「私にできることは何だろう?ここ数日間、私たちは皆、何らかの形でこの問いを自問し、自分自身、家族、企業、そして同盟国を少しでも安全にする方法を模索してきた。
何十年もの間、世界で最もセキュリティに敏感な組織の保護を支援してきた組織として、私たちはこの瞬間の緊急性を理解し、会話し、投資し、行動を起こすために活用しています。
私たち一人ひとりが、今日より安全なインターネットを作る手助けができるのだから また、 長期にわたって。私たちは皆、デジタル・インフラとアイデンティティを保護する権限を与えられていると感じるべきです。権限を与えられたというよりも、そうすることに責任を感じるべきなのだ。
米国サイバーセキュリティ&インフラセキュリティ局(CISA)は、次のような情報を共有している。 リソース 個人、組織、企業のリーダーが自らを守るためにできること。また、現在および将来のサイバーレジリエンスを構築するために、以下の5つの提言をまとめた:
- 明日への長期的な影響に備え、今日から備える
- 基本を重視する:多要素認証の導入
- 最小権限、コンテキスト認証、例外ベースのセキュリティでゼロトラストを目指す
- サイバーセキュリティのスキルギャップを優先する
- ウクライナを助ける」詐欺に注意
以下、それぞれのポイントについて補足する。
これらの5つのステップはそれぞれ、今日の危機を先取りし、危機を超えても存続するサイバーセキュリティの中核的な基本を表している。
現時点では、「米国に対する具体的な、あるいは信頼できるサイバー脅威」は存在しない。 CISA, 英国の組織に対する現在の具体的な脅威」はない。 ナショナル・サイバー・セキュリティ・センター, 今日の地政学的危機は、明日のサイバーセキュリティの課題となる可能性がある。
「ロシアがウクライナで使用するサイバーツールが、ウクライナに留まらない危険性がある」と、アダム・シフ米下院情報委員長は述べた。 FoxBlade「ワイパー」マルウェア コンピュータのデータを消去する。
大まかに言えば、「特定のターゲット」を狙ったマルウェアが野放しにされると、「独自の生命を持つ」可能性がある。つまり、意図した標的を超えたロシアのマルウェアの被害者になる可能性があるのです」とシフ氏。
上院情報委員会を率いるマーク・ウォーレン上院議員は、制裁が「NATO諸国に対する直接的なサイバー攻撃」か「大規模なレベルでのランサムウェア攻撃」につながる可能性があると指摘した。
両者にとって最も価値の高い変化のひとつ また、 組織ができることは、次のことを実行することだ。 多要素認証 (MFA)をすべてのアカウントに適用する。
CISAは、「確認用のテキストメッセージや電子メール、認証アプリからのコード、指紋やFace ID、あるいはFIDOキー」など、2つ目の認証レイヤーを追加することで、個人がハッキングされる可能性が99%低くなると説明している。
組織にもMFAが必要だ:CISAは、企業は「組織のネットワークへのすべてのリモート・アクセス、特権アクセスまたは管理者アクセスには多要素認証が必要である」ことを確認すべきであると助言している。
これらのスマートデバイスはランサムウェアのターゲットになる可能性が高いため、IoTおよびIIoTデバイスがオンラインになるたびに、このステップはより重要になっている。昨年、ロシアのランサムウェア・シンジケート ダークサイド コロニアル・パイプライン社のネットワークに侵入し、MFAで保護されていない使用済みのVPNアカウントを使用した。
1月の 国家安全保障覚書 昨夏の 大統領令14208 そして連邦政府機関に対し、ゼロ・トラスト・アーキテクチャーの開発に着手するよう指示した。
ゼロ・トラスト」は、サイバーセキュリティの世界ではよく使われるバズワードだ。重要なのは、「信頼せず、常に検証する」という重要な格言である。つまり、セキュリティ・チームは、すべてのユーザー、アカウント、アプリ、デバイスにおける暗黙の信頼や特権を見つけ出し、排除する必要があるということだ。セキュリティ・システムは、送られてくるアクセス要求をすべて認証しなければならない。
ゼロ・トラストは長期的な願望であり、即座の最終状態ではない。信頼ゼロは長期的な願望であり、即座の最終目標ではない。
最小特権を導入することは、ユーザが仕事をするために必要な最小限の権限セットを提供することであり、組織が攻撃対象領域を減らし、ゼロトラストに向けた重要な一歩を踏み出すための優れた方法である。
最初の一歩を踏み出したら、信頼ゼロの旅を続けよう。 リスクベース認証 は、セキュリティ・システムが、より賢く、よりスマートで、より迅速で、より良い情報に基づいたセキュリティ判断を下すのに役立ちます。あるユーザーが毎日午前9時(太平洋標準時)に同じAppleデバイスからログインし、同じアプリケーション・セットをリクエストした場合、私のセキュリティ・システムは高い信頼性をもって、そのパラメータ内のアクセス・リクエストを処理できるはずです。
組織が行うことができるもう一つの価値の高い動きは、強力なアイデンティティ・ガバナンス・ポリシ ーを設定し、例外ベースのセキュリティを開発することである。ユーザ X が 150 の資格を持っており、それらの資格のうち 120 が組織内の他のすべてのユーザと共有されている場合、セキュリ ティチームは、その特定のユーザに固有の 30 の資格情報に焦点を当てるべきである。
今日のサイバーセキュリティの問題は、何年も前から生じている。実際、これらは厳密には技術的な問題ではなく、人的な問題でもある。私たちはここ数年、サイバーセキュリティのスキル不足を目の当たりにしてきた。 五年, そして昨年5月には 460,000 米国だけでも、サイバーセキュリティのポジションがオープンになっている。
業界として、私たちは自分たちのためになることをしてこなかった。雇用やトレーニングの際に、私たちは包括的であるべきなのに、あまりにも排他的だった。専門用語や略語が何層にも重なり、候補者を遠ざけ、私たちの仕事の重要性を曖昧にしてきたのだ。
私たちは、サイバーセキュリティを誰にとっても身近で重要なものにする必要があります。つまり、子供たちには幼稚園でサイバーセキュリティの基本的なスキルを身につけさせ、学校を卒業するにつれて、サイバーセキュリティを実現可能な(そして重要な)キャリアの選択肢として段階的に学ばせるのです。
サイバー犯罪者はどんな危機も利用する。パンデミック(世界的大流行)が始まったとき、私たちはそれを目の当たりにした。 侵略を利用した詐欺師 ウクライナを支援するために暗号通貨の「寄付」を求める口実として。
このようなソーシャル・エンジニアリングのフェイントは、常に大規模な混乱から生じるものである。サイバーセキュリティ・リーダーは、チームに警戒を怠らないように指示し、ユーザーに良すぎるリンクをクリックしないように注意喚起する必要がある。
NPR また、 チャリティ・ナビゲーター は、ウクライナを支援する合法的な慈善団体をいくつかリストアップしている。
3月16日(水)午後2時(米国東部時間)、無料ウェビナーにご参加ください。 ご覧いただけます。
