企業にとって最大の恐怖はサイバー攻撃です。企業がサイバー攻撃を受け、その影響への対処に追われることは、常に新しいものであるように思われています。CIOからDevOps担当者までがある程度のKubernetes環境のセキュリティを確保していますが、攻撃を防げる保証はありませんし、攻撃が発生した場合、企業がダウンタイムやデータ損失を被らないという保証はありません。その上、多くのリーダーは、攻撃発生時、特に発生後24時間の重要な期間に何をすべきなのかさえ、よく分かっていません。
ランサムウェアやデータ流出などの攻撃を受けて何をすべきか、明確なセキュリティ対策書を作成している企業もありますが、まだ作成途中の企業もあります。企業のサイバーセキュリティ対策を考えている方は、次のステップを検討してみてください。
攻撃直後の対応
攻撃が発生した場合、侵害された環境がKubernetesであるかどうかにかかわらず、考慮すべきいくつかの重要なステップがあります。何よりもまず、担当者は適切な当局、利害関係者、リーダに対して警告を発し、侵害に対する認識を高め、メッセージが適切な人々に届けられるようにする必要があります。場合によっては、セキュリティまたはITチームへの連絡で済むこともあれば、リーダシップへの本格的なエスカレーションとなることもあります。企業にはそれぞれ独自の組織階層があり、攻撃の可能性を誰に通知すべきかは変わってきますが、重要なのは、知るべき人が知るべきことを確保することです。
適切な人物に警告を発した後は、侵害の程度を評価する必要があります。ハッキングされたユーザアカウントは一人の従業員にしか影響しないかもしれませんが、大規模な攻撃では、組織全体が危険にさらされる可能性があります。このような侵害の特定プロセスを可能な限り円滑かつ迅速に進めるために、組織は常に追加のリソース活用を検討すべきです。
攻撃を受けてから12時間以内
企業によっては、失われたデータの復旧や復元が可能な場合もありますが、ほとんどの場合、外部からの支援が必要です。最初の12時間以内であれば、何が問題であったかは明らかかもしれませんが、被害の全容を把握するにはまだ時間がかかるかもしれません。外部のコンサルタントは、さまざまな角度から調査を行い、攻撃中に考えもしなかったような危険な領域を特定するのに役立ちます。
アウトソーシングしたことで、セキュリティ・チームは、侵害の根本的な原因を突き止め、悪用された脆弱性に対処することができます。Kubernetesで運用されているということは、クラウドネイティブなアプリケーションで侵害が発生した可能性が高いため、侵害が発生する可能性はより多くなります。セキュリティ専門家は、侵害の特定と是正に取り組む必要があります。エンドユーザが報告しなかった不審なメールやフィッシングメールに出くわしたことはありませんか?これは、プリビレッジ的な管理者アカウントの認証情報侵害の可能性があります。プラットフォーム・エンジニアは、コンテナ・イメージに見つかった脆弱性を見落としていませんでしたか?これは、CI/CDパイプラインでの脆弱性の可能性があります。
侵害の根本原因を特定することは、他のユーザや顧客に影響を与える前に、特定されたインシデントの拡大を阻止する封じ込め段階へとチームを導きます。これには、必要に応じて隔離したり、特権的なアクセスを一時的に減らしたりすることも必要です。
最初の24時間以内
封じ込め計画が経営陣によって承認され、動き出したら、影響を受ける人々に通知することが重要です。信用、顧客、信頼を失うことを恐れて、インシデント(事故)を隠蔽したくなるかもしれません。しかし、顧客が分かるようなセキュリティ・インシデントは、いずれは一般に知られるようになることを考えることが重要です。組織がこれに先手を打たない場合、結果的に誤解される可能性があります。
社内のコミュニケーション・チームにインシデントを直ちに知らせ、必要に応じて社内外のコミュニケーションの草稿を作成するよう依頼してください。非難の声を上げたり、インシデントの詳細を説明したりする必要はなく、組織が適切なレベルのリソースを用いていかに迅速に対応しているかを説明し、現在取っている措置やまだ取る必要のある措置について説明することが必要です。安心感を与え、行動を促すことは、セキュリティ・インシデント発生時に最も貴重な資産となります。既存の関係を強化し、新たな関係者の協力を呼び込むことができるからです。
行動への呼びかけ 最終防衛ラインを確保するために
セキュリティインシデントが発生してから24時間が最も重要ですが、今後の攻撃に対するKubernetesシステムの再構築と準備のために、まだやるべきことが残っています。これには、ノード、アクセス、ネットワーク、コンテナ、およびデータの保護が含まれます。
さらに保護を強化するために、新しいテクノロジーやソフトウェアへの投資も検討することが有益でしょう。手始めとして最適なのは、検知・対応ツールです。監視は可視性を提供し、SIEM および SOAR プラットフォームは、ソフトウェアがノイズをフィルタリングし、発見事項を関連付け、重要なセキュリティ・アラートのみをエスカレーションするための拡張性を提供します。これには、上記のリソースの多くを1つのプラットフォームで提供するクラウドネイティブ・アプリケーション保護プラットフォーム(CNAPP)を組み合わせるとよいでしょう。
将来のサイバー攻撃を防止または検出するための投資の多寡にかかわらず、常に最後の防衛ラインを確保する必要があります。データは多くの敵にとって最大の標的であるため、データの機密性、完全性、可用性を保護することが最も重要です。弾力性のあるデータ保護プラットフォームは、データの不変性によって攻撃に対する保険となり、迅速な回復のための扉を開くことができます。ランサムウェアを完全に防ぐことは不可能に近いですが、嵐を乗り切るためには、準備と対応方法を知っておくことが重要です。特に最初の24時間に備えれば備えるほど、より早く復旧し、本来の業務に戻ることができるのです。