信頼とレジリエンス — サイバーセキュリティの新たな最前線

ラグー

サイバー犯罪者は信頼の上に成り立ちます。経営幹部を騙すディープフェイク、従業員を騙すソーシャルエンジニアリング、恐怖を悪用するランサムウェア交渉など。しかし、組織がセキュリティに投資しても、セキュリティbreaches は避けられません。本当の問題は、回復できるかということです。真のサイバーセキュリティレジリエンスとは、攻撃を防ぐことだけではありません。組織が攻撃に耐え、攻撃から立ち直れるようにすることです。

[コールドオープン]

(SFX: 緊急ニュース速報の音、キーボードでの入力、バックグラウンドでかすかに流れる緊迫した電話。)

ラグー

想像してみてください。あなたはグローバル企業の最高財務責任者（CFO）です。CEOから電話がかかってきました。彼の声、緊急性、紛れもないものです。緊急の電信送金が必要です。日常茶飯事だよね？ただし... あなたのCEOはその電話をかけたことはありません。それはディープフェイクでした。信頼を悪用するように設計された、完璧に複製された声が、そのようにして数百万人が消えてしまいます。

(SFX: クリック。サイレンス。遅いビートがフェードインします。)

ラグー

これは新しいサイバー戦場です。信頼は私たちのビジネス、人間関係、デジタル世界を促進しますが、それは私たちの最大の脆弱性でもあります。そして、その信頼が活かせば、生き残りと大惨事の間に立ちはだかるのは、レジリエンスだけです。

のシーズン3へようこそ セグメント:ゼロトラストリーダーシップポッドキャスト. 私はあなたのホスト、ラグー・ナンダクマラです。今シーズンは、サイバー犯罪者が信頼を武器にする方法、レジリエンスが単なる予防以上のものである理由、サイバーセキュリティにおいて人間の心理学が依然として最も利用されている要素である理由など、信頼、レジリエンス、そして人間の行動の交差点を探ります。

(SFX: 調子が変わって、明るくて真面目な感じがする。)

[セグメント1: トラストエクスプロイト]

(SFX: オーディオに若干の歪みが生じ、その後に自信に満ちた声が続く)

ラグー

サイバー犯罪は必ずしも巧妙なハッキングによるものではなく、多くの場合、操作に関するものです。そして、それは信頼を悪用することから始まります。

ブレット・ジョンソン

「真実が何であろうと関係ない。君に何を納得させるかが重要だ。そして、私たちは今、これまで以上にそれを目の当たりにしています。」

ラグー

まさにそこにある声明が、今日のサイバー犯罪の根幹です。そして、ブレット・ジョンソンほどこれをよく理解している人はいない。かつて悪名高いサイバー犯罪者であり、ShadowCrewの首謀者でもあったブレットは、現代のサイバー犯罪の形成に貢献しました。今日、彼はかつて画策していた計画そのものを阻止するために働いています。

(SFX: 録音した会話のスローフェードイン)

ブレット・ジョンソン

「オンライン攻撃について考えると、その理由には実際には3つの動機しかありません。それはステータス、現金、またはイデオロギーです。ステータス — 犯罪仲間を感動させようとしてるんだ現金 — お金を稼ごうとしています。それとも私を怒らせて、私はあなたを捕まえようとしてるの。」

ラグー

これはお金を盗むだけではありません。誤情報、ディープフェイク、サイバー戦争。それらはすべて、信頼という1つのものを悪用しています。

(SFX: キーボード入力、遠隔通知音)

ラグー

それがコツだよね？サイバー犯罪者は、単に人々を説得して侵入させることができれば、セキュリティシステムを突破する必要はありません。テクノロジーは方程式の一部ですが、本当の弱点は人間の行動です。

エリック・ハフマン博士は、人間の行動がサイバーセキュリティにどのように影響するかを研究するサイバー心理学者です。彼の研究は、なぜ人々が詐欺に陥るのか、攻撃者がどのように信頼を操作するのか、なぜ組織が同じセキュリティミスを繰り返すのかに焦点を当てています。

エリック・ハフマン博士

「300人以上のハッカーのグループを引っ張り、自認しました。その93％が、テクノロジーを始める前に人間から始めると答えています。」

[セグメント2: 組織内の信頼]

ラグー

信頼は、攻撃者が外部から悪用するだけのものではありません。内部でも見当違いになる可能性があります。そうなると、組織は内部から脆弱な状態になります。

ケリー・ミサタ博士は長年にわたり、ミッション主導型の組織でセキュリティをDNAに組み込む手助けをしてきました。彼女は、組織がサイバー脅威に対するレジリエンスを構築できるよう支援する非営利団体Sightline Securityの創設者兼CEOです。

ケリー・ミサタ博士

「セキュリティにおいて最も難しいのは人々です。ですから、私たちがセキュリティ意識向上トレーニングについて話すとき、私たちはシステムに関する意識向上トレーニングと言っているのではなく、人々を対象としているのです。」

ラグー

セキュリティはファイアウォールと脅威の検出だけではなく、組織内の文化も重要です。これは、従業員が日常の意思決定においてどのようにセキュリティを理解し、アプローチするかについてです。しかし、セキュリティを意識した文化を構築することは困難です。特に、意識が追いつけないほどテクノロジーの進化が速い場合はなおさらです。

ケリー・ミサタ博士

「私たちは毎日、このテクノロジーを統合し、交流しています。さらにそうですよね？たとえば、私たちが安全を保つにはどうすればいいのかということについて、あきらめながらテクノロジーを採用したときのことを思い出します。私の夢は、「こんなことすべきか？」といつも考えている状態です。私の行動にはどのような影響がありますか？新しいソフトウェアに取り組むことで、どのような影響がありますか?私が組織に与える影響は？'」

ラグー

そして、それこそが組織が必要とする変化です。セキュリティは IT だけの問題ではなく、考え方の問題です。セキュリティを仕事の進め方に組み込み、後から考えるのではなく、日常的な意思決定に組み込むことです。

ケリー・ミサタ博士

「文化的なレベルに落とし込む必要があると思います...『トレーニングをしよう』という特別な枠にとらわれず、代わりに『これらのシステムやデバイスをどのように使用しているかについて話そう』とすれば、どこかにたどり着き始めます。従業員が日々の意思決定においてどのようにセキュリティを理解し、取り組むかが重要です。」

[セグメント3: ビジネスとしてのサイバー犯罪]

(SFX: ぼんやりとした電話、外国語で話している遠い声。クリック。支払いを要求する歪んだ声。）

ラグー

サイバー犯罪は単なるランダム攻撃ではなく、1つの業界です。あれは数十億ドルだ

ブライアン・ボーティグほどサイバー犯罪の構造をよく理解している人はほとんどいません。元FBIアシスタントディレクターとして、彼は何年にもわたってサイバー犯罪者を最高レベルで追跡してきました。

ブライアン・ボーティグ

「実は、サイバー犯罪から生まれたビジネスモデルがあります。この背後にはまだ人間がいて、彼らは事業を営んでいることを認識しなければなりません。FBIでの最初の任務は身代金目的の誘拐でしたあなたはグループが何を望んでいるかを正確に知っていました。彼らは1000万を要求するだろうが、5ドルで妥協できるって知ってたでしょ。今日のランサムウェアも同じです。事業運営の仕方、要求の度合い、最後までやり遂げるかどうかが分かります。ビジネスなので、予測可能です。」

（SFX：キーボード入力、録音された会話の音声がフェードインする。不満を抱いた経営幹部が静かな口調で話し、ランサムウェアへの支払いを交渉している。）

ブライアン・ボーティグ

「サイバー犯罪は究極の在宅勤務ビジネスです。目標から非常に遠く離れていても、毎日お金を稼ぐことができます。また、物理的な犯罪よりも安全であるため、組織犯罪に関与していたグループがサイバー犯罪に移行しています。彼らはより少ないリスクでより多くのお金を稼いでいます。」

ラグー
そして、それこそがサイバー犯罪を阻止するのが非常に難しい理由です。サイバー犯罪は、1人のハッカー、1つの犯罪、1つの国ではありません。これは、データ、ランサムウェアキット、ハッキングサービスの販売と取引、犯罪ビジネスのエコシステムです。

ブレット・ジョンソン

「ほとんどの攻撃は現金ベースまたはステータスベースです。現金を狙って攻撃しているのであれば、犯罪投資から最大の利益を得られる、最も簡単なアクセスを探しているのです。サイバー犯罪を阻止する鍵は、すべての攻撃を阻止することではなく、攻撃者が時間をかけるだけの価値がないことを確認することです。」

(SFX: ダークウェブ掲示板からのロボットの声 —「解読キーは支払い後24時間以内に保証します。」クリック。)

ラグー

そして、サイバー犯罪がビジネスのように運営されているとしたら、問題は、どうすればサイバー犯罪を阻止できるかということです。

ブライアン・ボーティグ

「攻撃をより高価にし、復旧を早め、金銭的インセンティブをなくすなど、モデルを破壊する必要があります。」

[セグメント4: レジリエンスの再考]

(SFX: 昔ながらの電話が鳴り、続いてニュースアラートが鳴る。)

ラグー

予防だけでは不十分だとしたら、組織が一番重視すべきことは何でしょうか？

ラリー・ポネモン博士は、セキュリティ、プライバシー、リスク研究において最も尊敬される専門家の一人です。Ponemon Instituteの創設者として、彼は20年以上にわたり、侵害データ、サイバー攻撃の経済的影響、進化するセキュリティ環境を追跡してきました。

ラリー・ポネモン博士

「防止できることが1つあるごとに、10個のものがネットワークに侵入する可能性があります。そして、それは目を見張るものがあり、衝撃的です。」

ラグー

したがって、攻撃が絶えずすり抜ける場合、本当の課題は攻撃を阻止することだけではなく、本格的な危機に陥らないようにすることです。

ラリー・ポネモン博士

「予防は現実的ではないので、おそらく考えるべきではありません。多くの組織が予防をあきらめ、封じ込める時間、回復する時間、問題から抜け出すためのことを行う時間などを検討しています。」

ラグー

だからこそ、レジリエンスが優先されるのです。サイバーセキュリティでは、問題はそうではないからです。 もし 攻撃は起こるけど いつ。

エリック・ハフマン博士

「あなたが中小企業で、国家があなたを捕まえたいなら、おそらく彼らはあなたを捕まえるでしょう。すべてを正しく行っても、それでも間違いを犯す可能性があります。」

ラグー

パニックは事態を悪化させます。意思決定の遅れ、従業員の凍結。こうした瞬間が、インシデントを災害に変えます。

(SFX: セキュリティアラートが鳴ります。バックグラウンドで電話が鳴ります。)

ラグー

これが、レジリエンスが攻撃を受けた瞬間に構築されるのではなく、攻撃が起こる前に構築される理由です。

[結論]

(SFX: 内省的で希望に満ちた音楽が流れ始める。)

ラグー

つまり、ここで重要なのは、信頼は戦場ですが、レジリエンスは盾です。サイバー犯罪者は常に信頼を悪用する新しい方法を模索しますが、セグメンテーション、封じ込め、セキュリティ第一の文化を通じてレジリエンスを構築する組織が生き残るでしょう。

視聴していただきありがとうございます セグメント。 これらのフルレングスのインタビューを見逃さないように、必ず購読してください。

(SFX: アウトロの音楽がフェードアウトします。)

‍