目次:
ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
ワシントンDCで、グッドハーバーセキュリティリスクマネジメントの会長兼CEOを務める前国家サイバーセキュリティのリチャードクラーク氏と夕食を食べていました。 「悪者たちは、すでにあなたのネットワークの中にいる」と説明した。
階層化されたセキュリティは、おそらく以前に聞いたことがあるかもしれませんが、IT部門の多くにとっては、まだ謎です。 セキュリティのレイヤーをどのように作成しますか? 必要なレイヤー数をどのように決定しますか? レイヤーは何を保護する必要がありますか? レイヤーが多すぎることはありますか?
答えは、ネットワーク、ビジネスの性質、およびリスクのレベルによって異なります。 ただし、ビジネスパートナーによってリスクのレベルが影響を受ける可能性があることを覚えておくことが重要です。 たとえば、サプライヤまたは請負業者の場合、リスクのレベルは彼らと同じになります。これらの悪者はあなたをビジネスパートナーへの経路として使用しようとするからです。
レイヤーは、保護する必要があるデータに基づいています。 これは、データが保存されていることを確認する必要があることを意味します。また、あなたからデータを取得できないことも確認する必要があります。 そして、もちろん、あなたのビジネスが影響を受けないように、ネットワークが害から保護されていることを確認する必要があります。
データを保存する
データ保存は最初の重要な層です。 そのためには、重要なデータのコピーを安全なストレージに保管し、ハッカーや不満を抱いている従業員を含む他の人がアクセスできないようにする必要があります。 ほとんどの企業では、このようなバックアップは、必要なときに簡単にアクセスできるデータセンターに存在する必要があり、改ざんがはるかに困難なクラウドにも存在する必要があります。 Amazon Web Services(AWS)、Google Cloud、IBM Cloudなどのバックアップを処理する多くのパブリッククラウドサービス、および最近競合他社であるMozyを買収したCarboniteなどの専用バックアップサービスがあります。
これらのバックアップは、地理的に多様な場所にバックアップできるため、1回の災害で危険にさらされることはありません。 通常、バックアッププロセス全体を自動化できるため、すべてのセットアップが完了したら、必要に応じてバックアップの整合性を確認するだけです。
次に、データ保護があります。つまり、誰かがそれを見つけた場合、アクセスできず、使用できなくする必要があります。 データにアクセスできないようにするには、ネットワークの一部にアクセスしても、すべてにアクセスできるわけではないように、ネットワークをセグメント化する必要があります。 たとえば、2013年にHVACシステムを介して侵害されたターゲットがネットワークをセグメント化した場合、ハッカーは他のデータにアクセスできませんでした。
ネットワークセグメンテーションには、デフォルトでアクセスを拒否し、特定のネットワークノードからのネットワーク接続のみを許可するルーターが必要です。ルーターは、メディアアクセス制御(MAC)またはIPアドレスを使用してフィルタリングします。 内部ファイアウォールもこの機能を実行でき、複雑なアプリケーションではより柔軟になります。
暗号化を見落とすことは大きな間違いです
セグメンテーションに加えて、データはネットワークを介して転送されるときと保存されるときにも暗号化する必要があります。 暗号化は、ワイヤレスおよびクラウドアクセスソフトウェアでデフォルトで実行され、最新のオペレーティングシステム(OS)はすべて標準サービスとして暗号化を提供するため、簡単に実行できます。 しかし、重要なデータの暗号化の失敗は、おそらく最近の侵害におけるデータ損失の唯一の最大の原因です。
そのようなデータが暗号化されない理由は、多くの場合そうするための法的要件にもかかわらず、怠in、無能、無知、愚かさの4つの言葉に要約できます。 データの暗号化に失敗する理由はありません。
最後に、ネットワーク保護があります。 データを保護するとともに、ネットワークが攻撃を開始するプラットフォームとして使用されていないことを確認する必要があります。また、ネットワークデバイスがあなたに対して使用されていないことを確認する必要があります。 これは特に、倉庫や工場にマシンコントローラーを含むネットワークの問題であり、モノのインターネット(IoT)デバイスの問題です。
- 独自のセキュリティを妨害しないで、ユーザーを訓練しない独自のセキュリティを妨害しないで、ユーザーを訓練する
- 消費者グレードのIoT脅威からネットワークの保護を開始消費者グレードのIoT脅威からネットワークの保護を開始
- ネットワーク境界のセキュリティの検索と修正ネットワーク境界のセキュリティの検索と修正
非常に多くのネットワークデバイスには、独自のセキュリティがほとんどまたはまったくないため、これは大きな問題です。 したがって、サービス拒否攻撃(DoS攻撃)を開始したり、会社の業務を監視する方法としてデータを吸い上げたりするためのプラットフォームとして使用するのは非常に簡単です。 また、ネットワークに対する操作のベースとして使用することもできます。 これらのデバイスを削除することはできないため、できる限り最善の方法は、デバイスを独自のネットワークに配置し、可能な限り保護し、内部ネットワークに直接接続しないようにすることです。
ここではいくつかのレイヤーについて説明しましたが、場合によってはネットワークにさらに多くのレイヤーが必要になることがあります。 ただし、各層には管理が必要であり、各層に必要な保護は他のセキュリティ層を持つネットワーク上に存在する必要があることを覚えておくことが重要です。 つまり、各レイヤーを管理するスタッフがいること、そして各レイヤーのセキュリティが別のレイヤーのセキュリティに悪影響を与えないことが重要です。
特定の脅威と戦うための一時的なセキュリティを意味する、その日の解決策を避けることも重要です。 ある種のセキュリティワザに陥り、管理不能な混乱に陥るのは簡単です。 代わりに、その日の脅威がさらに別のレイヤーを必要としない広範なアプローチを選択してください。
