机上エクササイズの需要が高まっている理由

定期的にサイバー攻撃を防御している組織は、時々一歩下がって防御能力と対応能力をテストすることが有益であることがわかります。これを行う 1 つの方法は、ランサムウェア、フィッシング、その他の攻撃に対処する能力のスナップショットを組織に提供するサイバーセキュリティ訓練です。

サイバーセキュリティ訓練には、侵入テスト、フィッシングシミュレーション、実弾演習などさまざまな形式があり、シナリオによっては数十万ドルの費用がかかり、数日から数週間にわたって実施される場合もあります。

これらのドリルの中で最も複雑でないのは、 机上演習、通常は 50,000 ～ XNUMX 時間で実行され、費用は XNUMX ドル未満 (場合によってはそれよりも安くなる場合もあります) で、費用の多くはイベントの計画と進行に関連します。

他の訓練とは異なり、机上訓練では、多くの場合、稼働中の IT システムに対する攻撃が含まれません。代わりに、ファシリテーターがサイバー攻撃のシナリオを提示し、クライアント組織の従業員が対応策について話し合います。

机上演習に対するこの一般的なアプローチは時代遅れでローテクだが、支持者らは、シナリオがうまく実行されれば組織の対応計画や緩和計画の穴が明らかになる可能性があると主張している。

机上演習の需要が高まっている

サイバーセキュリティコンサルティング会社GuidePoint Securityのインシデント対応担当バイスプレジデント、マーク・ランス氏は、コンプライアンス問題、取締役会の指令、サイバー保険の義務化により、机上演習の需要は過去2年間で急激に増加したと語る。

場合によっては、従業員が幹部の教育を目的とした机上演習を依頼することもあります。 「人々は、潜在的なインシデントの本当の影響を上級幹部チームに理解してもらいたいと考えています」とランス氏は言います。

多くのサイバーセキュリティ組織は、サイバー攻撃後のインシデント対応や社内外のコミュニケーション計画をテストし、改善する方法として机上演習を推進しています。非営利インターネット セキュリティ センター テーブルトップを呼び出す 「必須」であり、組織が攻撃に対応して個別の事業部門をより適切に調整し、攻撃中および攻撃後に重要な役割を果たす従業員を特定するのに役立つことを強調しました。

米国サイバーセキュリティ・インフラセキュリティ庁は、机上演習を実行するためのカットアンドペーストの方法はありませんが、 パッケージを提供します 組織の開始を支援します。組織によっては社内チームでテーブルトップを運営しているところもありますが、より一般的なアプローチは外部のサイバーセキュリティ ベンダーを雇うことです。

机上演習の仕組み

一般的なテーブルトップでは、ファシリテーターが一連の質問をしてディスカッションを主導します。たとえば、シナリオは、従業員が会社のネットワーク上で異常なアクティビティを確認した後、ヘルプ デスクに電話するところから始まります。 IT チームの机上での質問には次のようなものがあります。

エグゼクティブ向けのテーブルには、次のような質問が含まれる場合があります。

テーブルトップでは、ランサムウェアやフィッシング攻撃などの広範な問題を含む、何百もの異なるシナリオから始めることができます。ただし、成功するには、個々のテーブルトップが組織またはその業界に特に焦点を当てる必要があるとランス氏は言い、次のように付け加えました。 卓上の成功か失敗か は、演習を計画し、特定のクライアントをターゲットにするプロバイダーの能力に大きく依存します。

「それが自分たちの環境に具体的であればあるほど、彼らは関与し、興味を持ち続ける傾向があります。なぜなら、それにはある程度の信頼性と妥当性があるからです」と彼は言います。

たとえば、GuidePoint は独自の脅威インテリジェンス チームを活用して、クライアントにとって現実的で、最近の脅威または新たな脅威である現実世界のシナリオを考え出します。

成功を確実にするもう 1 つの方法は、組織の上級リーダーと技術チームを対象に個別の机上演習を実施することです。ランス氏は、これら 2 つのグループは異なるシナリオから恩恵を受けると述べています。経営幹部は、全社的な問題や下す必要のある高度な意思決定について話したいと思うことがよくあります。対照的に、技術者は、攻撃の停止と軽減の核心に迫りたいと考えています。

「技術的なテーブルトップを行う場合、上級リーダーが同席している場合は、技術リソースが同じように開かれない可能性があります」とランス氏は言います。 「逆に、上級幹部は技術リソースの前で非技術者や愚か者だと思われたくないため、あまり心を開かないかもしれません。 （両方のグループが関与しているので）部屋の中での声が大きすぎます。」

現実的なシナリオを通じて学習する

机上演習のファシリテーターは、現実的なシナリオを提供できないことに加えて、グループの参加を維持できなかったり、リーダーというより観察者に過ぎなかったりすることによってもたじろぐ可能性がある、とサイバーセキュリティコンサルティングおよびインテグレーションのサイバープラクティスリーダー兼エンジニアリングフェローのカーティス・フェヒナー氏は言う。プロバイダーOptiv.参加者のエンゲージメントがテーブルトップの成功の最大の要因である、と彼は付け加えます。

「もし私が非常に消極的であれば、」とフェヒナーは言う。運動、勢い、そしてエネルギーです。」

しかし、適切なシナリオを計画し、参加者の関心を引き付けておけば、机上演習が失敗することは難しい、と彼は言います。ディスカッションがうまく進められると、参加者は組織のインシデント対応計画について学び、改善の余地がある領域を特定することができます。

ネットワーク検出および対応プロバイダーである Stamus Networks の共同創設者兼最高戦略責任者である Peter Manev 氏は、ほとんどのサイバーセキュリティ演習には関係者全員が学習する必要があると述べています。 12月、スタマス・ネットワークスは、クロスソード・ソードと呼ばれる実弾演習に参加した。 NATO 協力サイバー防御センター (CCDCOE).

机上演習の最良の成果は、「チームが連携し、一緒に学び、情報や経験を交換し、そしてもちろん進歩しているときです」とマネフ氏は言います。 「私の考えでは、もしそれが起こったら、あなたはすでに何かを達成したことになります。」

フェヒナー氏は、演習の終わりに、全体を通して学んだ教訓について話し合うために 30 分を費やすことを好みます。彼は参加者に、何がうまくいったと思うか、どこに問題点があったかを尋ねます。

「私にとって、それはまさに成功したテーブルトップです。そのような人々に実際にそのような自己分析をさせ、その内省を明らかにしてもらうことができたときです」と彼は言います。 「問題が指摘されると、それが机上演習の成功を意味すると私は考えています。」

フェヒナー氏は、演習を評価する際、参加者はサイバーセキュリティ慣行の継続的な改善に焦点を当てる必要があると付け加えた。 「テーブルトップの良いところは、失敗のないイベントであることです」と彼は言います。 「現実的には、これらの機会を成長と向上にさらすことが重要です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/why-demand-for-tabletop-exercises-is-growing