web-dev-qa-db-ja.com

ITセキュリティイベント/インシデントを処理するときに最も価値のある情報は何ですか?

私は現在、情報セキュリティの報告プロセスを調査しており、ITセキュリティイベントまたはインシデントが発生したときにどのような情報を報告する必要があるのか​​疑問に思っていました。

それらの定義は次のようになります(ISO/IEC 27000:2016から取得)

情報セキュリティイベント

情報セキュリティポリシーの違反または制御の失敗の可能性を示すシステム、サービス、またはネットワークの状態の識別された発生、またはセキュリティに関連する可能性のある以前は未知の状況

情報セキュリティインシデント

業務を危険にさらし、情報セキュリティを脅かす可能性が非常に高い、1つまたは一連の望ましくないまたは予期しない情報セキュリティイベント

少し説明すると、約150か所の拠点を持つ非常に大規模な会社を考えてみてください。これらの場所のほとんどは、約30〜500人の従業員を雇用しています。中央値は約120人の従業員と推定します。全体として、約70,000人の従業員について話しています。場所ごとに独自のレポートプロセスがあります。これは、150の異なるプロセスがあることを意味しません。それらのほとんどは、わずかな違いのみでほとんど同じに見えます。現時点では、おそらく4種類のプロセスがあると思います。

  1. プロセスタイプ1(すべての場所の70%にこれがあります)
    • 事件が発生
    • 影響を受ける従業員は、この特定の場所にあるITセキュリティの責任者にインシデントを報告します
    • 影響を受ける従業員がフォームに記入し、非常に少量の情報を入力するように要求する
    • フォームはオンサイトにいる技術スタッフに送信され、問題を解決しようとします
  2. プロセスタイプ2(すべての場所の15%にこれがあります)
    • 事件が発生
    • 影響を受けた従業員は、技術スタッフまたは彼/彼女が責任があると思う誰かにインシデントを報告しますが、現場のITセキュリティに責任がある人はいません
    • 影響を受ける従業員がフォームに記入し、非常に少量の情報を入力するように要求する
    • フォームはオンサイトにいる技術スタッフに送信され、問題を解決しようとします
  3. プロセスタイプ3(すべての場所の10%にこれがある)
    • 事件が発生
    • 影響を受ける従業員は、この場所を含む複数の場所のすべてのITインフラストラクチャを管理する大きな中央の場所にインシデントを報告します。現場でのITセキュリティの責任者は誰もいません。
    • 影響を受ける従業員がフォームに記入し、非常に少量の情報を入力するように要求する
    • フォームは中央の場所にいる技術スタッフに送信され、問題の修正を試みます
  4. プロセスタイプ4(すべての場所の5%にこれがあります)
    • 事件が発生
    • 現場またはこのサイト専用の中央の場所にITセキュリティの責任者がいないため、影響を受ける従業員は事件を報告できません。
    • 影響を受ける従業員が自分で解決策を考え出し、サードパーティベンダーに連絡する
    • 情報はどのような形にもされませんでした

この状況自体に問題がありますが、これだけではありません。時折、情報セキュリティインシデントは複数の場所で大量に発生します。現場でITセキュリティの責任者もいる場所でインシデントが発生した場合、ほとんどの場合、これらの人々は中央の場所に電話して会社全体のセキュリティの脅威の可能性について警告するのに十分な資格があります。中央の場所は、影響を受けた従業員が記入したすべてのフォームに反応して引き込むことができます。このような場合、このようなインシデントの解決/修正に役立つ適切な情報は非常に貴重です。

あなたが想像できるように、これほど大きな会社では、基本的にあらゆる種類の攻撃が可能/可能です。多くのセキュリティコントロールが実施されていますが、それでも発生します。

私の質問は次のとおりです。説明されているような環境では、どのような種類または種類の情報が必要ですか?

どのようにしてフォームをデザインできますか?技術に詳しくない担当者が記入するのは簡単ですが、技術スタッフがGrave itのセキュリティインシデントを修正するための有益で興味深い情報を得るのに十分な情報を提供しますか?

編集1:この会社には、中央の場所にある会社全体のCERTがあり、CERTはフォームが分析される場所です。この質問を後でもう一度編集して、私が正確に何を考えているかについてさらに詳しく説明します。

forensicsincident-responseincident-analysis
6
Tom K.

科学捜査の観点から、すべての情報はおそらく貴重です。これには、すべてのネットワークトラフィック、インターネットとの間のすべてのトラフィック(プライベートWebメーラーへのTLS暗号化接続を含む)、事件以前に使用されたすべてのサムドライブとモバイルハードドライブの画像が含まれます。

しかし、あなたの質問は、従業員がフォームに記入することを目的としています。これは意見の問題であるため、これはいくつかの議論を引き起こす可能性がありますが、私が役立つと思うものをスケッチしてみます。

一般に、一般的な情報よりも具体的な情報の方が役立ちます。すべての従業員が技術的な質問に正しく答えるわけではありませんが、そうする人は共有する価値のある情報を持っている場合があります。したがって、技術的な質問をすることは一般的に良い考えです。

アナリストが疑われる問題の種類を特定した場合、従業員に直接連絡して特定の質問をすることができます。したがって、連絡先情報はフォームに入力する必要があります。

特定の質問は多くの場合、関係のない重要事項を除外することにつながるため、インシデントが発生する前に何をしていたかを、15分程度の妥当な時間内に詳しく説明するよう依頼することをお勧めします。

さらに、各単一のセキュリティポリシーについて質問する必要があります。それは従業員に知られていますか?従業員はポリシーを遵守しましたか?もしそうなら、なぜそうではなく、どのように?また、恐れられる企業のセキュリティポリシーを破ることに対する報復がないことを確認してください。

これには2つの理由があります。ワークフローを改善するために、ポリシーが回避される場合があります。このようなケースを確認し、ワークフローを容易にするためのより良いアプローチを将来に向けて設計できます。次に、セキュリティポリシーを回避することがしばしば問題となり、従業員を罰するのではなく、何よりもまずインシデントを処理する必要があります。

ポリシーに関しては、懲戒処分の対象となる情報がなく、上司にも知られないという免責事項の後、質問の例は次のようになります。そうでない場合は、使用したサムドライブを提供してください。」

編集:これはあなたの質問の範囲内ではありませんが、これらのレポートは会社全体のCERTによって保持および評価される必要があり、すべての現地子会社に関するすべての情報が含まれている必要があります。中央のCERTがインシデントにアクセスした後で、ローカルのITプロフェッショナルがインシデントを処理できたとしても。

3
Tobi Nary