サイバーハイジーンを年間を通じて話題にする

Max Havey [00:00:02] こんにちは、Security Visionaries Podcast の別版へようこそ。このポッドキャストはサイバー データと技術インフラストラクチャの世界に関するもので、分野を越えて世界中の専門家が集まります。 今日は私がホストです、マックス・ヘイビーです。今日はゲストのリッチ・デイビス（ここ Netskope の製品ソリューション マーケティング担当ディレクター）とサイバー衛生について話します。 リッチ、今日の調子はどうだい?

Rich Davis [00:00:21] ええ。ねえ、マックス。 ここにいられてよかった。 本日の対談を楽しみにしています。 確かに、私の心にとって大切なのは、以前、人的要因と、人間が物事にどのように影響するかについて、非常に詳細に調べてきたことです。 そして、今日のトピックは確かにそれと非常によく一致しています。

マックス・ヘイビー [00:00:36] 間違いない。 そうそう、ここに飛び込みましょう。 そのため、年の初めにはサイバー関連の啓発日が多くなる傾向にあります。 例えば、2月1日や今日が「より安全なインターネットの日」である「National Change Your Password Day」などです。 しかし、あなたの経験から、このような気づきの日が本当に効果的であることに気づきましたか? 例えば、セキュリティの専門家が人的要素に対処する際に本当に求めている変化を、彼らが推進しているものは何だと思いますか?

Rich Davis [00:01:05] ええ、もちろん、これらは諸刃の剣です。 第一に、私たちは宣伝を責めることはできません。 どんな認識でも、どんな宣伝も素晴らしいです。 問題は、この種のことすべてと同じように、「よし、今日はやっておこう、また別の日には忘れてしまうだろう」という考えになってしまうことだと思います。 そしてもちろん、これは年間を通じて取り組む必要があり、私たち、ユーザー、そしてその人々に関しては、彼らは防御の最前線です。 したがって、彼らはこのことについて考え、セキュリティと日々行っていることについて考える必要があります。 繰り返しになりますが、特定の日にそれに焦点を当てることは素晴らしいことです。 あまり良くないのですが、また忘れてしまうかもしれません。 そして、これはデータにもよく見られます。 ユーザーの行動に関する履歴データの一部を見てみると、セキュリティ意識向上トレーニングを実施してから 1 ～ 2 週間後には、より良い結果が得られ、クリック率が低下していることが実際にわかります。コンテンツ。 そういったことをする可能性が高かったのです。 DLPアラートが落ちるようなことも覚えていますが、その後は尾を引くのです。 そして、はい、だからこそ、この種のことはかなり効果的です。 はい。 組織は、これが継続的な進化であることを本当に考える必要があります。 毎日、毎週。

Max Havey [00:02:16] もちろんです。 セキュリティトレーニングの半減期は、CSOチームのさまざまなメンバーから聞いた限りでは、かなり短いです。 ですから、一年を通して意識の中でそれを続ける方法を見つけるのはとても良いことです。 しかし、たった1日だけでは、全体的に効果がないように思えます。

Rich Davis [00:02:32] ええ、ええ、間違いなく。 そして、私は、これらの、これらの安全なインターネットの日とパスワードの変更の日は、本当にある意味で、昨年のそのビンに辞任すべきだと思う。 そして、本当は、私たちはこのことについて、もっと総合的に考えるべきなのです。

Max Havey [00:02:47] 善意のたった1日ではなく、一年中サイバー衛生に関する会話が行われていることは間違いありません。 しかし、結果は必ずしも私たちが望むものとは限りません。

Rich Davis [00:02:56] 私たちは、より安全なインターネットライフと呼ぶべきです。 ほんとですか。

Max Havey [00:02:59] もちろんです。そして、ここでの最初の大きな質問は、サイバーハイジーンについて考えることです。 組織が実際に取り組んで年間目標のようなものを立てるには、サイバー衛生が難しく、時には退屈な作業になる可能性があるのはなぜだと思いますか?

Rich Davis [00:03:12] ええ、歴史的な側面もあると思います。 だから、私たち全員がそこにいたことがあります、私たちは皆、私たちが恐れている電子メールを受け取ったことがあります、そしてそれはあなたのトレーニングまでに行くまでの年に一度の時期です、そしてあなたはこう思います、これは8時間です、私には時間がありませんこれ。 そして、私たちは自動的にこの否定的な意見を得ます。 そして、個人として、私たちには、これを行う必要はない、そう、私たちはよくある感覚を持っており、自分たちが何をしているのかを知っているという感覚が組み込まれていると思います。 ですから、それらは間違いなく一役買っていると思います。 そしてそれが問題の一部だと思います。 また、個人の利益ではなく、組織の利益を中心に考えられていることが多すぎるとも思います。 そして、多くのことがあり、これが本当に成功するのは、家族の中の個人に焦点を当てたときだと思います。 もし、あなたとあなたの家族の安全を守る方法にまで広げることができれば。 そうすれば、組織はその個人に関連したものになるので、より大きな影響力を持つようになると思います。

Max Havey [00:04:01] ユーザーの個人的な側面にアピールすることは、ユーザーにとって現実味を帯びた方法のように感じます。 そして、それは、広範で抽象的な機密データについて話すだけではありません。 それはあなたの社会保障番号です。 それは、パスワードが安全であり、銀行情報が安全であることを確認することであり、それが理由で個人を特定できる情報であるようにすることです。 同様に、ここでのあなたの役割において、組織内でより良いサイバー衛生慣行を推進する方法をどのように見つけましたか? もしかしたら、そういった個人的な要素を強調した方がいいのではないでしょうか?

Rich Davis [00:04:30] ええ。そして、それは本当にいくつかのことに帰着すると思います。 まず、そのトレーニングをどのように設計するかです。 もちろん、私たちは特にIDとパスワードにある程度焦点を当てていますが、もちろんそれよりもはるかに広い範囲に焦点を当てています。 おっしゃる通り、パーソナルにするということだと思います。 つまり、ビジネス的な意味ではお互いに起こりうる実例を挙げると同時に、それを彼らが理解できるもの、おそらく個人的な意味でのものにリリースするということです。 つまり、個人のクレジットカードを盗むことを、会社のPIAや知的財産を盗むことに関連づけているのです。 そして、その効果がもたらすことができる。 なぜなら、繰り返しになりますが、あなたはそれを個人的なものにし、現実のものにし、彼らが日々考えていることや、彼らが個人的に気にかけているかもしれないこととリンクできるようにしているからです。 向こう側、つまり時間という観点から考えると、 そして、これをやるとき、これは本当に一年を通して点滴で供給することだと思います。 組織がユーザーのトレーニングに費やせる時間は 1 年のうちに限られており、多くの組織が「わかりました」と判断してしまうと思います。 右。 8時間です。 この日に一度だけやるよ」 そして、実際には、それを壊すのがはるかに効果的な方法です。 はい、コンプライアンス上の理由から、これらの要件を満たす必要があるため、特定のトレーニングを年に一度受ける必要があるかもしれませんが、それ以外の場合ははるかに時間を費やすことができます。 それは、それを点滴し、ジャストインタイムのトレーニングを受けることですが、会社が直面している状況にも関連させます。 実際にできるのであれば、あまり一般的なものにするのではなく、組織に関連する脅威の種類について、ユーザー、従業員に知らせてください。 もう一度言いますが、組織とのリンクが得られます。 彼らは、特定のトレーニングを受けるように求められる理由を理解できます。 したがって、そのトレーニングに対する全体的な反応が改善されます。 そして、私は過去の人生で、組織と協力して行動の変化を追跡しようとして、年に一度のこの種のトレーニングから、よりターゲットを絞ったトレーニングプログラムに移行して、2015 年の期間にわたって実施することを直接見てきました。フィード コンテンツをドリップする年は、ただトレーニングするだけであり、そのポータルで年に 1 回行われる e ラーニングを、それだけではなく、はるかに広範なものにします。

Max Havey [00:06:44] もちろんです。 もう少し掘り下げると、先ほどお話ししたように、この種のトレーニングを家族の特定のユーザーや日常生活に関連させる方法を見つけることです。 では、それがどのようなもので、どのように展開されるのか、いくつかの例を挙げていただけますか?

Rich Davis [00:07:00] ええ。私自身に関連する例を挙げましょう。 ティーンエイジャーになったばかりの子供たちが、初めて自分の銀行口座を管理し始めています。 私たちは、彼ら自身の世話をすることから、彼らが携帯電話にアプリを入れられるようにし、Apple Pay を使えるようにすることに移行しました。 ですから、これは私に直接個人的なことですが、これは次に、それをどのように保護するかに焦点を当てます。 家事で稼いだ苦労して稼いだお金が、情報に不注意だったために一晩で消えてしまうのは望ましくありません。 したがって、ご存知のとおり、私たちは幼い頃から安全を保つことについて子供たちに話し始めます。 2人ともパスワードマネージャーを入手し、そこに鍵の認証情報を保存できるようにしました。 私はこれがなぜ必要なのかを徹底的に話し、彼らが置かれている状況に関連したものにするために努力してきました。 したがって、これは、それを意味のあるものにするために、どこに挑戦できるかを示す 1 つの素晴らしい例だと思います。 つまり、彼らは今、毎日毎日パスワード マネージャーを使っているのです。 つまり、覚えておく必要のある資格情報は 1 つだけです。 覚えておくべきことは 1 つしかないため、複雑になる可能性があります。 そして、これは13歳と15歳です。 ですから、もし彼らがそれを行うことができるのであれば、ビジネスの観点から、すべての人が同じことができない理由はありません。 娘の今が私を前に出して、ざっと通り抜けると、「ああ、お父さん、これは明らかだ」という感じでした。 そして、これは、私たちが行っていることの利点を実際に確認できる素晴らしい例です。 もうひとつの良い例は、人々が日常的に理解していることに関連づけることだと思います。 YouTubeを見ると、最大級のテクノロジーやセキュリティのチャンネルを含む、非常に有名なYouTubeチャンネルで大規模なハッキングが相次いでいます。 Linus Techのヒント。 この分野で多くの人が見ている最大のヒントの1つ。 彼らは YouTube アカウントを侵害されており、パスワード マネージャーや 2FA を使用するというセキュリティのベストプラクティスを実践している人物ですが、それでも回避する方法はまだあります。 ここで、やはり人的要素が関与しなければなりません。これは、人々のアクセスを保護して阻止するだけではなく、その組織を迅速に発見して通知することも重要です。 そして、その特定のケースでは、誰かが異常な動作を発見しました。 そして、隠蔽しようとしたり、何か悪いことをしたと考える代わりに、彼らはすぐに組織内の誰かに連絡し、はるかに迅速にそれに対処することができました。 そしてまた、それは、さて、あなたの露出が何であるかという領域に入ります。 たとえ誰かが組織に侵入したとしても、他にどのようなツールを用意していますか? なぜなら、これは認証だけの問題ではないからです。 もちろん、ユーザーと話をするとき、これはアイデンティティの側面だけにとどまりません。 また、情報を確実に保護するためにできることは他にもあります。

Max Havey [00:09:50] もちろんです。 そして、そこに表示したものをダブルクリックします。 多要素認証とゼロトラストの原則は、この番組や世界中でサイバーセキュリティの会話で頻繁に使用される傾向にあるもう 1 つの用語です。 組織がサイバー衛生をより良く推進し、会話を継続するために使用できるツールとして、この種のことがどのように関与しているのでしょうか?

Rich Davis [00:10:12] そうですね、多要素認証については多くの動きがあり、多くの組織が今それを活用しています。 また、特権アクセス管理を使用して、実際にその特権アクセスの多くに対してさらに深いアプローチを採用しています。 人間が関与している間に、偽のクレデンシャルページに入力させ、すぐにログインさせることで、多要素トークンを盗む方法は常にあるということです。 もちろん、独自のMFAを設定することもできます。 これらのテクニックの多くを回避する方法は他にもあります。 ですから、これらのベストプラクティスをすべて取り入れるほど簡単なことではありません。 組織は、最悪の事態が発生した場合にデータ損失を防ぐにはどうすればよいかという概念について真剣に考える必要があります。 ある時点で、ユーザーの 1 人が資格情報を盗まれると仮定します。 誰かがアクセスしようとしています。 その損失範囲を制限しなければいけません。 その攻撃対象領域を制限する必要があります。 そこで登場するのが、ゼロトラストの原則などです。 なぜなら、理想的な世界で毎日毎日働いているユーザーのことを考えているのであれば、彼らは仕事をするために必要な最低限の不安だけを持つべきであり、それ以上のことは何もないはずだからです。 つまり、彼らの仕事が金融プラットフォームに入ってデータ入力を行うことであるとします。 その後、そのアプリケーションにのみアクセスできるようになります。 いつ、どのようにアクセスできるかを規定するルールを用意する必要があります。 しかし、もっと重要なことは、彼らが実行できるアクションがたくさんあるということです。 レポートを取り出す必要はありません。 彼らがデータを取得して、そのデータを公共のファイル共有サービスなどに送信できる必要はありません。もちろん、それは彼らがデータを盗もうとするときにまさにその攻撃を受けることになるのです。彼らは情報を引き出すために挑戦するつもりであり、彼らはそのデータを引き出すためにリモートサービスを使うつもりです。 そして、これが、アダプティブトラストを持つという概念全体であり、私はゼロトラストという言葉が好きではありません。 それは良い原則に基づいていますが、実際には継続的な適応型信頼です。 それは、現在の状況を見て、アクションを見て、ユーザーの認証、ユーザーの場所、ユーザーのアクション、過去のアクションと現在のアクションなど、さまざまな基準を見て、その決定を下すことです。 それが起こるべきか、起こらないべきか。 したがって、この種のアプローチを使用すると、最悪の事態が発生した場合に攻撃対象領域を制限できます。 また、これらのタイプのポリシーを使用して、組織が動作の違いを確認し始めたときにアラートをトリガーすることもできます。 たとえば、UEBA またはユーザー エンティティ行動分析は優れたツールであり、実際に他の多くのポリシー要素に深く組み込まれて、この種のアラートやインシデント対応プロセスを推進すると、さらに優れたツールになります。

Max Havey [00:12:55] もちろんです。 そして、ユーザーが何か危険なことをしているときに警告を発したり、その種のデータを保護したりすることが非常に重要であると思います。 私たちの CSO チームの Steve Riley が少し前に書いた一連の記事がありました。ウェブメール、Amazon S3 バケット、Azure BLOB など、人々が使用している漏洩性のある SAS アプリについて話していました。人々が日々利用するこれらのさまざまなサービスに対して適切な権限を設定し、比較的ロックダウンされた状態に保ち、誰でも利用できるようにしたままにしていることに気づかずに誤ってデータを公開しないようにします。このリンクを持っているインターネット。 ブルートフォースで侵入する人、またはこれらすべてに侵入する方法を見つけた人。 何かを一方的に設定を間違えて、自分が何をしたかに気づかないのは非常に簡単です。

Rich Davis [00:13:45] そうですね、ここ数年に起きた多くのインシデントを見てみると、必ずしもアカウント侵害が発生したわけではない組織だったというだけでしょうか。その方法でアクセスできますが、誰かがアクセスすべきではない間違った場所にあるデータにアクセスできるだけです。 それが公開されているのか、組織内の誰かがアクセスすべきではないコンテンツにアクセスし、それを置くべきではない場所に置いているのかにかかわらず、そもそもアクセスできるべきではありません。 、そして、移動してはいけない場所に移動します。 そしてもちろん、これは人的要因のもう 1 つの側面であり、システムを使用する最適な方法と、データをどこに置くべきか、どこに置くべきではないかをユーザーが理解できるようにトレーニングし支援することです。 もちろん、これはまったく別のトピックに移りますが、これはユーザーの周りで一日中話し合うことができるかどうか、そしてユーザーが仕事をしやすくしているかどうかです。 人々は簡単だからツールを使いますよね？ 物事を成し遂げるのは簡単だからです。 そして、これ自体が、ユーザーが仕事を簡単に行えるようにするソリューションやアクセス方法の導入に関するトピックです。 これらのメカニズムをそこに配置できる場合は、ユーザーが簡単に作業できるようにしますが、その会社が許可する範囲と実施されているセキュリティ制御の範囲内にとどまります。 彼らは、これらのツールを回避するために別の道を歩むことはありません。 繰り返しになりますが、この話題は何時間でも話し合えるかもしれませんが、認証は継続的な適応型信頼という概念全体の一側面に過ぎないという哲学全体と非常に密接に結びついています。

Max Havey [00:15:14] ええと、具体的に紹介していますが、ここで一周して、パスワードの変更日はパスワードを変更するための良い言い訳ですが、多くの人がパスワード変更の通知を受け取り、翌日、翌日、その次の日まで延期します。 そして、どうしても必要になるまでパスワードを変更しません。 そのため、一部のユーザーにとってはフラストレーションが溜まります。 これは、これをここにまとめるための興味深い方法だと思います。一年を通じてそのようなサイバー衛生の実践を実施し、これらのことを継続することで、すべての問題が解決するわけではありませんが、会話を常に活発にし続けることができます。組織と協力し続けるということは、最終的には、たった 1 日だけではないということを意味します。 サイバーセキュリティのことについて考えるのは年に1日だけで、パスワードは絶対に変更しなければなりません。

Rich Davis [00:15:59] そしてもちろん、私たちが彼らにしてほしくないのは、パスワードを覚えやすいもの、つまり本の後ろにあるものに変えることです。 または、Excel スプレッドシートを投入します。 パスワードを変更することのもう一つの欠点はどれですか? また、複数のシステム間でパスワードを要求します。 そうです、それが私がパスワードマネージャーを強く支持する理由です。 覚えておくことができるキーの複雑なパスワードが 1 つあります。 それを定期的にローテーションします。 そしてもちろん、パスワードをローテーションするのは、誰かを締め出す良い習慣だからです。 したがって、誰かがアクセス権を持っている場合、アカウントでロックアウトされます。 そして、それが私たちがそれを行う主な理由の1つです。 しかし、最終的にはそのユーザー次第です。 ユーザーにとって物事を簡単にする必要があります。 なぜこれが重要なのかを人々に説明し、彼らが良い決断を下し、悪い習慣に頼らないようにするためのツールを導入する必要があります。

Max Havey [00:16:54] もちろんです。 そして、ここでの質問は終わりです。 リッチ、サイバー衛生に関して、セキュリティ担当者にアドバイスを 1 つ与える必要があるとしたら、それを簡単にし、プロセス全体を改善して年間を通じて会話できるようにすることについて、そのアドバイスは何ですか?なれ？

Rich Davis [00:17:10] そうですね、私は組織のセキュリティ部門以外にも多くのリーダーと話をしてきました。 そして、組織がここで最善のアプローチをとっているのは、これがビジネスの取り組みになるところです。 多くの人がこれをセキュリティイニシアチブと見なしていますが、これはビジネスイニシアチブです。 ですから、経営幹部から賛同を得て、スポンサーシップを得て、実際にCEOにこれが重要な理由について紹介ビデオで紹介してもらい、ビジネスリーダーが自分のツールの所有権を持ち、それをスタッフに広めるのを手伝うことが、これを実現するための鍵となります。 ですから、ここでの私からのアドバイスは、まだ行っていない場合は、これをセキュリティイニシアチブからより広範なビジネスイニシアチブに移行する方法を検討することです。

Max Havey [00:17:55] もちろんです。 これに最も注目されるのは、最も多くの人々がこれに関与することです。 したがって、これはより広範な問題にはなりません。 サイバーセキュリティの問題の結果として、侵害などの見出しに載ることを望んでいません。 したがって、この努力をすることは、最終的にはあなたが働いている組織全体の利益になります。

Rich Davis [00:18:11] ええ、100%です。

マックス・ハビー [00:18:12] 素晴らしい。 まあ、リッチ、あなたと私はおそらく1時間かそこらでこのことについて話し続けることができると思いますが、私たちはここで時間に来ていると思います。 ご参加いただき、誠にありがとうございました。 これはとても素晴らしい話で、あなたはここで多くの素晴らしい洞察を提供しました。

Rich Davis [00:18:24] マックス、今日はお会いできて光栄です。 私は、リスナーの中には、今日のポッドキャストから少なくとも 1 つまたは 2 つの豆知識、1 つまたは 2 つのことを取り出して、自分の所属組織に戻してもらえることを願っています。

マックス・ハビー [00:18:37] 素晴らしい。 そして、あなたは Security Visionaries ポッドキャストを聞いてきました。私がホストを務めました、Max Havey、このエピソードが気に入ったら、友人と共有し、お好みのポッドキャスト プラットフォームで Security Visionaries を購読してください。 そこでは、エピソードのバックカタログを聴くことができ、私または私の共同ホストである素晴らしいエミリー・ウェアマウスがホストする隔週の新しいエピソードに注目してください。 次のエピソードでお会いしましょう。