RSA Conferenceは、CISO、技術者、サイバーセキュリティの専門家が集まる世界最大かつ最も権威のある会議です。 新しい 10 年が目前に迫り、次のカンファレンスが 2 月にサンフランシスコで開催されるとき、新しい課題がここにあります。
カンファレンスに登壇しようとするサイバーセキュリティ専門家の 500 ほどの提出物を調べると (私はプレゼンテーションを選択する委員会にいます)、深い偽物、ストーカーウェア、監視攻撃などの新しい問題を垣間見ることができますが、一方で DevOps やランサムウェアなどの長年のテーマが再び重要になってきているのも確かです。
あなたが経営者なら、これらのトレンド(あるいは心配事)に気を配ってください。 これらはあなたの組織に影響を与えるかもしれません。 ここでは、投稿に基づき、私たちが見ている最大の課題をいくつか紹介します。
1. フェイクとディープフェイクが新しいバズワードです。
ディープ フェイク (本物に似せて偽造した動画や音声の録音) は、多くの専門家が関心を寄せているテーマです。 誰でもディープフェイクを作成するソフトウェアをダウンロードすることができるため、悪質な行為につながる可能性が多くあります。 例えば、ある政治家が選挙前に票を失うような発言をするフェイクを作成することができます。 また、経営幹部が犯罪者の銀行口座に振り込むよう経理部門に命令するようなフェイクを作成することも可能です。 スパイウェアの一種である「ストーカーウェア」は、スマートフォンのデータを追跡して被害者の行動を把握し、それをもとに動画や音声、文章を偽装する。 セキュリティ業界は、この新たな脅威への対応に取り組んでいるところです。
2.スマートフォンが監視攻撃に利用されている。
銀行アプリやタッチレス決済の普及に伴い、スマートフォンは金融取引のハブとなりつつある。 そのため、スマホに追跡ソフトをインストールし、スマホの使用状況から人々の行動を監視するモバイル監視攻撃が増加している。 これにより、ビジネスメールの漏洩と呼ばれる企業メール詐欺が可能になります。 攻撃者が被害者の行動を知れば知るほど、悪質なコードを含むファイルをダウンロードさせるようなメールを簡単に送ることができるようになるのです。 ユーザーは、モバイル監視の危険性とその対策についてもっと認識する必要があります。
3. ランサムウェアは、企業の支払いに応じてより巧妙になってきています。
ランサムウェアの進化と、検知機能を回避する巧妙な方法を探す攻撃者と、それをブロックする新しい方法を探す防御者の間のキャッチボールについての投稿を多く見かけました。 犯罪者は、暗号化できるデータをランダムに暗号化するのではなく、価値の高いビジネスデータを暗号化し、身代金を要求するようになりました。 私の考えでは、ランサムウェアはそのライフサイクルの半ばにあると思います。 今後何年もこの問題について議論されるでしょうが、私たちが防御を研ぎ澄ますにつれて、最終的には解決されるでしょう。
4. サプライ チェーン攻撃が増加している。
これらの攻撃は、サイバー攻撃者がウェブサイト(多くの場合、eコマースや金融)にコードを注入し、顧客の個人情報およびクレジットカード データなどのデータを盗むことを可能にするものです。 敵対者はこの種の攻撃を倍増させ、最近いくつかの成功を収めています。 2019年には、イギリスの有名企業がサプライチェーン攻撃により、過去最高の2億4100万ドルの罰金を科されました。 これは、Magecart脅威グループが仕掛けたと考えられています。 他の大企業も同様の攻撃を受けています。 今後も攻撃は続くと思われます。 防御者は、不正なコードに対する防御を強化し、それを特定し排除できるよう、常に注意を怠らないようにしなければなりません。
5. DevOpsはソフトウェア開発を加速させるが、セキュリティリスクを増大させる。
DevOpsは、開発と運用を連携させ、ソフトウェアのイノベーションを加速させるコード作成の変革手法である。 DevOps は、モノリシックで遅く、延々とテストされ、検証が容易な従来のソフトウェア開発の形態とは対照的です。 その代わり、DevOpsは迅速で、多くの小さな反復的な変更を必要とします。 しかし、これは複雑さを増し、新たなセキュリティ問題を引き起こすことになります。 DevOpsでは、既存のセキュリティ脆弱性が拡大され、新たな形で顕在化する可能性があります。 ソフトウェアの作成速度が速いということは、開発者の目に触れないところで新たな脆弱性が生まれるということです。 その解決策は、DevOpsのプロセスに最初からセキュリティ監視を組み込むことです。 そのためには、CISOとDevOpsチームの間の協力と信頼が必要です。
6. エミュレーションとデコイ環境は信頼できるものでなければならない。
大企業は、未知の脅威を追跡するために「エミュレーション環境」の構築を検討しています。 これらは、信頼できるサーバーやWebサイトを模倣していますが、実際には、悪質な行為者をおびき寄せ、その行動を観察し、その手法に関するデータを収集するために存在します。 デコイもこれと同じような仕組みです。 課題は、敵対者を実際のサーバーやウェブサイトであると思わせるのに十分なエミュレーション環境を構築することです。
7 クラウドのインシデント対応には、社内のセキュリティチームにとって新しいツールとスキルが必要です。
組織は、自社のネットワークでサイバーセキュリティ インシデントに対処することに慣れています。 しかし、データがクラウドに保存されている場合、セキュリティ チームは苦労することがあります。 セキュリティ・データはクラウド・プロバイダーによって管理されているため、セキュリティ・データに完全にアクセスすることができないからです。 そのため、日常的なコンピューティングの事象とセキュリティ・インシデントを区別するのに苦労することがあります。 既存のインシデント対応チームは、クラウド・データのフォレンジックを実施するための新しいスキルとツールを必要としています。 ビジネス・リーダーは、クラウドにおけるセキュリティ攻撃を管理し、対応するための準備と能力がチームに備わっているかどうかを確認する必要があります。
8. 人工知能と機械学習
AIとMLに関する論文は数え切れないほど寄せられています。 これらの技術は、サイバーセキュリティにおいて初期段階にあります。 攻撃者は、ネットワークがセキュリティ防御のためにどのようにMLを使用しているかを研究し、それを突破する方法を見つけ出しているのです。 彼らは、AI専門家が画像認識システムを騙して、鶏やバナナを人間と認識させようとする方法を研究しています。 そのためには、システムのMLエンジンがどのように動作するかを理解し、それを効果的に欺き、数学的モデリングを破る方法を考え出す必要があります。 攻撃者は、サイバーセキュリティで使用されるMLモデルを欺くために、同様のテクニックを使用しています。 AIとMLは、ディープフェイクを後押しするためにも利用されています。 彼らは膨大な量のデータを集めて処理し、被害者を理解し、ディープフェイク攻撃や詐欺が成功するかどうかを判断しています
9. ハードウェアとファームウェアの攻撃が復活
スペクターやメルトダウンなどのハードウェアの脆弱性に対する懸念が高まっている。 これらは2018年に明らかになった脆弱性ファミリーの一部で、過去20年間に製造されたほぼすべてのコンピュータ・チップに影響を及ぼすものです。 まだ深刻な攻撃は行われていない。 しかし、セキュリティ専門家は、ハッカーがハードウェアやファームウェアのこうした弱点を突くことができた場合、何が起こるかを予測している。
10. パワーユーザーには保護が必要
企業の最も機密性の高いデータに自分のデバイスでアクセスする上級管理職やその他のトップスタッフのために安全な接続を構築することは、極めて重要です。 彼らの安全を守るためには、どのような対策が必要なのでしょうか。
11. セキュリティ業界は、ついにDNSスプーフィングに対策を講じようとしています。
IPアドレスは、インターネット・ネットワーク上のコンピュータを識別するための数字の羅列です。 ドメインネームシステムは、ウェブ上で見つけることができるように、すべてのIPアドレスに名前を割り当てます。 DNS は、インターネットの電話帳として知られています。 しかし、悪質な業者はこの名前を詐称し、ユーザーを危険なウェブサイトへ誘導し、データを盗まれる危険性があるのです。 このような問題を特定し、DNSスプーフィングを防止するために、業界ではようやくDNS情報の収集に乗り出しました。