中規模のIT企業(従業員数400〜500人)の最高セキュリティ責任者は最近、DDOS攻撃はセキュリティリスクではなく運用上のものであると述べた速報をリリースしました。また、私は前の会議で、DDOSまたは関連する攻撃が彼の責任であることを否定したと言われました。
私の理解では、セキュリティは3つの主要なテーマで構成されています。
機密性、完全性、可用性
私の意見では、DDOS攻撃はサービスの可用性を直接ターゲットにしているため、明らかにセキュリティリスクであり、セキュリティ責任者の責任の範囲内にあることは明らかです。それで、誰が正しいのですか?
それは誤った二分法であり、あなたのCSOはばかげている。
私は愚かさが好きですが、セキュリティ部門はリスク軽減を推進しているはずです。 「責任」の領域をめぐって争うことは、一般的な企業文化には当てはまるかもしれませんが、明らかに生産的ではありません。
セキュリティの領域とその責任を認定するさまざまな方法がありますが、CIAトライアドはその1つですが、他にもあります-成熟した責任あるCSOが少なくとも解決策を推進しています。
「セキュリティリスク」と「オペレーショナルリスク」の違いは、潜在的な攻撃者がいるのか、それとも単に偶発的または誤用なのかであると言う人もいます。
これは非常に理にかなっていますが、より実用的なアプローチは、2つの間に実質的な重複があることを単に受け入れることだと思います。誰もが責任を放棄するようになります。
つまり、この特定のケースでは、CSO(または彼の部門の技術者)が緩和手順を実行し、リスクレベルのフレームワークを定義するなどしてから、運用に引き渡して、フィッティングソリューション。おそらく、セキュリティ担当者はソリューションを推奨することもできますし、チームがどのように技術的/実践的であるかに応じて、ソリューションが満たすべきメトリックを定義するだけかもしれません。
このようにして、会社はリスクがセキュリティリスクである一方で、ソリューションは運用上のものであるという事実に対処できます。
私は一般的にCSOに同意しませんが、彼がこのラインを描いた理由がわかります。
問題は、緩和と改善の取り組みを主導する必要があるのは誰かということです。もちろん、DDoSは可用性に影響を与えますが、通常は運用チームによって処理されます。 DDoSイベントが発生した場合、あなたのCSOは、彼にできることは何もないと感じ、別のパーティーに担当してもらいたいと思うかもしれません。つまり、DDoSが発生しているときは午前2時にCSOを呼び出さず、違反があったときは午前2時に呼び出します。
CIAトライアドの範囲を検討してください。すべてのCSOが最終的にサーバールームの施設の火災と安全システムを担当する必要がありますか?火災は可用性のリスクでもあります。しかし、一部の組織では、その責任はCSOではなく施設管理者にあります(ただし、CSOもこの領域に関与する必要があります)。上記と同様の状況で、午前2時に火災警報が鳴った場合は、 CSOではなく施設マネージャー。 CSOは、この種の線を引いて、火災とDDoSを組織への同じ種類のリスクと同等と見なす場合があります。
とはいえ、DDoSイベントが気晴らしやより広範なセキュリティ攻撃の活用になる可能性もあるので、CSOはまだある程度のレベルで関与する必要があると思います。
厳密に言えば、あなたはあなたの評価において正しいです、そして私は一般的にあなたに同意しますが、それは役割の定義と利用可能なリソースの異なる理解に帰着するかもしれません。
上記の3つの要素があるため、DDoS攻撃は運用とセキュリティの両方のカテゴリに分類されます。ただし、セキュリティ担当者は攻撃に精通している傾向があるため、AviDが言ったように、10分の電話で解決できる研究をカバーする時間を失うのではなく、セキュリティチームとITチームの間で問題を解決する必要があります。
技術的には1と0の観点からは彼は正しいですが、セキュリティの脅威の「許容範囲」には可用性が含まれます。ただし、すべての企業は、適切と思われる責任を自由に割り当てることができるため、CSOは、特定のリスクを軽減するのは彼の責任ではないという点を単に述べているだけかもしれません。
私はそれが運用上(またはビジネス)であると同時にセキュリティリスクであると考えます。
ビジネス:
ビジネスは評判で運営されており、DDOS攻撃の結果として評判がトスになった場合、 Cレベルの幹部がダメージコントロールエリアで失敗した場合。 B2Bサービスを実行している場合、状況は特に重大です。
セキュリティ:
クラッカーはDDOS攻撃を注意転換戦略の一部として使用して、他の脆弱な領域を攻撃または発見できます。