打ち上げ。

これは1983年9月26日、ソ連の核早期警戒システム「オコ」が発した自動コマンドだった。サイレンが鳴り響いた。スクリーンが点滅した。アメリカは核攻撃を開始したのだ。

モスクワ近郊の地下壕に隠れていたスタニスラフ・ペトロフ中佐は、ある選択を迫られた。プロトコルでは、警戒態勢を報告することになっていた。そうすれば、ソ連は即座に反撃を開始し、世界は核戦争に突入することは避けられない。しかし、ペトロフはソフトウェアの開発を手伝い、欠陥があることを知っていた。彼はシステムをリセットすることを選んだ。

警報は続いた。

それでもペトロフは報告しなかった。核攻撃を裏付ける証拠がなかったため、ペトロフは誤報として処理した。彼はシステムの誤作動として報告し、反撃は開始されなかった。このため、彼は "世界を救った男 "と呼ばれている。(結局、誤報は太陽光が高層雲に反射したためとされた）。

ペトロフの話は、危機的状況における人間の判断の重要性を強く思い起こさせるものだ。利害関係が大きい場合、自動化だけに頼ると悲惨な結果を招きかねない。サイバーセキュリティにおいても、同じ原則が当てはまる。自動化されたツールにはそれなりの役割があるが、実践的な専門知識はコンテキストを提供し、効果的なサイバー・レジリエンスを推進する。

サイバー・レジリエンスにおける人間の優位性

自動化された評価は、事前に定義されたルールに依存しているため、検出するようにプログラムされたものしか見つけることができない。もちろん、サイバー攻撃者はどんなルールにも従わない。彼らは適応し、革新し、ツールが認識できないギャップを突く。自動スキャンだけでは不十分な傾向があるのは、まさにそのためだ。

マニュアル・レビューでは、技術的なコントロールのユニークな相互関係に焦点を当て、人間的な洞察がもたらされます。この深く掘り下げたアプローチ（私たちは「ショルダーサーフィン」と呼んでいます）は、コンプライアンスやポリシーの実践ではありません。これは、実際のコントロールとコンフィギュレーションの包括的なレビューであり、最新の脅威要因の行動に対するベンチマークでもあります。

自動化ツールが見落としている1つの大きなこと

自動化されたスキャンは、チェックリストを通して実行するには最適だが、パズルの最大のピースである違反のコンテキストを見逃している。

自動化ツールによって「低リスク」と判定された誤設定について考えてみましょう。この誤った設定が他のシステムとどのように相互作用しているのか、あるいは脅威行為者が今日どのようにこの設定を悪用している可能性があるのかを理解せずに、目隠しをして操作していることになります。これらのツールは、既知の脆弱性と脅威に基づいている。攻撃者のように考えることはできない。しかし、ショルダー・サーフィンのセッションでは、セキュリティの専門家がレジリエンスを念頭に置いてコンフィギュレーションをレビューする。セキュリティ専門家は、問題そのものを評価し、それがセキュリティの全体像の中でどのように位置づけられるかを考え、正しい一連の行動を決定することを含め、これらすべてのデータを実行可能なインテリジェンスに変換することができる。侵害のコンテキストは動的であり、インテリジェンスの絶え間ない更新だけでなく、解釈も必要となる。

自動化されたツールは、侵害のコンテキストデータの良い情報源ではありません。公開された情報からは新たな脅威についてある程度の洞察が得られるかもしれないが、脅威の主体は迅速に適応するため、重要な侵害データの大部分は弁護士によってロックされたままであり、自動スキャンにはアクセスできない。

脅威行為者がこのデータなしにバックアップを破壊することを防ぐために、どのようにバックアップを編成すればよいのでしょうか？どうすれば大量破壊の可能性を減らすことができるのか？すべてのダッシュボード、管理者パネル、設定を手作業で見直すには、専門知識を持った人間が必要です。

ツールもまた、与えられたデータと同じ程度にしか使えない。ツールは未知のものを予測することはできませんし、クライアントが昨日発見したまったく新しい攻撃ベクターについて教えてくれるわけでもありません。ハンズオンレビューと専門家による分析を組み合わせることで、必要な侵害のコンテキストを提供し、優先順位付けされた実行可能な改善ロードマップを作成することができます。

人間主導のレビューでサイバー耐性を強化する

ポリシーや自動化ツールではランサムウェアを止められない。逆を考え、攻撃者の最終手段を解決する必要がある。手動レビューでは、サイバー攻撃者が行うように自社のインフラを見ることができます。また、これらの構成が侵害の際にどのように活用される可能性があるかについても考慮する必要があります。

最新の脅威インテリジェンスにアクセスすることは、バックアップと関連制御を適切に（そして定期的に）実行するために不可欠です。現実には、バックアップ制御が安全で、冗長性があり、不変であり、現在の脅威行為者のプレイブックに沿ったものである限り、安全であるに過ぎません。残念ながら、我々の情報によると、重要なシステムの80％は攻撃を生き延びることができない。生き残った20％のうち、現実的な時間枠内で使用できるのは半分に過ぎない。すべてのシステムは、直面する攻撃戦術に照らして調整されなければならない。

そこで質問だ：最後に自動化ツールにパッチが当てられたのはいつですか？また、脅威の移り変わりに対応できない可能性のあるツールに依存するリスク許容度はどの程度だろうか？

自動化されたツールは貴重だが、組織のセキュリティ確保に真剣に取り組むのであれば、ツールのコンフィギュレーションとコントロールを手動でレビューすることは、見落としをなくすために不可欠である。攻撃を進化させるには、防御を進化させる必要がある。

ショルダーサーフィンについて、また脅威行為者からネットワークを保護する方法について詳しくお知りになりたいですか？サイバーレジリエンスの専門家にご相談ください。