Agile Cat — in the cloud

Cybersecurity の調査: サーバーセキュリティの重要性を、あらゆる企業が気づき始めた

Posted in On Monday, Security by agilecat.cloud on November 21, 2016
Cybersecurity Spending: Businesses Begin to Recognize Security as Prerequisite to Digital Business
By Dick Weisinger – November 15th, 2016
http://formtek.com/blog/cybersecurity-spending-businesses-begin-to-recognize-security-as-prerequisite-to-digital-business/
_ formtek
Daily reports of hacking and data breaches have become commonplace, causing company reputations to be badly stung.
 
毎日のようにレポートされる、ハッキングやデータ侵害のニュースが広まるにつれて、企業の評判がひどく傷ついていく。
 
dali_13Businesses that previously had not seen the value in investing in cybersecurity are now realizing that cybersecurity measures are essential component of any digital services which they offer.  Cybercrime will put a drag of $441 billion on the global economy in 2016, according to a report from the World Economic Forum’s Global Risk Report.
 
以前には、サイバー・セキュリティへの投資に価値を見出していなかった企業が、サイバー・セキュリティ対策として提供されるデジタル・サービスについて、不可欠な要素であると認識するようになった。World Economic Forum の Global Risk Report によると、2016年の世界経済は対サイバー犯罪により、$441 billion も上昇するとされている。
 
Sean Pike, IDC’s vice president of security products, said that “today’s security climate is such that enterprises fear becoming victims of the next major cyber attack or cyber extortion. As a result, security has become heavily scrutinized by boards of directors demanding that security budgets are used wisely and solutions operate at peak efficiency.”
 
IDC の VP of Security Products である Sean Pike は、「今日におけるセキュリティ環境は、次にやってくる大きなサイバー攻撃やサイバー侵害の被害者になることを、それぞれの企業が恐れている状況にある言える。その結果として、取締役会においてセキュリティが厳密に調査され、セキュリティ予算が適切に割り振られ、そのための対策が最高の効率で機能するようになってきた」と述べている。
 
An IDC report estimates that spending on security hardware, software and services will grow by 38 percent over the next four years, reaching $101.6 billion in 2020.
 
IDC のレポートによると、セキュリティのためのハードウェア/ソフトウェア/サービスへの支出は、これからの 4年間で 38% も増加し、2020年には $101.6 billion に達すると見込まれている。
 
David Burg, PwC’s U.S. and global leader of cybersecurity and privacy, said that “what’s becoming clear is that senior execs — CEOs, marketing chiefs and others who worry about digital — are turning to CISOs and saying, OK how do I solve this? It’s not can I do it. The decision to do it has already been made. How do I do this in a way that is secure and safe and minds privacy regulations. It’s an important pivot. To remain competitive, organizations today must make a budgetary commitment to the integration of cybersecurity with digitization from the outset.”
 
PwC において、米国とグローバルのサイバー・セキュリティ/プライバシーを統括する David Burg は、次のように述べている。「明らかになってきたのは、CEO やマーケティング・チーフといった上級幹部が、デジタルの世界に懸念を示し、CISO に依存していることだ。そして、自分には解決できない問題を、彼らに託している。このような判断が、すでに随所で下されている。安全で安心できる道筋と、プライバシーに関する配慮を、どのように進めるべきかという、重要な論点がある。いま、あらゆる組織は、ゼロ・ベースのデジタライゼーションを用いて、サイバー・セキュリティを統合するための予算を確保し、競争力を維持せざるを得なくなってきた」と述べている
 
ーーーーー
On Mondayほんと、サーバー・セキュリティに関するニュースが増えていますね。それだけ、大きな被害が増えているのだと思えます。そして、大半のサーバー侵害が、ソフトウェアの脆弱性を突いて発生しているのです。いまの世の中、随所でオープンソースが活用されていますが、たとえば OpenSSL などに脆弱性があると、あらゆるベンダーやクラウドにまで、問題が波及していきます。オープンソースのメリットを享受する反面、こうした脅威にさらされているという状況も、認識しなければなりませんね。_AC Stamp
ーーーーー
<関連>
IoT の調査: 賢いメーターとグリッドで、米国は電力ビジネスを再構築していくのか?
File Sharing の調査: クラウド・ファイル共有は、エンタープライズの安全性を満たさない
Mobile and IoT の調査: IoT センサー/デバイスの数は、2018年にはモバイル追い越す
IoT の調査:すでに主流のテクノロジーになったことを示す、いくつかの指標を挙げてみる
SaaS の調査: このマーケットの売上は、$12 B から、2024年の $50 B に成長していく
 
 

Comments Off on Cybersecurity の調査: サーバーセキュリティの重要性を、あらゆる企業が気づき始めた

サイバー攻撃の 60% にインサイダーが絡んでいる: IBM のデータを1枚のチャートで!

Posted in IBM, Research, Security by agilecat.cloud on July 15, 2016
Most Cyber Attacks Are An Inside Job
Martin Armstrong – Jun 9, 2016
https://www.statista.com/chart/4994/most-cyber-attacks-are-an-inside-job/
 
_ Statista
 
Cyber attacks are a constant threat to businesses around the world with vast sums of money being spent to protect against them. The image of some nefarious character plotting in his or her bedroom is one most of us have when thinking about hackers and cyber criminals. While in 2015, 40 percent of attacks stemmed from ‘outsiders’, a surprising 60 percent were actually perpetrated by company insiders.
 
サイバー攻撃は、世界中の企業に対して継続的な脅威をもたらし、また、防御においては巨額の対価を費やさせている。また、ハッカーやサイバー犯罪者について考えるなら、人々の寝室に忍びこむような極悪非道な存在に、すべての人々が付きまとわれていることになる。そして、2015年においては、攻撃の 40% が部外者により引き起こされているが、残りの 60% はインサイダーにより引き起こされているという、驚くべき調査結果が明らかになった。
 
most_cyber_attacks_are_an_inside_jobClick to Large >>>
 
This chart shows the type of people that committed cyber attacks in 2015.
 
IBM, who produced the figures based on information from over 8,000 of their clients devices, revealed that although 15.5 percent of such ‘attacks’ were caused inadvertently, 44.5 percent were deemed to have been malicious.
 
IBM が、同社における 8,000 台以上のクライアント・デバイスを調査し、そこから統計値を算出した。そこで明らかになったのは、インサーダー攻撃と疑われる中の、15.5% は不注意に起因するものであり、44.5% は悪意を伴うものであったという事実だ。
 
An insider is defined as anyone who has physical or remote access to a company’s assets. IBM note that although this would often be an employee, it can also mean business partners or maintenance contractors – people you trust enough to grant system access to. Insiders not only have this access, they may also be aware of your weaknesses and thus exploit them more effectively than an outside agent might be able to.
 
ここで言うインサイダーの定義とは、同社のアセットに対して、物理的なアクセスもしくは、リモートによるアクセスが可能な人々となる。そして IBM は、その多くが従業員であるが、ビジネス・パートナーやメンテナンス契約者も含まれる点に、注意して欲しいと述べている。つまり、システムへのアクセス権を付与するほどの、十分に信頼されている社外のインサイダーが、このデータには含まれていることなる。こうした、社外のインサイダーたちは、アクセス権を有しているだけではなく、セキュリティ上の弱点も把握していると捉えるべきだ。したがって、社外の悪質な組織よりも、狡猾に振る舞うことが可能だと理解すべきなのだろう。
 
ーーーーー
research_552014年の末にハッカーたちが Sony Pictures に侵入し、大きな騒ぎに発展したことがありましたが、このときは同社内に物資的に忍び込んだことが事件の発端でした。しかし、最初のセキュリティが突破されても、セキュリティの階層を用いていれば、大量の情報流出は防げたと指摘されていたように、その後の対応策にも不備があっようです。本文で紹介されているデータですが、このような貴重なものを公開してくれた IBM に感謝です。そして、社外のインサイダーに注意すべきという、とても有益な情報を提示してくれたことにも感謝ですね。_AC Stamp
ーーーーー
<関連>
サービス・プロバイダーが暗号化に走るのは、政府が要求する情報開示に対抗するためなのか?
Google が排除したマルウェア:14本ものアプリを不正にダウンロードする悪質なものだった!
サーバー・セキュリティにおいて、自動化が必須となる理由を説明しよう
ウェアラブル と BYOD のポリシーが、企業の IT セキュリティに挑戦している
データ損失の原因を比較すると、ユーザー・エラーがハッキングを圧倒的に上回る
 

Comments Off on サイバー攻撃の 60% にインサイダーが絡んでいる: IBM のデータを1枚のチャートで!

サーバー・セキュリティにおいて、自動化が必須となる理由を説明しよう

Posted in AI ML, Research, Security, Strategy by agilecat.cloud on June 28, 2016
Why automation is the key to the future of cyber security
By Gabby Nizri, CEO Ayehu | Thursday, May 5, 2016 – 23:40
http://www.networksasia.net/article/why-automation-key-future-cyber-security.1462462851
  
_Network Asia
 
In 2015 there were 781 publicized cyber security breaches which resulted in more than 169 million personal records being exposed – a number that’s steadily on the rise year over year. And with notable names like BlueCross, Harvard and Target being tossed into the mix, it’s obvious that no company is safe. Yet, only 38% of organizations across the globe can confidently say they are prepared to handle a sophisticated cyber-attack.
 
2015年には、781件のサイバー・セキュリティ侵害があったと公表されている。この、1.69億人以上にもおよぶ、個人の記録が漏洩したという数字は、前年比で着実に増加していることになる。そして、BlueCross/Harvard/Target といった著名な組織が混乱に陥ったことで、安全な企業など存在しないという事実が突きつけられている。さらに言うなら、狡猾なサイバー攻撃に対処するための、準備が整っていると自信を持って宣言できるのは、グローバルな組織の 38% に過ぎないとされる。
 
Security AutomationImage Wikipedia 
 
The numbers don’t lie. Cyber criminals are becoming savvier and their attacks are increasing faster than companies can keep up. Furthermore, it’s becoming increasingly evident that traditional methods, like anti-malware software, are no longer sufficient to keep sensitive data safe. To address this glaring need, many forward-thinking IT executives are fortifying their cyber security strategy using automation as a tool for greater defense.
 
数字は嘘をつかない。サイバー犯罪者たちは抜け目なくなり、また、その攻撃のスピードに企業が追い付くことが困難になってきている。そして、マルウェア対策ソフトウェアのような伝統的な方法では、機密性の高いデータを保持するのに、もはや十分でないことが明らかになってた。この明白なニーズに対処するために、多くの IT 担当役員たちが前向きに取り組んでいるのは、さらなる防衛のためのツールとしてオートメーションを用いる、サイバー・セキュリティ戦略である。
 
Perhaps even as recent as a decade ago, the majority of organizations were adequately prepared for cyber-attacks. Today IT is up against advanced persistent threats (APTs) and, more importantly, these attacks are being spearheaded not by human assailants, but by automated bots – droves and droves of them.
 
おそらく、10年前と同様に、大部分の組織はサイバー攻撃に対して、いまも十分な準備を整えている。しかし、いまの IT は、APT (advanced persistent threats:高度な持続性を持った攻撃) に直面しており、それらの波状的な攻撃が、人間ではなく自動化されたボットにより引き起こされていることが重要な論点となる。
 
Simply put, IT personnel are no match for such intensive, sustained attacks. Not only are humans incapable of keeping up with the sheer volume of incoming threats, but their ability to make quick and highly-impactful decisions to manually address such an attack is equally inefficient. This is why automation is becoming such a powerful and effective component of cyber security incident response. To combat the onslaught of incoming threats, organizations must employ an army of equivalent strength and sophistication.
 
簡単に言うと、このような集中的/持続的な攻撃に対して、IT 担当者は歯が立たない。外部からの膨大な量の攻撃に対して、人間の能力が追い付かないだけではなく、このような攻撃に対処するための、迅速で的確な意思決定を行う能力についても、同じような問題が発生してしまう。そこに、サイバー・セキュリティ・インシデントに対応するための、強力で効果的な要素として、自動化が浮かび上がる理由がある。組織は、侵入してくる脅威の猛攻撃に対抗するために、同等の強度と洗練性を持った戦力を配備しなければならない。
 
Essentially, it’s fighting fire with fire – the battle of the good bots against those that aim to do your business harm.
 
この戦いは、ビジネスに被害を与えるボットに対して、善良なボットで対応するという、毒をもって毒を制すという戦いである。
 
So what’s holding companies back? Well, for starters, there are a number of concerns around incorporating automation into cyber security:
 
したがって、躊躇する企業もあるだろう。とは言え、サイバー・セキュリティへの自動化は必須であるため、それに取り組む際に検討しておくべき、いくつかの懸念についてリストアップしておく。
 
Loss of Control – In many instances, the biggest hurdle to automation is simply a perceived loss of control. In reality, the right automation tool can actually provide a greater level of visibility and enhanced oversight into the entire cyber security process.
 
多くのケースにおいて、自動化における最大のハードルは、制御が見えなくなるというシンプルなものである。しかし、適切な自動化ツールは、全体的なサイバー・セキュリティ・プロセスにおいて、高度なレベルの可視性を達成し、監視能力を強化していく。
 
Lack of Trust  It’s easy for a highly-skilled human worker to feel as though they are more capable of managing incident response than a machine could. Distrust of technology can be an incredibly big hurdle to overcome, but ultimately – given the shift in type, frequency and complexity of attacks – it’s a futile argument.
 
セキュリティに精通した人々は、インシデント対応の管理において、マシンより優れていると捉えるのは、とても容易なことである。テクノロジーへの不信感は、この問題を克服するための大きなハードルになり得る。しかし、最終的には攻撃の種類/頻度/複雑さが前提となるため、それも無益な議論だろう。
 
Fear of Change  Perhaps the biggest misconception of automation is the idea that its adoption spells the certain demise of the human workforce. What will happen when technology takes over the IR process? Will the IT department be replaced by robots? The fact is that while automation is certainly changing the way people work, its creating just about as many opportunities as it is eliminating them. To address these perceived disadvantages, there are a number of significant truths about automation’s role in cyber security.
 
おそらく、自動化の採用における最大の誤解は、人間による作業が否定されるという点に集約されるだろう。テクノロジーが IR (incident response ) プロセスを引き継ぐとき、何が起こるのだろうか?IT 部門は、ロボットにより置き換えられるのだろうか?実際のところ、自動化により人々の仕事が変化していくことになる。つまり、消えていく作業の分だけ、新しい作業が発生していくのだ。人間による理解という問題に対処するため、自動化されたサイバー・セキュリティの役割には、いくつかの重要な機能が含まれている。
 
Uniform Strength  No military leader would march onto the battlefield with an army that is significantly smaller in size, strength or skill than its enemy. This same concept can and should be applied to the critical task of cyber security. Automation provides the ability to match incoming attacks stride for stride, affording the greatest level of protection possible.
 
戦場へ向かう際に、規模/戦力/技能という面で、敵よりも劣った軍隊は望まれない。それと同じ概念が、サイバー・セキュリティにおける重要なタスクにも適用されるべきだ。自動化により、侵入していく攻撃に合わせた能力が提供され、また、可能とされる最高レベルの保護が達成される。
 
Increased Efficiency  Adding automation into the IR process helps to streamline workflows and create a much more uniform and efficient environment. So, not only does the organization become stronger in terms of security, but it also becomes more cost-effective across the board.
 
IR (incident response ) プロセスに自動化を加えることで、防御のためのワークフローの合理化が促進され、また、はるかに均一で効率の良い環境が達成される。したがって、自動化に取り組む組織は、セキュリティ面で強くなるだけではなく、全体的な費用対効果の面でも優位に立つことになる。
 
Fewer Errors  Many of the most noteworthy cyber breaches in recent years have come at the hands of well-intentioned yet highly overworked humans. Even the most skilled IT professional is prone to make mistakes from time to time. Unfortunately, some errors can prove to be incredibly costly. Automation eliminates this problem by removing the human element from some or all of the process.
 
この数年において、意志はあっても時間がないという人々のカベを突き破って、数多くの注目すべきサイバー侵害が発生している。最も熟練した IT プロフェッショナルであっても、間違いを犯すことがある。残念ながら、些細な間違えが、膨大なにコストを発生させることも証明されている。自動化プロセスにより、あらゆる属人的な要素を排除することで、この問題は解消される。
 
Better Decision Making  One of the biggest challenges IT leaders face is the monumental task of making critical business decisions on the fly. Another benefit of automation is the ability it provides to gather, analyze and prioritize crucial data at the click of a button, further enhancing the threat detection and incident management process.
 
IT リーダーが直面する最大級の課題として、重要なビジネス上の意思決定を逐次的に処理していくという、重要な役割がある。自動化における別のメリットは、重要なデータの収集/分析/評価を、ボタンをクリックするだけで提供する能力である。それにより、脅威の検出および、インシデントの管理プロセスが強化されていく。
 
With the average annual cost of cyber-attacks ranging anywhere from $38,000 for small businesses to upwards of $400 billion for global enterprises, the topic of cyber security is something that should be on the minds of every business leader today. More importantly, the strategies currently in place must be properly audited and sufficiently fortified if a company is to avoid becoming the next victim.
 
サイバー攻撃による被害額を年間で均してみると、中小企業で $38,000、グローバル企業で $400 billion というレベルに至っている。したがって、サイバー・セキュリティのトピックは、すべてのビジネス・リーダーたちが考えるべきものとなっている。さらに重要なことは、あなたの組織が次の犠牲者とならないために、現時点で運用されている戦略が強固であり、また、適切に機能することを確認していくことである。
 
Despite the many misconceptions, automation is emerging as the ideal tool for streamlining and strengthening the incident response process and creating a better line of defense that will stand the test of time.
 
数多くの誤解があるにもかかわらず、インシデント対応プロセスを合理化し、強化する理想的なツールとして、オートメーションが浮上している。それにより、定期的にテストを実施できる、より優れた防衛ラインが構築されていく。
 
Ayehu provides IT Process Automation solutions for IT and Security professionals to identify and resolve critical incidents and enable rapid containment, eradication and recovery from cyber security breaches.
 
ーーーーー
research_55セキュリティー対策のことを考えると、頭が痛くなるという方が多いと思います。文中にもあるように、ボットを介した波状攻撃が、最近のサイバー・アタックのトレンドになっているようです。それに対抗するには、こちらもボットで、、、となっていくのでしょうが、そのために必要なステップが記されているのが良いですね。おそらく、ここでも機械学習やコグニティブ・コンピューティングが活用されていくのでしょう。この3月に、「セキュリティを再考する:サイバー攻撃が生じたとき、時間は味方であり、また 敵でもある」という抄訳をポストしましたが、時間との戦いの中でオートメーションは、とても有効な手段になると思えます。_AC Stamp
ーーーーー
<関連>
IoT and Security の調査: ウェアラブル と BYOD のポリシーと、企業の IT セキュリティ
SaaS の調査: データ損失の原因を比較:ユーザー・エラーがハッキングを圧倒的に上回る
DDoS 攻撃の頻度が、2014年から2015年にかけて、急速に高まってきている!
Security の調査: クラウドとデータの機密性:これからは、暗号化がトレンドになるのか?
Security の調査: 2016年は最悪の年になるという、いくつかの予測を整理する
 

Comments Off on サーバー・セキュリティにおいて、自動化が必須となる理由を説明しよう

IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半を占める

Posted in IoT, On Monday, Security by agilecat.cloud on November 9, 2015
Internet of Things Security: Most Early-entry IoT Devices have Weak Security at Best
By Dick Weisinger – November 6th, 2015
http://formtek.com/blog/internet-of-things-security-most-early-entry-iot-devices-have-weak-security-at-best/
_ formtek
The IoT security market is expected to grow from $6.89 billion to $28.90 billion by 2020, according to Markets and Markets.  Gartner, Inc. estimates 4.9 billion “Things” will be used this year and that should reach 25 billion by 2020.
 
Markets and Markets によると、IoT セキュリティのマーケットは、2020年までに $6.89 billion から $28.90 billion へと成長するようだ。また、Gartner は、今年には 49億個の Things が使用され、2020年には 250億個に到達するはずと推定している。
 
Klimt_2While growth in the market is explosive, many worry about the security of the devices.  The FBI released a report that warns consumers that putting any of these devices on the Internet is very risky.  The FBI report warns of UPnP vulnerabilities, unchanged default passwords, denial-of-service attacks, and can potentially even result in physical harm.  The warning applies to a wide variety of devices, including  closed-circuit TVs to Wi-Fi, thermostats, garage doors, smart appliances, office equipment, TVs, and home healthcare and medical products.
 
このマーケットの成長は爆発的であるが、数多くの人々が、デバイスのセキュリティについて心配している。 FBI がリリースしたレポートには、インターネット上にデバイスを安易に配置することは、きわめて危険だという、消費者に対する警告が記されている。 この FBI のレポートが、具体的に指摘するのは、UPnP の脆弱性および、デフォルト・パスワードの利用、サービス拒否攻撃などに関するものであり、その結果として、物理的な被害が生じる可能性も否定できないというものだ。 この警告が対象とするデバイスは、TV と Wi-F を結ぶ閉回路や、サーモスタット、ガレージドア、スマート家電、オフィス機器、テレビ、ホーム・ヘルスケア、医療機器などを含む、きわめて多様なものとなる。
 
The FBI report found that “deficient security capabilities and difficulties for patching vulnerabilities in these devices, as well as a lack of consumer security awareness, provide cyber actors with opportunities to exploit these devices.  Criminals can use these opportunities to remotely facilitate attacks on other systems, send malicious and spam e-mails, steal personal information, or interfere with physical safety.”
 
この FBI レポートには、「これらのデバイスの脆弱性にパッチを適用しようとしても、セキュリティ機能の欠落や、対応の困難さが障害となる。また、消費者におけるセキュリティ意識の欠如により、それらのデバイスを悪用する機会が、サイバー・アクターたちに提供されてしまう。犯罪者たちは、転がり込んできたチャンスを悪用することで、他のシステムへのリモート攻撃を容易に実現し、悪質なメールやスパム・メールを送信し、個人情報を盗み出すだろう。 そして、最終的には、物理的な安全性をも侵害する」と記述されている。
 
Shankar Somasundaram, senior director of Internet of Things Security at Symantec, said that “as IoT innovation and adoption continues to grow, so has the opportunity for new cybersecurity risks. This is the next frontier. In the automotive industry, hackers can literally steer the car and ‘hit the brakes’ from their keyboards.”
 
Symantec の Senior Director of IoT である Shankar Somasundaram は、「IoT が革新され続け、その適用が広がるにつれて、サイバー・セキュリティにおける、新種のリスクが生じてくる。 つまり、次の未開拓な分野へと進んでいくわけだ。 たとえば、自動車という世界においては、ハッカーたちは、キーボードからハンドルを乗っ取り、ブレーキを攻撃することもあり得るのだ」と述べている
 
The main problem is that vendors are trying to rush products to market without taking the time to consider security.  An HP Fortify study found, for example that 100 percent of smartwatches tested had significant vulnerabilities.  A study by Rapid7 looked at the security of baby monitors and found that of the ten products selected, all failed except one product that scored a “D”.
 
最も重要な問題は、セキュリティを検討するための、充分な時間を確保することなく、ベンダーたちが急いでマーケットに、プロダクトを提供してしまうことだ。 HP Fortify の調査によると、たとえばスマート・ウォッチをテストすると、100% の確率で重大な脆弱性が見つかるという。また、Rapid7 はベビー・モニタのセキュリティをチェックしているが、10 種類のプロダクトをサンプリングしてテストしたところ、1つのプロダクトを除いて、すべてが失格だっという。 ただし、テストを通過したプロダクトも、その評価は「D」クラスだったという。
 
ーーーーー
On Monday今年の1月にポストした、IoT の調査: これからの数年のうちに顕在化する、10 の現象を予測するという抄訳には、「IoT データへの侵害は、確実に起こるだろう。 2年以内に、IoT システムの 90%が、セキュリティ侵害に遭遇するだろう」と記されています。IoT により、便利で効率の良い社会が実現されていくはずですが、それとは裏腹に、たくさんの心配事も生じてくるようです。 IoT のデバイスには、データを送信するだけのものと、インターネットを介して受信した指示から、なんらかの装置などを制御するものに、大別されるはずです。 そして、後者のケースでは、侵害による物理的な被害も起こり得るわけです。 たとえば、インターネット経由で送られてくる、それぞれの指示を分析するだけではなく、それらを実行していった結果を、デバイス自体が自律的に判断し、異常であればセーフガードを動かすといった、新たな種類のセキュリティ対策が必要になるのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Development の調査:Google の 85TB リポジトリは、20億行のコードで満たされている!
Innovation の調査: ビジネスとテクノロジーを破壊/再生していく四大要因とは?
Cloud の調査: クラウド・ポリシーの運用に関して、適切な戦略をもつ企業は1%にすぎない
Quanta の コンバージド・インフラが登場:OpenStack/VMware/Microsoft に対応!
CloudFlare は ”Cisco as a Service” :Google/Microsoft/Baidu/Qualcomm が支援!
 

Comments Off on IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半を占める

Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Posted in On Monday, Security by agilecat.cloud on May 18, 2015
Security: Low Technology Tools Highly Effective for Hacking Businesses
By Dick Weisinger – May 11th, 2015
http://formtek.com/blog/security-low-technology-tools-highly-effective-for-hacking-businesses/
_ formtek
While businesses increasingly are beefing up security controls to prevent hackers from the outside from penetrating their computer systems, they often overlook their vulnerability from within their organization.  Low-tech hacking techniques for gaining access to systems can be very effective.
 
それぞれの企業が、自身のコンピュータ・システムに対して、ハッカーたちが外部から侵入しようとするのを防ぐために、セキュリティ・コントロールに邁進しているが、多くのケースにおいて、組織内からの攻撃に脆弱性をさらけ出している。そして、残念なことに、それらのシステムに対するアクセスを得る上で、ローテクのハッキング・テクノロジーが、きわめて有効に機能してしまうのだ。
 
Seurat_23M recently conducted an experiment with the Ponemon Institute to uncover security vulnerabilities due to human factors.  It turns out that people within an organization provide a variety of easy vulnerabilities for hackers to exploit.  In the experiment, white cover hackers were sent undercover as a temporary or part-time worker into businesses.  After only two hours of being on site, in 88 percent of the trials, the hackers successfully obtained sensitive information.  Researchers wandered the area and were able to take pictures of computer screens and pick up and take document that were marked as “confidential”.
 
最近のことだが、3M の Ponemon Institute が、人的要因が引き起こすセキュリティ上の脆弱性を、明らかにするための実験を行なった。そして、組織内の人々がハッカーたちに対して、脆弱性を助長する多様な切り口を、きわめて容易に提供してしまうことが判明した。この実験は、ダミーのハッカーたちを、それぞれの企業のパートタイム労働者として送り込むところから開始されている。あるサイトでは、実験がスタートして僅か2時間後に、ハッカーたちが機密情報の 88% を入手するという結果を引き起こしている。ダミー・ハッカーである研究者たちは、対象となるエリアを動き回り、コンピュータ・スクリーンをキャプチャした後に、「confidential」と記載されているドキュメントを取得した。
 
In 45 percent of the cases it took researchers only 15 minutes to gain access to sensitive information and in 63 percent of the cases it is less than half an hour.  An average of five pieces of information were hacked per trial, information that included employee contact information, customer information, corporate financial information, and employee access and login information.
 
そして研究者たちは 、45% のケースにおいて 15分足らずで、また、63% のケースでは 30分以内で、機密情報にアクセスしている。ちなみに、この実験においてアクセスした内容には、employee contact information/customer information/corporate financial information/employee access/login information という、5種類の機密情報が含まれている。
 
In one case, the researcher even opened an Excel spreadsheet on a computer and started taking pictures of it on their cellphone, but no nearby workers said anything.  No one questioned what the researcher was doing.
 
あるケースでは、研究者たちは Excel のスプレッドシートをオープンし、そのスクリーンを自分のスマホで撮影したが、そばに居た従業員たちは何も言わなかったそうだ。 つまり、ダミー・ハッカーたちが行なっていることに、誰も疑問を持たなかったことになる。
 
Larry Ponemon, chairman and founder of Ponemon Institute, said that “in today’s world of spear phishing, it is important for data security professionals not to ignore low-tech threats, such as visual hacking.  A hacker often only needs one piece of valuable information to unlock a large-scale data breach. This study exposes both how simple it is for a hacker to obtain sensitive data using only visual means, as well as employee carelessness with company information and lack of awareness to data security threats.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「 先鋭なフィッシング行為が蔓延する今日の世界では、このビジュアル・ハッキングに例えられるローテクの脅威を無視しないという、データ・セキュリティの専門家たちの姿勢が重要になってくる。多くのケースにおいて、ハッカーは一片の情報を手にするだけでロックを解除し、大規模なデータ侵害を成功させてしまう。今回の調査では、ハッカーたちがビジュアルな手段を用いるだけで、機密データを容易に取得できることが明らかになった。 それだけではなく、企業情報やデータ・セキュリティの脅威に対して、従業員たちの注意が足らず、意識が欠如しているという側面も明らかになった」と述べている。
 
ーーーーー
On Mondayなんという、怖ろしい破壊力なのでしょうか。 たしか、昨年末に Sony Pictures が侵害された件も、ハッカーが物理的に侵入した結果だと言われていました。 以前に、Hybrid の調査: 企業データを分析すると、20-60-20 の 仕分けシナリオが見えてくる という抄訳をポストしていますが、まずは、クラウドとオンプレミスに置くべき情報の仕分けが必須なのでしょう。 そして、たとえばパートタイム従業員が入っていくようなオフィスからは、クラウドのみが参照できるというような、なんらかの制約が必要なのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Microservices の調査:Amazon.com におけるマイクロサービス・アーキテクチャとは?
Cloud Developer の調査: あなたは DevOp 派? Coder 派? それとも RAD 派?
Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言

Comments Off on Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!

Posted in On Monday, Security by agilecat.cloud on April 20, 2015
Security: CFOs Finally Begin to Team up with CIOs to Battle Cyber Security
Dick Weisinger – April 17th, 2015
http://formtek.com/blog/security-cfos-finally-begin-to-team-up-with-cios-to-battle-cyber-security/
_ formtek
A survey by Raytheon/Ponemon in late December 2014 found that there was a steep disconnect between CIOs and their non-CIO C-level executive counterparts.  Chief Information Security Officers portrayed their companies as ill-equipped to combat cyberattacks and lacking the resources to improve cyber defenses.  But two-thirds of the non-CIO C-level executives didn’t think that cybersecurity should be a high priority.
 
survey by Raytheon/Ponemon が 2014年の終わりに実施した調査によると、CEO および COO などの首脳陣と CIO の間に、大きな断絶があったことが分かる。Chief Information Security Officer と呼ばれる人々は、それぞれが所属する企業について、増大するサイバー・アタックに防ぐには脆弱であり、また、防御のためのリソースを欠いていると表現している。しかし、CEO や COO と呼ばれる人々の 2/3 は、サイバー・セキュリティの優先順位を引き上げるべきとは考えていない。
 
vangogh_6Larry Ponemon, chairman and founder of Ponemon Institute, explained that “high-profile cyber security breaches are closing the gap between CISOs and CEOs by forcing meaningful security discussions into corner offices and boardrooms.  In the meantime, … there is still a large delta between resources and needs, as security leaders lack both funding and manpower to adequately protect assets and infrastructure.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「大騒ぎになったサイバー・セキュリティ侵害により、それに関する真摯な議論が、オフィスや会議室で否応なしに行われるようになった。そして、経営陣と CIO のギャップが狭まってきている。その一方で、リソースとニーズの間には、依然として大きな乖離が見られる。つまり、資産とインフラを適切に保護するための、予算と人材が不足していると、セキュリティのリーダーたちが、言っているとおりの状況だ」と説明している
 
But a newer study by BDO USA LLP found that many CFOs have been convinced that cybersecurity is something that they will need to get behind.  That study found that two-thirds of CFO’s are increasing budgets for security in 2015.  Money is going into creating response plans, buying new software security tools, and bringing in both new employees and consultants to help bolster security efforts.
 
しかし、BDO USA LLP による新しい調査では、サイバー・セキュリティの問題に対して、なんらかの対策を講じるべきと、数多くの CFO が認識していることが明らかになった。この調査は、CFO たちの 2/3 が、2015年のセキュリティ予算を増額していると指摘している。その予算により、新しいソフトウェア・セキュリティ・ツールが購入され、対応策が講じられていくだろう。 また、セキュリティを担当する従業員が増え、コンサルティングが導入されることで、セキュリティへの取り組みが強化されていくだろう。
 
Aftab Jamil, partner and leader of the technology and life sciences practice at BDO, said that “in any organization where you have those types of functionalities, it will be very difficult for the CFO to not have an active role.”
 
BDO の Partner and Leader of the Technology and Life Sciences Practice を担当する Aftab Jamil は、「この種の課題を有する、すべての組織において、CFO が積極的な役割を担わないということは有り得ない」と述べている
 
ーーーーー
On Monday先月のレポートのために調べていた「 Why companies aren’t investing in cyber security 」という記事は、 The Interview で大騒ぎとなった Sony について、財務面からの分析を行なっています。 そして、「同社の 2014年 Q4 財務諸表では、約 $35 milliom の損失が計上さるはずだが、この映画が $50 milliom ほどの売上を得ているため、全体的なダメージは微々たるものだ」と説明しています。 しかし、そのためには、莫大な保険料が費やされており、また、税制面で減免措置が取られているとも述べています。 その税金を、アメリカの国民が負担しているのか、日本の国民が負担しているのか、そのあたりは定かではありませんが、根底においてモラルが欠落していると、厳しく断じています。 つまり、セキュリティ侵害に対して、本気で取り組んでいない企業という、論点を浮き彫りにしているわけです。 今日のポストを訳しながら、望んではいない一致があると、感じてしまいました。_AC Stamp
ーーーーー
<関連>
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言
Cloud の調査: プライベート・クラウドの大半は、なぜ 失敗するのだろうか?
Mobile Technology の調査: 世界経済を急成長させている、凄まじい実態が見えてきた!
新世代 JavaScript の調査:静的言語に関する議論と、テック・ジャイアントたちの綱引き

Comments Off on Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!

%d bloggers like this: