Agile Cat — in the cloud

セキュリティを再考する:サイバー攻撃が生じたとき、時間は味方であり、また 敵でもある

Posted in .Selected, Research, Security by agilecat.cloud on March 23, 2016
The economics behind cyberattacks
By Networks Asia staff | Wednesday, February 3, 2016
http://www.networksasia.net/article/economics-behind-cyberattacks.1454509068
 
_Network Asia
 
Cyberattackers are opportunistic and aim for the easiest targets first, according to a survey sponsored Palo Alto Networks.
 
Palo Alto Networks が主催した調査によると、サイバー攻撃者たちは、なにかの機会に便乗し、最も攻めやすい対象を、最初のターゲットにするという。
 
Available as a downloadable report titled “Flipping the Economics of Attacks,”  the survey reveals that 72 percent of survey respondents said they won’t waste time on an attack that will not quickly yield high-value information.
 
“Flipping the Economics of Attacks” というレポートがダウンロードできるので、参照して欲しい。 この調査で明らかになったことは、重要な情報が直ちに攻撃されないケースでは、その対策に無駄な時間を割きたくないと述べる回答者が、じつに 72% にも昇ったことだ、
 
cyberattacksFlickr
Bill Smith
 
A majority of the survey’s respondents (73 percent) stated attackers hunt for easy, “cheap” targets.
 
また、回答者の大部分(73%)は、攻撃が容易で安普請なターゲットを狙うと、述べているのだ。
 
Time is the enemy of cyberattackers.  An increase of approximately 2 days (40 hours) in the time required to conduct successful cyberattacks can eliminate as much as 60 percent of all attacks.
 
しかし、言うまでもなく、サイバー攻撃者たちにとって、最大の敵は時間なのである。サイバー攻撃が成功するために、約2日間(40時間)が必要とされているが、その時間を削り取ることで、あらゆる攻撃に対して、最大で 60% の排除が可能になる。
 
On average, a technically proficient attacker will quit an attack and move on to another target after spending approximately a week (209 hours) without success.
 
平均的なデータによると、技術的に熟練した攻撃者の場合、約一週間(209時間)で攻撃が達成できないと、他のターゲットに移動するという、素早い動きを見せている。
 
The “big payday” is a myth
 
The average adversary earns less than $30,000 annually from their malicious activities, which is 1/4 of a cybersecurity professional’s average yearly wage.
 
平均的な敵対者たちは、その悪質なアクティビティから、年間で $30,000 弱を稼いでるようだが、それは、サイバー・セキュリティ専門家たちの、年間年収の 1/4 程度のものである。
 
It takes double the amount of time (147 hours) for a technically proficient cyberattacker to plan and execute an attack against an organization with an “excellent” IT security infrastructure versus 70 hours for “typical” security.
 
技術的に熟練したサイバー攻撃者が、対象となる組織への攻撃を計画/実行するためには、147時間が必要とされる。 つまり、”典型的” なセキュリティ対策に 70時間を費やす、”優れた” IT セキュリティ・インフラを有する企業の、約二倍の時間が必要になるのだ。
 
Seventy-two percent of respondents believe attackers will stop their efforts when an organization presents a strong defense.
 
回答者の 72% は、組織が強力な防御を示したとき、攻撃者は退散すると確信している。
 
“As computing costs have declined, so too have the costs for cyber adversaries to infiltrate an organization, contributing to the growing volume of threats and data breaches. Understanding the costs, motivations, payouts, and finding ways to flip the cost scenario will be instrumental in reducing the number of breaches we read about almost daily and restoring trust in our digital age,” said Davis Hake, director of cybersecurity strategy at Palo Alto Networks.
 
Palo Alto Networks の Director of Cyber Security Strategy である Davis Hake は、「コンピューティングのコストが減少するにつれて、組織に潜入するためのサイバー攻撃のコストも低下している。したがって、データへの侵害と脅威を、増長させるための貢献が繰り返されていることになる。これまでのコスト・シナリオを逆転させるほどの、対価/動機/支払/発見の道すじを理解することが、毎日のように目にする侵害の件数を削減し、デジタル時代における信頼を回復するための、有益な手段となる」と述べている。
 
“The survey illustrates the importance of threat prevention. By adopting next-generation security technologies and a breach prevention philosophy, organizations can lower the return on investment an adversary can expect from a cyberattack by such a degree that they abandon the attack before it’s completed,” added Dr. Larry Ponemon, chairman and founder, Ponemon Institute.
 
Ponemon Institute の Chairman and Founder である Dr. Larry Ponemon は、「この調査は、脅威に対する防御の重要性を示している。次世代のセキュリティ・テクノロジーと、侵害に対する防御の発想を取り入れることで、攻撃か完了する前に諦めさせ、攻撃者たちを退散させることで、そのための投資比率を引き下げられるだろう」と述べている。
 
Recommendations
 
  • Make yourself a “hard target” – Adopting a security posture with a breach prevention-first mindset, instead of a detection and incident response approach, can slow down cyberattacker enough for them to abandon the attack in favor of an easier target.
  • Invest in next-generation capabilities – Legacy point products present little deterrence to attackers. The use of next-generation security capabilities that automate preventive action and don’t rely on signatures alone or static defenses are the best defense against today’s advanced cyberthreats.
  • Turn your network visibility into actionable intelligence – A prevention-focused security posture relies on natively integrated technologies like next-generation firewalls, network intelligence, and threat information sharing. This provides defenders with a clearer picture of what is happening inside their network, versus a confusing collection of uncorrelated point products.
 
  • 攻撃が容易なターゲットにならない – 侵害の予防を第一に考えるという、セキュリティの姿勢を導入することで、検出および異変に対応するというアプローチに変えて、サイバー攻撃者たちの動きを遅らせ、また、容易なターゲットではないことを知らせる。
  • 次世代の機能に対する投資 – レガシーなプロダクトが示すのは、攻撃者に対する、わずかな抑止力である。予防の処置を自動化する、次世代セキュリティの機能を取り込み、また、今日の高度なサイバー侵害に対する最善の防御策とされる、シグネチャや静的防御には依存しない。
  • 可視化されたネットワークを実用的な情報に転換 ー 予防を重視のセキュリティの姿勢は、次世代ファイアウォール/ネットワークインテリジェンス/脅威情報の共有といった、すでに存在するテクノロジーの統合に依存するものとなる。それにより、相関性が欠落したプロダクトによる混乱を排除し、ネットワーク内で生じている事象を、明確なかたちでディフェンダーに提供する。
 
ーーーーー
research_55サイバー攻撃と、そこに費やされる時間についての、とても興味深いレポートです。 また、一般的な攻撃者の報酬も示されていますが、誰が支払うのでしょうかね? いずれにせよ、攻撃する側も、費用対効果のバランスを必要とするなら、コスト高に追い込んで、諦めさせるというロジックが成り立ちます。そして、そのためには、戸締まりも必要でしょうが、異変を素早く知ることが重要になります。 昨日の「Security の調査: 2016年は最悪の年になるという、いくつかの予測を整理する」という抄訳によると、あまり歓迎できない、いくつかの兆しが示されています。 この対訳が、何かのお役に立てば幸いです。_AC Stamp
ーーーーー
<関連>
IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半を占める
Enterprise Mobile の調査: セキュリティとインテグレーションが心配だが、乗り遅れるのも怖い
Facebook の セキュリティ 5−STEP には、なんと! 遺書コンタクトまで含まれている!
最凶の Android マルウェア: root 権限を取得し、ファクトリ・リセットでも削除できない!
米諜報機関 NSA は、どのようにして暗号を解析したのか? その手法が明らかになってきた!
 

Comments Off on セキュリティを再考する:サイバー攻撃が生じたとき、時間は味方であり、また 敵でもある

Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Posted in On Monday, Security by agilecat.cloud on May 18, 2015
Security: Low Technology Tools Highly Effective for Hacking Businesses
By Dick Weisinger – May 11th, 2015
http://formtek.com/blog/security-low-technology-tools-highly-effective-for-hacking-businesses/
_ formtek
While businesses increasingly are beefing up security controls to prevent hackers from the outside from penetrating their computer systems, they often overlook their vulnerability from within their organization.  Low-tech hacking techniques for gaining access to systems can be very effective.
 
それぞれの企業が、自身のコンピュータ・システムに対して、ハッカーたちが外部から侵入しようとするのを防ぐために、セキュリティ・コントロールに邁進しているが、多くのケースにおいて、組織内からの攻撃に脆弱性をさらけ出している。そして、残念なことに、それらのシステムに対するアクセスを得る上で、ローテクのハッキング・テクノロジーが、きわめて有効に機能してしまうのだ。
 
Seurat_23M recently conducted an experiment with the Ponemon Institute to uncover security vulnerabilities due to human factors.  It turns out that people within an organization provide a variety of easy vulnerabilities for hackers to exploit.  In the experiment, white cover hackers were sent undercover as a temporary or part-time worker into businesses.  After only two hours of being on site, in 88 percent of the trials, the hackers successfully obtained sensitive information.  Researchers wandered the area and were able to take pictures of computer screens and pick up and take document that were marked as “confidential”.
 
最近のことだが、3M の Ponemon Institute が、人的要因が引き起こすセキュリティ上の脆弱性を、明らかにするための実験を行なった。そして、組織内の人々がハッカーたちに対して、脆弱性を助長する多様な切り口を、きわめて容易に提供してしまうことが判明した。この実験は、ダミーのハッカーたちを、それぞれの企業のパートタイム労働者として送り込むところから開始されている。あるサイトでは、実験がスタートして僅か2時間後に、ハッカーたちが機密情報の 88% を入手するという結果を引き起こしている。ダミー・ハッカーである研究者たちは、対象となるエリアを動き回り、コンピュータ・スクリーンをキャプチャした後に、「confidential」と記載されているドキュメントを取得した。
 
In 45 percent of the cases it took researchers only 15 minutes to gain access to sensitive information and in 63 percent of the cases it is less than half an hour.  An average of five pieces of information were hacked per trial, information that included employee contact information, customer information, corporate financial information, and employee access and login information.
 
そして研究者たちは 、45% のケースにおいて 15分足らずで、また、63% のケースでは 30分以内で、機密情報にアクセスしている。ちなみに、この実験においてアクセスした内容には、employee contact information/customer information/corporate financial information/employee access/login information という、5種類の機密情報が含まれている。
 
In one case, the researcher even opened an Excel spreadsheet on a computer and started taking pictures of it on their cellphone, but no nearby workers said anything.  No one questioned what the researcher was doing.
 
あるケースでは、研究者たちは Excel のスプレッドシートをオープンし、そのスクリーンを自分のスマホで撮影したが、そばに居た従業員たちは何も言わなかったそうだ。 つまり、ダミー・ハッカーたちが行なっていることに、誰も疑問を持たなかったことになる。
 
Larry Ponemon, chairman and founder of Ponemon Institute, said that “in today’s world of spear phishing, it is important for data security professionals not to ignore low-tech threats, such as visual hacking.  A hacker often only needs one piece of valuable information to unlock a large-scale data breach. This study exposes both how simple it is for a hacker to obtain sensitive data using only visual means, as well as employee carelessness with company information and lack of awareness to data security threats.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「 先鋭なフィッシング行為が蔓延する今日の世界では、このビジュアル・ハッキングに例えられるローテクの脅威を無視しないという、データ・セキュリティの専門家たちの姿勢が重要になってくる。多くのケースにおいて、ハッカーは一片の情報を手にするだけでロックを解除し、大規模なデータ侵害を成功させてしまう。今回の調査では、ハッカーたちがビジュアルな手段を用いるだけで、機密データを容易に取得できることが明らかになった。 それだけではなく、企業情報やデータ・セキュリティの脅威に対して、従業員たちの注意が足らず、意識が欠如しているという側面も明らかになった」と述べている。
 
ーーーーー
On Mondayなんという、怖ろしい破壊力なのでしょうか。 たしか、昨年末に Sony Pictures が侵害された件も、ハッカーが物理的に侵入した結果だと言われていました。 以前に、Hybrid の調査: 企業データを分析すると、20-60-20 の 仕分けシナリオが見えてくる という抄訳をポストしていますが、まずは、クラウドとオンプレミスに置くべき情報の仕分けが必須なのでしょう。 そして、たとえばパートタイム従業員が入っていくようなオフィスからは、クラウドのみが参照できるというような、なんらかの制約が必要なのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Microservices の調査:Amazon.com におけるマイクロサービス・アーキテクチャとは?
Cloud Developer の調査: あなたは DevOp 派? Coder 派? それとも RAD 派?
Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言

Comments Off on Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

%d bloggers like this: