組むことができます。お客様がどのようなツールやソフトウェアを使用されていても、Talos IR がお役に立ちます。
次の脅威を検出したり、スキャンしたりするために使用するツールが何であれ、Talos IR チームはすぐに作業を開始して脅威を修復することができます。新しいハードウェアやソフトウェアのソリューションが必要な場合も、Talos IR がいつでもご相談に乗ります。
すでにシスコ製品をご利用の場合は、Talos IR リテーナーが、共にセキュリティ対策を推し進め、レジリエンスを高めるための最適な選択肢となります。Talos IR は、お客様のセキュリティチームの全能力を把握したうえで、リテーナー契約期間中にお客様のセキュリティチームと Talos IR がどのように協力するのがベストなのかの参考になる計画を策定します。お客様がリテーナー契約にサインした当日から、担当チームがお客様に寄り添い、お客様と共に対策を進めます。
Talos IR リテーナーについて詳しくお知りになりたい方は、Talos の Web サイトからお問い合わせください。また、本サービスの詳細について、次回の『Talos IR On Air』でご紹介しますのでぜひご視聴ください。
本稿は 2023 年 03 月 29 日に Talos Group のブログに投稿された「How an incident response retainer can drive proactive security」の抄訳です。