読者です 読者をやめる 読者になる 読者になる

SPONSORED LINK

悪意のあるサイバーセキュリティインシデントが生じた時の『最優先事項と行動』とは?

f:id:security-security:20170502044735j:plain

悪意のあるサイバーセキュリティインシデント(問題)の被害者をビジネス上で発見した場合は、セキュリティ担当者としてインシデントの影響と被害を制限するために可能な限り素早く行動・対処することとなる。

 

セキュリティ担当者であるあなたのインシデント対応の行動は、ビジネスの事業計画・システム・データを危険にさせる影響を持ち合わせているからこそ、迅速な判断が必要だ。

 

SPONSORED LINK

 

 インシデント対応時の最優先事項とは?

サイバーセキュリティインシデント(犯罪が生じている現場)での対応を求められている場合は、法的措置や訴追の可能性を考慮して証拠保全を最初に行う必要性がある。

 

ほぼ全てのサイバーセキュリティインシデントが生じている現場での最優先事項は、隣接システムやデータの拡散を止め、ダメージを制限するための封じ込め対策となる。

 

これは悪意あるハッカーによって問題がこれ以上拡散しないようにするために必要な行動となる。

 

具体的には、Webネットワークから対象となるコンピュータを利用停止にする。アカウントから権限を取り消す。既知の攻撃者をファイアウォールによって守る。またはパスワードを変更するなど、さらなる確定的な情報が入手できるまで、慎重に封じ込め活動を行う必要がある。

 

また、国家警察署長協議会(NPCC)は証拠に関連する4つの原則を定義している。

 

・原則1. 法執行機関、その機関またはその代理人に雇用されている者は、後に裁判所に依拠する可能性のあるデータを変更する必要はない。

・原則2. セキュリティ対応者が元のデータにアクセスする必要があると判断した場合、その人物はそれを実行する能力があり、行為の妥当性と含意を説明する証拠を提示することができなければならない。

・原則3. デジタル証拠に適用されるすべてのプロセスの監査証跡またはその他の記録を作成し、保存する必要がある。また、独立した第三者はそれらのプロセスを検討し、同じ結果を達成可能な状況にする必要がある。

・原則4. 調査責任者は、法律とこれらの原則が遵守されることを確実にするための全責任を負う必要性がある。

SPONSORED LINK

 

サイバーセキュリティインシデントの『証拠』が変更されないようにする

封じ込め活動が後で収集される「証拠」の変更が起きる可能性を認識することが重要であり、慎重に対応する必要がある。

 

訴追と訴訟が起こる可能性がある場合、証拠に関する証拠の鑑識的なイメージを得ることは、封じ込め活動が開始される前に優先事項となる。

 

これはコストがかかる可能性があり通常の操作を再開するプロセスを遅らせる可能性もあるが、 高度な敵に攻撃されていると考えられる場合は、環境内で攻撃者の行動を秘密裏に観察するまで封じ込めを保留することが重要となる。

 

即時対応すべきインシデント発生時にはどうすれば良いのか?

即時対応すべきインシデントが発生している場合は、すぐさま対処行動に移る必要がある。

 

現段階では、サイバーセキュリティインシデントの深い分析が可能な専門家が行うべき行動を認識しておくべきだ。

 

・影響を受けるデバイスフォレンジックツール用データ取得

・特定された悪意あるマルウェアの専門的分析と対応

・侵入されたシステムへのライブ分析

・攻撃されたシステムと関連して、影響を受けるシステムがある場合は、それらを識別する為にマルウェア検出ツールを利用

・利用可能な情報から、攻撃者が封じ込め行動後に活動をしているのかや、段階的に攻撃が拡大しているのかを判断

 

サイバーセキュリティインシデントの性質や攻撃対象を理解しながら、インシデント対応する事が重要となる。

 

特に不完全なインシデント対応は、悪意あるハッカーがシステムとデータへのアクセスを保持し続ける危険性がある事を意味する。

 

また、マルウェアを含む多くのインシデントでは、影響を受けるシステムを最初から再構築するか、または既知の正常なバックアップから復元する必要がある。

 

特に意識すべきポイントは、情報を改ざんされずに慎重に保存し続ける行動を通じて、今後の訴追に向けて準備を怠らない事だ。

 

これは訴訟に発展しない場合でも、自社が悪意あるハッカーから攻撃を受けた事実を明示的に示す為にも必要な行動となる。

 

迅速にデータ保全を行いつつ、問題を解決する姿勢が大切だ。