12 月の Black Hat Europe カンファレンスで、私は上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話の最初の部分では、サイバーセキュリティ ツールの操作と、ROI とリスクを測定するための関連指標の定義の複雑さについて説明します。
ジョン: ポール、エンドユーザー組織は何が起こっているのかすべてをどうやって理解しているのでしょうか?ここ Black Hat には、さまざまなテクノロジー、オプション、トピック、カテゴリが豊富にあります。私たちの調査では、ポスチャ管理、サービス管理、資産管理、SIEM、SOAR、EDR、XDR など、30 ~ 50 の異なるセキュリティ トピックがあります。しかし、エンドユーザー組織の観点からすると、40 ~ 50 の異なることについて考えたくありません。彼らは 10、5、あるいは場合によっては 3 について考えたいと考えています。あなたの役割は、これらのテクノロジーを導入することです。彼らはそれについてどのように考えたいと考えていますか? ここで見られる複雑さを彼らが求めているシンプルさに変換するのをどのように支援しますか?
ポール: この課題は非常に複雑で急速に進化しているため、私はこのようなプログラムに参加しています。ベンダーやより広範な業界と時間を費やさずに、現代の CIO やセキュリティ リーダーになることはできないと思います。 Black Hat Europe では必ずしもそうではありませんが、作業を行うにはベンダーと接続する必要があります。
40 ~ 50 社のベンダーについての話に戻りますが、その通りです。参照する調査にもよりますが、組織内のサイバーセキュリティ ツールの平均数は 40 ~ 60 です。それで、どうやってそれを維持しますか?このようなイベントに参加するとき、私は 2 つのことを行うのが好きです。GigaOm と協力し始めてから、3 つ目のことが追加されました。 1 つはベンダーと会うことです。人々からそうするように頼まれたからです。 2つ目は、プレゼンテーションに参加することです。 3 つ目は、展示会場を歩き回ってベンダー、特に会ったことのないベンダーと話をして、彼らが何をしているのかを見ることです。
私は昨日セッションに参加しましたが、私の注意を引いたのは、「価値を提供するサイバーセキュリティ指標を特定する方法」というタイトルでした。 GigaOm での業務の一部は、特定のトピックにおけるソリューションの有効性を測定するための指標を作成することであるため、これはアナリストの観点から私の注意を引きました。しかし、SecOps または IT 運用の一部としてテクノロジーを導入している場合は、意思決定を行うために多くの指標を収集することになります。セッションで彼らが話し合った内容の 1 つは、ツールが多すぎてノイズが多すぎるため、非常に多くのメトリクスを作成するという問題でした。どのようにして価値を見出し始めますか?
あなたの質問に対する長い答えは、彼が私が非常に賢明なアプローチだと思うことを提案したということです。それは、一歩下がって、何が重要な指標について組織として考えるというものです。ビジネスとして知っておくべきことは何ですか?こうすることでノイズを軽減でき、また、それらのメトリクスを提供するために使用するツールの数も削減できる可能性があります。特定のメトリクスにもう価値がないと判断した場合、そのメトリクスを提供するツールを保持し続ける必要はありません。そのメトリクスを提供する以外に何もしない場合は、削除してください。それは本当に興味深いアプローチだと思いました。まるで、「これですべてをやり遂げた。さあ、本当に重要なことは何なのか考えてみましょう。」というようなものです。
これは進化する空間であり、それに対処する方法も進化する必要があります。 5年前に買ったからといってまだ価値があると単純に考えることはできません。おそらく今までに、同じことを行うデバイスが他に 3 つあるでしょう。私たちの危険に対する認識は変わり、安全に対する認識も変わりました。これらのツールのいくつかを振り返って、「これは本当に必要ですか?」と自問する必要があります。
ジョン: 私たちはそれによって自分の成功を測り、それによって私たちは変わっていきます。
ポール: はい、それは非常に重要なことだと思います。最近、ある人と自動化の重要性について話していました。自動化に投資する場合、自動化を導入した 12 か月前よりも今のほうが良いでしょうか?私たちは自動化ツールにお金を費やしていますが、それらはどれも無料ではありません。私たちは、これらのツールが問題を解決してくれるだろうと信じてきました。 Gigaom での仕事に加えて、私が CTO の役割で行っていることの 1 つは、ベンダーの夢やビジョンを取り入れて、顧客が求めているものを現実に変えることです。
ベンダーは自社の製品があなたのために世界を変えるという願望を持っていますが、現実には、顧客が必要としているものは反対側にあります。それは、ある種の統合と理解です。何かを実装する前に何が起こったのか、そしてその後何が起こったのかを測定できるようになります。改善を示すことができるか、またその投資に真の価値があるか?
ジョン: 結局のところ、これが私の仮説です。重要な尺度はリスクだけです。それを風評リスク、ビジネスリスク、または技術リスクに分類できます。たとえば、データが失われることはありますか?データを侵害してビジネスに損害を与えるつもりですか?それとも、データを公開して顧客を怒らせ、多大な損害を被る可能性がありますか?しかし、反対の側面もあります。リスクを軽減するために必要以上にお金を費やしていませんか?
コストや効率などを考慮しているのですが、組織も同じように考えているのでしょうか?それが私の古い見方だからです。もしかしたら、それは進んでいるのかもしれない。
ポール: あなたは正しい道を進んでいると思います。業界として、私たちは小さなエコーチェンバーの中に住んでいます。したがって、私が「業界」と言うときは、私が見ている業界全体のごく一部のことを意味します。しかし、その部分では変化が見られると思います。顧客との会話ではリスクについて多くの議論が行われます。彼らは費用とリスクのバランスを理解し始めており、どの程度のリスクを許容できるかを把握しようとしています。すべてのリスクを排除することは決してできません。どれだけ多くのセキュリティ ツールを導入しても、誰かが愚かなことをしてビジネスの脆弱性を暴露するリスクが常にあります。そしてそれは、AI エージェントが他の AI エージェントと仲良くなって悪意のあることをしようとしているという話に入る前の話です。それはまったく別の話です。
ジョン: ソーシャルエンジニアリングのようなものですか?
ポール: はい、とてもそうです。全く別の番組ですよ。しかし、リスクを理解することは一般的になりつつあります。私が話す人々は、それがリスク管理の問題であることに気づき始めています。すべてのセキュリティ リスクに対処することはできませんし、すべてのインシデントに対処することもできません。ビジネスにとって本当のリスクがどこにあるのかを特定することに重点を置く必要があります。たとえば、CVE スコアに対する批判の 1 つは、人々はスコア 9.8 の CVE を見て、それが大きなリスクであると想定するが、その周囲の背景がまったくないというものです。 CVE が野生で観察されたかどうかは考慮されていません。そうでない場合、そもそも遭遇するリスクは何でしょうか?そして、そのエクスプロイトが非常に複雑で、実際に見つかっていない場合、誰かがそれを使用することはどの程度現実的でしょうか?
それを悪用するのは非常に複雑なので、誰もそれを悪用することはありません。バージョンは 9.8 で、脆弱性スキャナーに「これには本当に対処する必要があります」と表示されます。実際には、コンテキストが適用されない変更が実際に行われているのをすでに目にしていることになります。
ジョン: リスクは確率に影響を乗じたものに等しい。つまり、実現可能性について話しているのですが、これはあなたのビジネスに影響を与えるのでしょうか?影響を受けるのは、6 か月に 1 回のメンテナンスに使用するシステムですか、それとも顧客向け Web サイトですか?しかし、私が興味を持ったのは、90年代に私たちが実践的に取り組んでいたとき、リスク回避の波を経験し、その後、リスクの削減やリスクの優先順位付けなどを通じて「すべてを停止しなければならない」と言い、それがあなたが話していることです。
しかし、クラウドの進歩とデジタル世界におけるアジャイルな新しい文化の台頭により、「よし、これを阻止し、すべてのドアを閉め、ゼロトラストを強制する必要がある」という方向に戻ってしまったように感じます。そして今、「これについてもう少し賢く考える必要があるのではないか」という波が起きています。
ポール: それは非常に良い指摘であり、実際、あなたが提起したのは興味深い例えです。これを録音している間、少し議論しましょう。議論してもよろしいでしょうか?ゼロトラストの定義に少し疑問を感じます。したがって、ゼロトラストはすべてを阻止しようとする試みとして見られることがよくあります。これはおそらくゼロトラストには当てはまりません。ゼロトラストは態度であり、テクノロジーはその態度を強化するのに役立ちます。とにかく、これは私との個人的な議論です。しかし、ゼロトラスト…
さて、後ほどここで自己紹介と自己主張をさせていただきます。つまり、ゼロトラスト…例として挙げれば、それは良いことです。私たちが以前行っていたのは、組み込みの信頼でした。あなたがログオンすると、私はあなたのユーザー名とパスワードを受け入れます。その後、安全なバブル内であなたが行ったことはすべて、悪意のある活動がなければ正当なものとみなされます。問題は、アカウントが侵害された場合、悪意のない行為がログインだけである可能性があることです。ログインすると、侵害されたアカウントが実行しようとすることはすべて悪意のあるものになります。もし私たちが暗黙の信念を持っているなら、私たちはあまり賢くはありません。
ジョン: では、逆にアクセスは完全にブロックされてしまうのでしょうか?
ポール: これは現実ではありません。ユーザーのログインを阻止することはできません。ゼロトラストによりログオンが可能になりますが、すべてを盲目的に信頼することはできません。今のところ、私たちはあなたを信頼しており、あなたの仕事を評価し続けます。あなたが私たちに対する信頼を失うような行為をした場合、私たちは行動を起こします。自分の活動が適切であるか、それとも悪意がある可能性があるかを常に評価し、それに応じて行動することが重要です。
ジョン: 私はあなたの言うことにすべて同意するので、これは非常に残念な議論になるでしょう。あなたは私以上に自分自身と議論しましたが、私はあなたが言ったように、城の防御モデル、一度入ったら、もう中に入ると思います。
そこでは 2 つのことを混ぜ合わせていますが、目的は、宮殿に入れば何をしてもいいということです。彼は変わりました。
それで、それについて何をすべきでしょうか?費用対効果の高いフィードバックを提供する方法については、パート 2 をお読みください。
この投稿「サイバーセキュリティを理解する – パート 1: 複雑さを見抜く」は、最初に Gigaom に掲載されました。
