インシデント対応が重要な理由
サイバー攻撃は増加の一途をたどっており、あらゆる業界のあらゆる規模の企業に脅威を与えています。 どの組織もデータ侵害やランサムウェア攻撃の被害に遭う可能性があり、サイバーセキュリティインシデントを効果的に管理するために必要なツールとプロセスが必要です。
インシデント対応は、組織がインシデントの範囲と影響を判断し、それを修復するための手順を踏むことができるため、重要です。 インシデント対応者は、侵入を調査し、感染したシステムを封じ込めて修復し、脅威が排除された後、通常の運用を復元します。
インシデント対応は、組織が適切に処理する準備ができていれば、データ侵害やその他のサイバーセキュリティインシデントのコストに大きな影響を与える可能性があります。 インシデント対応チームとテスト済みのインシデント対応計画を持つ企業は、どちらも持たない企業に比べて 、平均してデータ侵害コストが54.9%低くなっています 。
インシデント対応プロセス
インシデント対応の目標は、組織が潜在的な侵入 (侵入が存在すること以外) についてほとんどまたはまったく知らない状態から、修復を完了することです。 この目標を達成するプロセスは、次の6つの主要な段階に分かれています。
- 準備:準備は、効果的なインシデント対応と、サイバーセキュリティインシデントのコストと影響を最小限に抑えるための鍵です。インシデント対応を準備するために、組織はインシデント対応チームを作成し、インシデント対応プロセスの各段階をどのように処理すべきかを概説するインシデント対応計画を定義してテストする必要があります。
- 識別: インシデント対応は潜在的なインシデントの検出から始まるため、チームは侵入の範囲に関する情報をほとんどまたはまったく持っていません。 特定段階では、インシデント対応者は潜在的なインシデントを調査して、何が起こったか、影響を受けたシステム、潜在的な規制上の影響などを判断します。
- 封じ込め: インシデントの影響を受けたシステムを特定した後、インシデント対応チームはそのシステムをネットワークの残りの部分から隔離します。 サイバー脅威アクターとそのマルウェアは、通常、目的を達成したり、攻撃の影響を最大化したりするために、企業ネットワーク内を横方向に移動しようとします。 感染したシステムを早期に隔離することで、攻撃によるコストと損害を抑えることができます。
- 根絶: プロセスのこの時点で、インシデント対応チームは完全な調査を実施し、何が起こったかを完全に理解していると考えています。 その後、インシデント対応者は、侵害されたシステムから感染の痕跡をすべて削除します。 これには、マルウェアの削除と永続化メカニズムの削除、またはクリーンなバックアップから影響を受けたコンピューターの完全なワイプと復元が含まれる場合があります。
- 回復: 根絶後、インシデント対応チームは、マルウェアが完全に排除されたことを確認するために、感染したシステムをしばらくの間スキャンまたは監視する場合があります。 これが完了すると、コンピュータは検疫を解除して企業ネットワークの他の部分から隔離することで、通常の動作に復元されます。
- 教訓:サイバーセキュリティインシデントは、何かがうまくいかなかったために発生しますが、インシデント対応が常に完璧に行われるとは限らないことを覚えておくことが重要です。 インシデントが修復された後、インシデント対応者とその他の利害関係者は、ふりかえりを実行して、インシデントの可能性を減らし、将来のインシデント対応を改善するために修正できるインシデント対応計画のセキュリティギャップと欠点を特定する必要があります。
アウトソーシングされたインシデント対応サービスの利点
インシデント対応は、経験豊富な対応者が迅速に実行する場合に最も効果的です。 多くの場合、組織には、完全なインシデント対応チームを24時間体制で配置するためのリソースが不足しています。 1 つの方法は、専門的なインシデント対応サービスを提供する組織と連携することです。
これには、次のようないくつかの利点があります。
- 可用性: インシデント対応チームが作業を開始するのが早ければ早いほど、攻撃が組織に与えるコストと影響は低くなります。 サイバーセキュリティインシデントはいつでも発生する可能性があり、営業時間外にインシデント対応チームのメンバーに連絡することが困難な場合があります。 専門のインシデント対応プロバイダーは、スタッフに複数のチームを配置し、より優れたカバレッジと可用性を提供します。
- 経験: セキュリティ インシデントを誤って処理すると、組織のコストと損害が増加する可能性があります。 たとえば、ランサムウェア攻撃は感染したシステムを不安定にし、再起動すると暗号化されたデータを回復できなくなる可能性があります。 プロのインシデント対応者は、セキュリティインシデントを効率的かつ正確に処理するために必要な経験を持っています。
- 専門知識: インシデント対応には、通常、フォレンジック分析やマルウェアのリバースエンジニアリングなどの専門知識が必要です。 ほとんどの企業は、これらのスキルセットを社内に持っている必要はありませんが、専門のインシデント対応チームは、サイバーセキュリティインシデントを処理するために必要な専門家にアクセスできます。
- インシデント対応プロセス全体の管理: アウトソーシングされたインシデント対応プロバイダーは、組織のインシデント対応ニーズをすべてサポートする必要があります。 これには、インシデント対応の準備、検出された侵入の管理、将来の攻撃の軽減に向けた取り組みが含まれます。 プロセスを詳しく見ていきましょう。
#1。準備。 資格のあるインシデント対応チームは、インシデントが発生する前に支援を提供できる必要がありますが、これらに限定されません。
- インシデント レスポンスの計画策定
- 個々の状況に応じた「脅威」に関するコンサルティング
- 机上演習
- ポリシーの作成
- インテリジェンスの共有
- 攻撃対象範囲の評価
- ニーズに基づいた脅威管理
- SOC向けトレーニング/プレイブックの策定
#2。応答。 脅威が特定されたら、インシデント対応チームは、次のような完全なインシデント対応プロセスを管理する必要があります。
- 攻撃の緩和
- 包括的なインシデント対応
- マルウェア フォレンジック
- エンドポイント/ネットワーク/モバイル フォレンジック
- 脅威インテリジェンス
- 攻撃動向の分析
- 実用性の高い詳細なレポーティング
#3。緩和。 真の脅威の検出と対応は、既知のセキュリティインシデントの管理にとどまらず、未知の脅威の検出、修復、防止にも及びます。 アウトソーシングされたインシデント対応プロバイダーは、以下も提供する必要があります。
- ドメイン テイクダウン サービス
- セキュリティ侵害のアセスメント
- 脅威ハンティングへの関与
- アクティブな脅威の管理
- 攻撃妨害サービス
チェック・ポイントによるインシデント対応サービス
チェック・ポイントのインシデント対応 は、24時間7日365日体制で提供され、企業がセキュリティインシデントを管理できるよう支援します。 組織がサイバー攻撃を受けている場合は、 チェック・ポイントのインシデント対応ホットライン に電話して支援を求めてください。
チェック・ポイントは、将来の潜在的なサイバー攻撃からプロアクティブに保護し、備えたいと考えている組織にもサポートを提供しています。 チェック・ポイントの サイバーセキュリティ リスク評価 は、組織の環境全体(クラウド、ネットワーク、エンドポイント、モバイル、IoT)にわたる完全なリスク分析を提供します。 チェック・ポイントは 、過去の侵害の検出、サイバーセキュリティの成熟度の評価、インシデント対応戦略の策定にも役立ちます。