パートナーシップとプロアクティブな対策により、対応に数週間かかることもある問題をわずか数時間で解決
Talos インシデント対応チームによる過去 2 回の四半期動向レポートでは、最も標的とされた業界は医療でした。この事実で明らかなように、医療は攻撃者がしつこく付け狙う業界の 1 つです。
とは言え、もしインシデントが発生したらという仮定の話ではなく、インシデントは発生するという前提で備えておけば、潜在的な金銭的損失、患者の安全が脅かされるリスク、技術的なダウンタイムへの対処といった最悪のシナリオを避けることができます。
Veradigm 社は、プラットフォーム、データ、専門知識、接続性、規模を独自に組み合わせて価値を提供する医療技術企業です。同社のネットワークはソリューションとパートナーのダイナミックなコミュニティに特徴があり、高度なインサイト、テクノロジー、データ駆動型ソリューションを提供しています。そして、これらすべてが一体となって機能し、医療をインサイトに満ちたものへと変革しています。Veradigm 社は最近、何者かがネットワークに侵入したことと、情報窃取攻撃を受ける可能性を、攻撃計画が実行される前に突き止めました。
Veradigm 社は Talos インシデント対応リテーナーサービスを利用していたため、Qakbot 感染の兆候を早期に検出し、Talos インシデント対応チーム(Talos IR)の支援を受けて、会社やお客様に実害が及ぶ前に攻撃者をネットワークから迅速に排除できました。
Veradigm 社は、同社のシステムとネットワークのレジリエンスを高めることを継続的な目標に掲げ、技術面とサービス面で長年にわたってシスコとパートナー関係を築いてきました。レジリエンスとは、ビジネスのあらゆる側面を保護し、予測不可能な脅威や変化に耐え、より強靭になるための能力のことを言います。
数か月前、開発環境でセキュリティインシデントが発生した可能性に気づいた同社のチームは迅速な対応を行った後、すぐに Talos IR に連絡を取り支援を求めました。Talos IR チームが支援にあたった結果、Veradigm 社のチームは Qakbot(モジュール型情報窃取マルウェア)を展開しようとした攻撃に迅速に対処することができました。
Veradigm 社と Talos IR チームは協力して、攻撃者が DNS 経由でコマンド & コントロール(C2)を確立しようとしていたことを突き止めました。Veradigm 社は Cisco Secure Endpoint を使用しており、影響を受けたシステムはデフォルト設定で隔離されていましたが、DNS トラフィックについてはデフォルトではブロックされないことがわかりました。ただし、隔離ポリシーを変更して DNS ビーコンの通信が停止されるまでの間は、Cisco Umbrella によってトラフィックがブロックされました。Veradigm 社が C2 との通信を防げたことは、同社の堅牢な多層防御戦略の価値を浮き彫りにしています。攻撃者はネットワークへの侵入を試みたものの、セキュリティ管理と迅速な対応により、Qakbot の展開を成功させることはできませんでした。
Talos IR が Veradigm 社と築いていた関係があったので、このインシデントへの対応に数日あるいは数週間を要することはなく、数時間以内に問題は解決されました。Talos IR チームは、攻撃者が再び侵入を試みた場合に備えて導入しておくべき修復の推奨事項を同社と共有しました。通常より迅速かつ効率的にインシデントに対応できたのは、Veradigm チームの態勢が整っていて、Talos IR チームが素早く行動を起こせたからです。
Veradigm 社で CSO を務める Jeremy Maxwell 博士は「最悪のシナリオを回避できたのは、経験、実践、連携のたまものです。シスコの『優秀な人材』が当社の『優秀な人材』に加わり、一つ一つの状況をうまく切り抜けることができました」と絶賛しています。
これは数々あるカスタマー サクセス ストーリーの一例です。世界中の組織が備えと防御を強化している状況を Talos IR は目の当たりにしており、そうした組織のインデント対応を支援しています。
シスコサイバーセキュリティ成熟度指標に関する最新調査によれば、セキュリティリスクに対処する態勢が十分に成熟していると考えられるのは、世界の組織の 15% に過ぎません。損失が最も大きい業種ほど成熟度の高い企業が多い傾向にあり、医療(18%)や金融サービス(19%)などがその例です。
Maxwell 博士は、幸いなことに Talos IR とリテーナー契約を結んでいたので、サイバー攻撃への備えはできていると回答することができたと語っています。
「規制が厳しい分野で仕事をしているので、すべてのパートナーと良好な関係を築くことが重要ですが、インシデント対応は中でも特に重要です」と博士は述べています。「Cisco Talos IR とは、2017 年以来パートナー関係にあります。その間ずっと同じ顔ぶれでインシデントへの事前・事後対応を行っていく中で強固な関係を築いてきました。こうして築かれた特別な信頼関係と効率的な対応態勢があるからこそ、何かが起きたときは当社独自の環境を熟知しているチームにすぐに対応してもらえるのです」。
Veradigm 社が Cisco Secure ソリューションを選択した理由には、同社の既存のホスティングツールや企業環境ツールとの統合のしやすさに加え、業界内で高い実績を上げていることなど、いくつかの要因がありました。同社のインシデント対応のニーズを考えたとき、Talos IR とパートナー関係を結ぶことは理にかなっていたのです。
「Talos IR リテーナーサービスの何が素晴らしいかと言うと、サービスレベル契約(SLA)が確立され、遵守されていることです。さらに、シスコの IR チームは当社独自の環境と過去のインシデントについて把握しており、最新の脅威に関するインテリジェンスも提供してくれます。このためスムーズな対処が可能となり、当社独自のニーズに基づいて態勢を整えつつインシデント対応を行うことができます。このような独自の知識に加え、SLA で規定している対応時間についても、想像されるような遅れはありません。シスコの IR チームは準備ができていて、私たちには、机上訓練のシナリオと現場対応で培った『マッスルメモリ』があり、どう対処すべきか身体が覚えているのです。厳しく規制された医療の世界にあって、常に患者の安全を考慮する必要があるため、当社の状況はもともと緊迫していると言えます。シスコの IR チームは、机上訓練とインシデント、この両方に基づいて私たちがどう対応すべきかを理解しています。だからこそ、当社独自のニーズを念頭に置いて微妙な状況を考慮したりバランスを取ったりしながらスムーズに対処できるのです」(Veradigm 社 CISO、Jeremy Maxwell 博士)
Veradigm 社には、同社の環境と攻撃者が用いる一般的な戦術、手法、手順(TTP)を把握していて、医療業界の規制上の義務にも精通している信頼のおけるパートナーがついているため、双方が協力してより多くのことを達成できるようになりました。Maxwell 博士によれば、この強い結びつきは、利便性と知識に根ざした強固で基本的な関係に基づいています。
インシデントが解決された後、「シスコは当社の組織構造、IR 計画、権限と情報共有の方法、規制上の義務を理解しています」と博士は述べました。「こうした独自の関係性があるため、毎回シスコに詳しく事情を説明する必要はありません。対応にあたっては数分、数時間が貴重ですが、その時間を節約できるのです。シスコのチームは、当社のチームと協力して着実に対応する準備がすでに整っています」。
Veradigm 社は、実際のインシデントが発生してから計画を立てようとするのではなく、定期的に IR 計画とハンドブックを積極的に見直し、本気で準備を行っています。同社は、対応プロセスをストレステストにかける Talos IR のさまざまな机上訓練にも参画し、さらに迅速に適切な対応ができるよう必要に応じて計画を調整しています。
「準備がきわめて重要です。対応方法やどう対処するかについて、インシデント対応を行っている最中に計画を立てることはできません」と Maxwell 博士は指摘します。「何かが実際に起こったら、私たちは計画どおりに実行します。IR 計画を実行することでうまく対応できています。これは単なる理論ではなく、実践なのです」。
ここに掲載しているエピソードはシスコ セキュリティの導入事例を紹介するポッドキャストです。Jeremy Maxwell 博士が、このインシデントについて段階を追って説明するとともに、Veradigm 社が長年にわたる Talos インシデント対応チームとの緊密な関係からどれほどメリットを受けているかについて語っています。
Veradigm 社がリテーナー契約から得ているメリットは他にもあります。それは知識と経験の共有であり、インシデント対応中だけでなく、社内の IR チームの専門知識を高めるためにも活用されています。
「素晴らしいのはそれだけではありません。シスコは企業規模が大きいので、シスコのチームは単なる協力者であるだけでなく、知識の源泉です。世界に広がるシスコのインシデント対応ネットワークと幅広い知識が活かされています。そうした経験やスキルを活用できるのも当社にとってのメリットです」と Maxwell 博士は語っています。「また、シスコによるプロフェッショナルな支援が受けられ、自信をもって対応できるようになったことで、当社のチームの専門知識とプロセスが広がっています」。
インシデント対応への準備や既存のインシデント対応プログラムの強化を検討されている場合は、Talos インシデント対応リテーナーサービスでご支援いたします。詳細については、Web ページをご覧いただくか、メールでお問い合わせください。
IncidentResponse@cisco.com にメールを送る
本稿は 2023 年 09 月 14 日に Talos Group のブログに投稿された「How Cisco Talos IR helped a healthcare company quickly resolve a Qakbot attack」の抄訳です。