サイバーセキュリティは従業員から始まります

私たちは皆、スモーキーベアと「山火事を防ぐことができるのはあなただけ」というスローガンに精通しています。 2015年、Smokeyはアップデートを入手し、新しい「Receive aBearHug」広告が全国に掲載されました。広告では、スモーキーは森を使い果たし、キャンプファイヤーの残り火を適切にチェックするためにキャンピングカーに大きなベアハグを与えます。スモーキーの新しい、より抱きしめるバージョンは、山火事を防ぐために彼らを叱るのではなく、責任ある決定をしたことに対してキャンピングカーに報酬を与えます。恐怖と不安は必ずしも最良の動機付けとは限らず、多くの人々は意識向上活動を通じて前向きな動機付けによりよく反応します。

10月は全国サイバーセキュリティ意識月間です。 2003年に、アメリカ人がオンラインで安全を確保するために必要なリソースを確保するために作成されました。 10月は、中小企業（SMM）が、サイバー攻撃からビジネスを保護する上で重要な役割を果たし、前向きなサイバーセキュリティメッセージを提供することについて従業員を教育する絶好の機会です。これを行う良い方法は、サイバーセキュリティインシデント対応計画を作成し、インシデントの防止と対応において各従業員が果たす重要な役割を伝えることです。

サイバーセキュリティインシデントとは、「情報システムまたはシステムが処理、保存、または送信する情報の機密性、整合性、または可用性を実際にまたは潜在的に危険にさらす、またはセキュリティポリシーの違反または違反の差し迫った脅威を構成する発生」と定義されます。セキュリティ手順、または許容可能な使用ポリシー。」例：

• 許可されていないソースからシステムまたはデータにアクセスしようとします。
• サービスの計画外の中断またはサービスの拒否。
• データの不正な処理または保存。
• システムのハードウェア、ファームウェア、またはソフトウェアへの不正な変更。

インシデント対応計画は、悪意のあるサイバー攻撃の結果を検出、対応、および制限するための、企業向けの一連の書面による指示または手順です。計画には、準備、検出と分析、封じ込め、および根絶と回復が含まれます。発生するダメージを制限するために、攻撃が発生する前にインシデント対応計画を実施する必要があります。また、攻撃からの回復にかかる時間とコストを削減するのにも役立ちます。

1。準備

サイバーセキュリティに関しては、最悪の事態に備えて計画することをお勧めします。サイバー攻撃の数は増加しており、そのような企業の多くが適切な予防策を講じていないことを考えると、SMMはサイバー犯罪者の主要な標的です。

迅速に（そして適切に）対応する能力は、被害を軽減するのに役立ちます。通知が必要な主要人物を特定する必要があります。各人物は、インシデントが発生したときに自分の役割と責任について理解し、トレーニングを受ける必要があります。

また、資産のリスト（会社が日常業務を維持するのに役立つ人、プロセス、テクノロジー）を作成して維持することもできます。

2。検出と分析

コンピュータは新しいウイルスやサイバー犯罪の戦術によって定期的に脅威にさらされているため、ウイルス対策、スパイウェア対策、およびその他のマルウェア対策プログラムをインストールして定期的に更新することが重要です。

また、Webサイトへのアクセスやファイルの作成と変更など、コンピューターとそのユーザーの操作を自動的に文書化するログを維持および監視する必要があります。ログは、侵害されたネットワークまたはシステムのシーケンスを再構築するために使用できるアクティビティの詳細な記録を提供します。これらのログファイルを使用して、タイムライン、汚染源、および汚染されたデバイスまたはサーバーを追跡および分析できます。これは、インシデントの検出に役立つだけでなく、潜在的な脆弱性を特定して修正するのにも役立ちます。

3。封じ込め

収集した情報を使用して、インシデントを封じ込めて対処する必要があります。誰かが事件を封じ込めるために必要なステップについて迅速な決定を下す権限を必要とするでしょう。インシデントが発生したことを通知する必要のある主要人物をすでに特定している場合、これは管理が容易になります。連絡先情報は定期的に更新し、必要なスタッフが簡単にアクセスできるようにしてください。インシデントが解決するまで、通常の運用アクティビティを一時的に一時停止する必要がある場合があります。

4。根絶と回復

インシデントを封じ込めたので、原因を取り除き、システムを通常の機能に復元する必要があります。これは、サーバーまたはデバイスからウイルスを削除するのと同じくらい簡単な場合もあれば、バックアップからデータを復元することを意味する場合もあります。システムを段階的にオンラインに戻す必要がある場合があります。このため、インシデントはいつでも発生する可能性があるため、増分バックアップをスケジュールすることが重要です。

また、インシデント後に学んだ教訓を考慮し、プロセス、手順、またはテクノロジーを改善する必要があります。

実行中のインシデント対応計画

最近、SMMでスピアフィッシング攻撃が発生しました。スピアフィッシングは、財務データなどの企業の機密情報を盗んだり、無害に見える電子メールを介して企業のネットワークにアクセスしたりすることを目的とした攻撃です。

メーカーの従業員は、PDFファイルに偽装されたマルウェアを含む電子メールをサプライヤーから受け取りました。電子メールは正当であるように見え、会社の従業員が前日に送信した実際の電子メールに応答していました。攻撃者はソーシャルエンジニアリングを使用して、請求書の支払いを担当する経理部門の従業員に電子メールを仕立てました。会社の従業員がPDFファイルを開くと、悪意のあるコードが会社のネットワークに導入されました。

ありがたいことに、メーカーはサイバーセキュリティを改善するために地元のMEPセンターと協力したばかりでした。同社はインシデント対応計画を作成して実施しました。彼らは、フィッシング攻撃とサイバーセキュリティインシデントが発生した場合の対処方法を認識するように従業員をトレーニングしました。同社は悪意のあるコードからの脅威を検出し、新しいインシデント対応計画を実施することで、即座に対応することができました。従業員は自分たちが何をすべきかを知っており、計画を引き出して行動に移しました。感染したコンピューターは1台だけだったため、ITチームはそのコンピューターをネットワークから削除し、悪意のあるコードを阻止しました。

従業員が果たす重要な役割

従業員は、サイバー攻撃に対する最初の防衛線です。インシデント対応計画を実施し、対応方法について従業員をトレーニングすることで、前向きなサイバーセキュリティアプローチが提供されます。多くのSMMは、サイバーリスクをまだ認識しておらず、心配していません。

文書化されたすべての攻撃の34％がメーカーを標的にしており、SMMは特に脆弱です。サイバー犯罪者は、これらの企業をサプライチェーンへの容易な入り口と見なすことがよくあります。マルウェアの90％以上が電子メールで配信されており、1回クリックするだけでビジネスが危険にさらされます。サイバー犯罪者は、システムにハッキングした場合、ネットワークにアクセスして顧客に関する機密情報を収集できることを知っています。

犯罪者があなたの会社情報を追いかけているとは思わないかもしれませんが、彼らはあなたがあなたの顧客と彼らの顧客について持っている機密情報に興味を持っていると確信することができます。システムへの脅威を浮き彫りにする統計や認識イベントは、SMMの間に恐怖をもたらす可能性がありますが、必ずしも行動に移すとは限りません。私たちはあなたの従業員のためのより前向きなサイバーセキュリティメッセージに向かって動く必要があると信じています。スモーキーと同じように、怖いクマから離れて大きなクマの巣に向かっていきましょう。

このテーマの詳細については、NIST MEPサイバーセキュリティリソースページにアクセスするか、ローカルのMEP National Network ^TM に接続してください。 質問またはサポートのセンター。