12 月に開催された Black Hat Europe カンファレンスで、私は当社の上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話の最初の部分では、サイバー セキュリティ ツールの操作と、ROI とリスクを測定するための関連指標の定義の複雑さについて説明します。
色: ポール、エンドユーザー組織は何が起こっているのかをどのように理解しているのでしょうか?ここ Black Hat には、さまざまなテクノロジー、オプション、トピック、カテゴリがたくさんあります。私たちの調査では、ポスチャ管理、サービス管理、資産管理、SIEM、SOAR、EDR、XDR など、30 ~ 50 の異なるセキュリティ トピックがあります。しかし、エンドユーザー組織の観点から見ると、40 ~ 50 の異なることについて考えたくありません。彼らは 10、5、あるいは場合によっては 3 まで考えたいと考えています。あなたの仕事は、これらのテクノロジーを導入することです。彼らはそれについてどのように考えたいと考えていますか? ここで見られる複雑さを彼らが求めているシンプルさに変換するのをどのように支援しますか?
プール: 私がこのようなイベントに参加するのは、この課題が非常に複雑で急速に進化しているためです。サプライヤーや業界全体と時間を費やさずに、現代の CIO やセキュリティ リーダーになることはできないと思います。 Black Hat Europe では必ずしもそうではありませんが、作業を行うにはベンダーに連絡する必要があります。
40 ~ 50 社のベンダーについての指摘に戻りますが、その通りです。参照する調査にもよりますが、組織内のサイバーセキュリティ ツールの平均数は 40 ~ 60 です。それで、どうやってやるのですか?このようなイベントに参加するとき、私は 2 つのことを行うのが好きです。そして、GigaOm で働き始めてから 3 つ目のことを追加しました。 1 つは、人々から頼まれたので、サプライヤーと会うことです。 2つ目は、プレゼンテーションに参加することです。 3 つ目は、博覧会場を歩き回ってベンダー、特に会ったことのないベンダーと話をして、彼らが何をしているのかを見ることです。
昨日、会議に出席していたときに私の注意を引いたのは、「価値を提供するサイバーセキュリティ指標を特定する方法」というタイトルでした。 GigaOm での業務の一部は、特定のトピックに関するソリューションの有効性を測定するための指標を作成することであるため、これはアナリストの観点から私の注意を引きました。しかし、SecOps または IT 運用の一部としてテクノロジーを導入している場合は、意思決定を行うために多くの指標を収集することになります。セッションで彼らが話し合った内容の 1 つは、ツールが多すぎてノイズが多すぎるため、非常に多くのメトリクスを作成するという問題でした。価値を発見するにはどうすればよいでしょうか?
あなたの質問に対する長い答えは、彼らが私が非常に賢明なアプローチだと思う提案をしたということです。それは、一歩下がって組織としてどのような指標が重要であるかを検討するというものです。ビジネスとして知っておくべきことは何ですか?そうすることでノイズを軽減し、これらのメトリクスを提供するために使用するツールの数も減らすことができます。特定のメトリクスにもう価値がないと判断した場合、そのメトリクスを提供するツールを保持し続ける必要はありません。そのインデックスを提供するだけの場合は、削除してください。それは本当に興味深いアプローチだと思いました。 「これだけのことはすべてやった。さて、実際にまだ何が重要なのか考えてみましょう。」というようなものです。
これは進化する空間であり、それに対処する方法も進化する必要があります。 5年前に買ったからといって、まだ価値があると単純に考えることはできません。おそらく、おそらく今までに同じことを行うツールが他に 3 つあるでしょう。脅威への取り組み方も変化し、セキュリティへの取り組み方も変わりました。これらのツールのいくつかに立ち戻って、「本当にこれはもう必要ですか?」と自問する必要があります。
色: 私たちはそれによって成功を測り、ひいては私たちも変わっていくのです。
プール: はい、それはとても重要なことだと思います。最近、ある人と自動化の重要性について話していました。自動化に投資する場合、自動化を導入してから 12 か月前よりも今のほうが良いでしょうか?私たちは自動化ツールにお金を費やしてきましたが、どれも無料ではありませんでした。私たちは、これらのツールが私たちの問題を解決してくれるだろうと確信しました。 GigaOm での仕事以外で、私が CTO の役割で行っていることの 1 つは、ベンダーの夢やビジョンを取り入れ、顧客が求めているものを実現することです。
ベンダーは自社の製品があなたのために世界を変えるという願望を持っていますが、現実は相手の顧客が何を必要としているかです。それはそのような形成と理解、つまり何かを実装する前に何が起こったのか、そしてその後何が起こったのかを測定する能力です。改善を示すことができますか?また、この投資には実際の価値がありましたか?
色: 最後に、私の仮説は次のとおりです。重要な指標はリスクだけです。これは、風評リスク、ビジネス リスク、または技術的リスクに分類できます。たとえば、データが失われることはありますか?データに損害を与え、それによってビジネスに損害を与えるつもりですか?それとも、データを公開して顧客を動揺させ、レンガの暴徒のように損害を与える可能性がありますか?しかし、反対の側面もあります。リスクを軽減するために、必要以上にお金を使っていませんか?
コストや効率などが問題になりますが、組織はそれをどのように考えているのでしょうか?それが私の古い見方だからです。もしかしたら進歩しているのかもしれない。
プール: あなたは正しい道を進んでいると思います。業界として、私たちは小さなエコーチェンバーの中で生きています。したがって、私が「業界」と言うときは、私が見ている小さなもの、つまり業界全体のほんの一部を意味します。しかし、その部分では変化が見られると思います。クライアントとの会話では、リスクについてよく話されます。彼らは費用とリスクのバランスを理解し始め、どの程度のリスクであれば許容できるかを理解しようとします。すべてのリスクを排除することはできません。どれだけ多くのセキュリティ ツールを導入しても、誰かが愚かなことをしてビジネスを脆弱性にさらすリスクが常にあります。そしてそれは、AI エージェントが他の AI エージェントと仲良くなって悪意のあることをしようとしているという話に入る前の話です。それはまったく別の話です。
色: ソーシャルエンジニアリングのようなものですか?
プール: はい、とてもそうです。全く違う番組ですよ。しかし、リスクを理解することはより一般的になりつつあります。私が話をする人々は、これがリスク管理であることを理解し始めています。すべてのセキュリティ リスクを取り除くことはできませんし、すべてのインシデントに対処することもできません。ビジネスにとっての本当のリスクがどこにあるのかを特定することに重点を置く必要があります。たとえば、CVE スコアに対する批判の 1 つは、人々はスコア 9.8 の CVE を見て、それが大きなリスクであると想定するが、その周囲の背景がまったくないというものです。 CVE が野生で観察されるかどうかは考慮されていません。そうでない場合、最初に遭遇するリスクは何ですか?そして、そのエクスプロイトが非常に複雑で実際には見られない場合、誰かがそれを使用することはどの程度現実的でしょうか?
それを悪用するのは非常に難しいので、誰もそれを悪用することはありません。バージョンは 9.8 で、脆弱性スキャナーに表示され、「これに対処する必要があります。」と表示されます。実際には、コンテキストが適用されていないターンをすでに目にしていることになります (実際にそれを見た場合)。
色: リスクは確率と効果の積に等しい。つまり、確率について話しているのですが、それはあなたのビジネスに影響を与えるのでしょうか?これは半年ごとのメンテナンスに使用されるシステムに影響しますか、それとも顧客側のサイトに影響しますか?しかし、私が興味を持ったのは、1990 年代に私たちが実際にそれを行っていたとき、リスク回避の波を経験し、その後「すべてを停止しなければならない」という状況になり、それがリスク軽減やリスクの優先順位付けなどに至るまで、あなたが話していることです。
しかし、クラウドの進歩と、デジタル世界でのアジャイルのような新しい文化の台頭により、「そう、それが起こらないようにして、すべてのドアをロックし、ゼロトラストを浸透させなければなりません」という状況に戻ってしまったように感じます。そして今、「これについてはもう少し賢く考える必要があるかもしれない」という波が起きています。
プール: それは本当に良い点であり、実際、あなたが提起したのは興味深い類似点です。これを記録しながら少し議論しましょう。議論してもよろしいでしょうか?ゼロトラストの定義について少し質問します。したがって、ゼロトラストはすべてを止めようとするものとして見られることがよくあります。これはおそらくゼロトラストには当てはまりません。ゼロトラストはむしろ態度であり、テクノロジーはその態度を支えるのに役立ちます。とにかく、これは私自身との個人的な議論です。しかし、ゼロトラスト…
さて、後でここに来て自分自身と議論します。つまり、ゼロトラスト…それを例にとると、それは良いことです。私たちが行うのは暗黙の信頼です。あなたがログインすると、私はあなたのユーザー名とパスワードを取得します。その後、安全なバブル内であなたが行ったことはすべて、悪意のあるアクティビティがなければ有効であると見なされます。問題は、アカウントが侵害された場合、悪意のない行為がログインだけになる可能性があることです。ログインすると、ハッキングされたアカウントが実行しようとすることはすべて悪意のあるものになります。暗黙の信頼を作る場合、私たちはあまり賢くありません。
色: では、その逆はアクセスを完全にブロックすることになるのでしょうか?
プール: これは現実ではありません。人々の入国を止めることはできません。ゼロトラストでは、ユーザーの侵入を許可しますが、すべてを盲目的に信頼することはできません。私たちは今のところあなたを信頼していますが、あなたの行動には常に感謝しています。あなたが私たちを信頼できなくなるような行為をした場合、私たちはそれに基づいて行動します。自分の活動が適切であるか、それとも悪意がある可能性があるかを常に評価し、それに応じて行動することが重要です。
色: 私はあなたの言うことにすべて同意するので、これは非常に残念な議論になるでしょう。あなたは私以上に自分自身と議論していますが、私はあなたが言ったように、城の防御モデル、一度入ったら、あなたは入ると思います。
そこでは 2 つのことを混ぜ合わせていますが、城の中に入ったら何をしてもいいという考えです。変わりました。
それでどうすればいいでしょうか?パート 2 の費用対効果の高いソリューションを提供する方法をお読みください。
この投稿「サイバーセキュリティを理解する – パート 1: 複雑さを見抜く」は、最初に Gigaom に掲載されました。
