複雑なITセキュリティリスクは、ポイント製品ではなく、包括的な対応でのみ扱うことができます

ポッドキャストを聞く。 iTunes / iPodで検索してください。フルテキストを読むか、コピーをダウンロードしてください。もっと詳しく知る。スポンサー:HP。最新のBriefingsDirectディスカッションでは、複雑なITセキュリティ違反から企業が直面する急増する脅威について取り上げています。

過去1年間で攻撃の数が増え、それに関連するコストが高くなり、目に見えていました。したがって、システムやプロセスを確保しないリスクはずっと大きいです。一部の人々は、攻撃の割合をパンデミックと呼んでいます。

これらのリスクを軽減するための道は、脅威が拡大しても、フレームワークと戦略レベルでセキュリティに直面し、ポイントソリューションのアプローチを管理された継続的なセキュリティ強化ライフサイクルに活用することです。

HPの一連の最新ニュース発表の一環として、この討議では、組織の脆弱性を率直に評価できるワークショップから、独自のフレームワークに基づいて企業を変革できるフレームワークレベルのアプローチに至るまで、特定のニーズ。

HP Discover Interview:セキュリティエバンジェリストRafal Los、ITトレンドの消費を背景にリスクと報酬をバランスさせる、仮想化からクラウドコンピューティングへの飛躍:ロードマップとガイドライン、HP、モバイル、クラウド、ソーシャルメディアの脅威へのセキュリティポートフォリオの拡大、 HPワークショップのチームが、IT成熟度評価とデータセンターの変革に不可欠な道筋を提供する、HPのプレミアサービスにより、シングルポイントアカウンタビリティとソフトウェアスプロール

ここでは、「テクノロジーのファブリック」、「プロセスの枠組み」、「準備のライフサイクル」がどのように連携して組織の安全性を高め、それらを安全に保つことができるかを説明するために、ワールドワイドディレクターのレベッカローソンHPのセキュリティイニシアチブディスカッションは、Interarbor Solutionsのプリンシパルアナリスト、Dana Gardnerによって司会されています。 [発表:HPはブリーフィングのダイレクトポッドキャストのスポンサーです。]

ここにいくつかの抜粋があります

G ardner:セキュリティの脆弱性の問題はなぜ頭に浮かぶのですか?

L awson:新聞を開くと、毎日別の会社がヒットしているのが見えます。業界では、サイバー犯罪、ハックティビズム、国家攻撃など、さまざまなセキュリティ関連の問題を抱えています。これを私たちが使用するデバイスの多様性と、毎日アクセスする幅広いアプリケーションやデータと組み合わせることで、これらのダイナミクスがどのようにエンタープライズにとって非常に多孔性の環境を作り出すかがわかります。

だから、私たちは、短期間だけでなく、脅威が近づいている、そして存在しているときだけでなく、より長期的な視点からも、セキュリティを処理する方法について、戦略的に考え直したいと考えていることを顧客から聞き出しています。

G ardner:この脆弱性をサポートしている傾向は何ですか?

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

L awson:HPの最近の調査では、30%の人々が不正な内部アクセスによってセキュリティ侵害を受けており、20%以上が外部からの侵害を経験していることがわかっています。だから違反は内外で発生し、違う理由で起こります。場合によっては、不満を持った顧客または従業員によって違反が起こることもあります。時々、政治的動機があります。時には正直な誤りです…プリンターの情報を持っているプリンターから紙を奪ってしまい、それが間違った手に入ることがあります。

セキュリティ上の事件が発生する可能性が非常に多くの異なる点があります。本当の秘訣は、すべての武器を武器にして、評判の損害や財務上の損害や操作上の損害を引き起こす可能性の高いものに注意を払うことです。

我々の研究では、特にウェブアプリケーションに対する攻撃の数が急増していることにも気づいた。 HPの重点分野の1つは、顧客がなぜそれが起こっているのか、またそのことについて何ができるのかを理解することです。

G ardner:過去には、多くの団体が壁に囲まれた庭園を構え、「私たちは多くのウェブサイトをやることはしません。私たちはモバイルをするつもりはありません私たちはネットワークを支配し続けるつもりだ」と述べた。しかし、今日はそれが本当にできません。

モバイルをしていなくてもクラウドを真剣に見ていない場合でも、どこにいるかに関わらず、従業員があなたの資産にアクセスできるようにしないと、あなたは本当に競争上不利になります。だから、これは選択肢ではないと私は思うし、古い防衛的な姿勢はもはや動作しません。

L awson:それはまさに正しいことです。古き良き時代、壁に囲まれた庭園がありました.ITやセキュリティオフィスでは、ウェブにアクセスしたり、Webアプリケーションを構築したりする新しい方法に「いいえ」と言うだけで簡単でした。もちろん、今日でも彼らはいいえと言うことができますが、ITおよびセキュリティーオフィスは、成長を促進する技術関連の革新を妨げることができないことを認識しています。

当社の顧客は、情報資産が現在最も重要な資産であることを痛感しています。それが価値のある場所なので、焦点はどこにあるのでしょうか。問題は、すべてのデータと情報が自由に移動できることです。あなたは目の瞬きの中で中国にデータを送って、複数のアプリケーションで異なるコンテキストで使用することができます。コンテキストが急速に変化するため、保護対象となる内容と保護対象についてどのように違うかを考える必要があります。だから今は別のゲームです。

G ardner:そして、この「新しいゲーム」に直面するにつれて、以前の組織的アプローチが欲しいとも思われます。実際に調整されておらず、お互いに話をしていない、右手と左手が何をしているのかわからない、さまざまな人々の権威の下で様々な異なるセキュリティアプローチがあった場合、それが問題になります。

それでは、これをどのようにして戦略的なレベルに上げ、フレームワークを得て、包括的な計画を立てているのでしょうか?あなたが最近作り出してきた多くのニュースが関係しているように聞こえます。

銀色の弾丸はありません

L awson:あなたは正しいです。当社の顧客は、銀色の弾丸がないことを認識しています。機能分野、ビジネスライン、サイロについて考える必要があります。

職務第1号は、適切な人々を連帯させ、状況を評価することです。人々はIT、セキュリティ、リスク、AppDev、法律、経理、サプライチェーンなど、組織全体から本当に状況を評価するつもりです。誰もが脆弱性がどこにあるのか、最もコストのかかる脆弱性がどこにあるのかを認識するだけでなく、「我々の企業がテクノロジーで革新を起こしていることはここにあります。ゲット・ゴー。

これから2つのテイクアウェイがあります。構造化された組織的なフレームワークアプローチは、顧客が同じページ上の人々を得るのを助け、トップダウンでプロセスを効率的に構築し、異なるセキュリティプロセスがどのように機能し、どのように組織に利益をもたらし、革新できるかを全員が認識できるようにします。

[しかし、それはまた、長期的な考え方、セキュリティの構築については、企業が角を曲げ始めることができます。私はもう一度Webアプリケーションに戻って、非常に必要なものにセキュリティを組み込み、セキュリティのために常にテストしているアーキテクチャ設計、テスト、プロダクションを通して、すべての方法を確実に確認します。

G ardner:フレームワークアプローチの高水準ビルディングブロックは何ですか?

L awson:先ほど触れたフレームワークは、データの保護、サプライヤーの管理、物理的資産やセキュリティの確保に関して何をしなければならないかを見極める方法ですが、その枠組みで実行する私たちのアプローチは4点アプローチです。

私たちは、まず現在の状況を把握し、現在の脆弱性が存在する可能性のある場所を目の当たりにするだけで、顧客がまず状況を評価するのを助けます。次に、彼らは今日の場所から彼らが必要とする場所にセキュリティの実践を変える手助けをします。

そして、それを継続的に管理するための技術とサービスが提供され、ますます多くのセキュリティ管理が自動化されます。そして、セキュリティがそれほど強くないため、最適化を支援します。そのため、我々は、新しい脅威のすべてが進化したり、新しいコンプライアンスの要件が下がったりするにつれて、お客様が正しいボールに目を向けるツールやサービスを提供しています。

G ardner:HPセキュアボードルームとは何ですか、なぜこの組織的シフトの一環として重要なのですか?

L awson:安全な会議室はダッシュボード技術と、組織内のさまざまなデータソースにAPIを生成するのに役立つ豊富な知的財産を組み合わせています。

その結果、CISOはダッシュボードを見て、組織全体で何が起こっているのかを即座に確認することができます。何が起こっている脅威ですか?インシデントの発生率はどのくらいですか?あなたの計画のスペクトラム全体で何が起こっていますか?

異種システムへの可視性を持たせることは、ステップ1です。私たちはこれを数年にわたって整理してきましたが、これを企業が一貫したCレベルのビューをまとめるために使用できるようにして、適切な種類の透明性を持つシステムにしました。

バトルの半分は、毎日起こっていることを一貫して見ているだけなので、適切な視点が必要な場所やプロセスを変更する必要がある場所を見つけながら、適切な問題に集中できます。セキュアボードルームは、適切なプロセス、適切な要素、適切な情報に継続的に集中し、財務、運用、評判関連の資産をより適切に保護するのに役立ちます。

私たちはシステム管理とビジネスサービス管理業務に長年携わってきたので、これをビジネスサービス管理のレベルまで上げていきます。

私たちはすでに、ある特定のサービスに関して木々の森を見ることができるので、すでに顧客との間で頭を揃えています。それがサプライチェーンのサービスだとしましょう。このサービスは、ネットワーク要素、システム、ソフトウェア、アプリケーション、およびそれを通るすべての種類のデータで構成されます。私たちは、OpenViewの従来の管理ツールや、ビジネスサービス管理の持つ機能など、セキュリティの観点から、従来の管理ツールを使用して、その管理を結びつけることができます。

脆弱性、脅威、および攻撃について考えるときは、最初にすべきことは適切な可視性を持つことです。私たちのセキュリティ組織の技術は、脆弱性を本当に素早く見つけて見つけるのに役立ちます。

操作との統合

私たちのセキュリティ技術はIT運用と結びついているため、それらの間に統合があります。セキュリティ技術が何かを検出すると、インシデント管理システムから自動的にアラートが発行され、変更管理システムが呼び出され、所定の運用変更が呼び出され、HP Operations Orchestration 。

それは本当に三つ組 – セキュリティ、アプリケーション、操作です。 HPでは、それらを連携させています。また、Big Dataではデータの相関性に注目しているため、さまざまなデータソースをすべて取り込んで実用的な情報に変換し、オートメーションエンジンで実行することができます。

たとえば、ソフトウェアをスキャンし、動的テストと静的テストの両方の脆弱性を探す技術があります。サードパーティのアプリケーションで脆弱性を発見する方法があります。私たちはDVLabsと呼ばれる研究機関を通じてそれを行います。 DVはDigital Vaccineの略です。新しい脆弱性について毎日データを取り込み、それを他のテクノロジで利用できるようにして、それを画像に混ぜることができます。

集中型テクノロジー

適切な種類のセキュリティ・ファブリックは、特定の分野に重点を置いたさまざまなテクノロジーで構成されなければなりません。たとえば、パケットインスペクションを行い、不正なIPアドレスを特定できる侵入防御テクノロジーのようなテクノロジーです。彼らは、トランザクションに関連する特定の脆弱性が存在することを特定することができ、侵入前にゲートで多くのトラフィックを停止することができます。

私たちがそれをうまくやり遂げる理由は、すでに市場にある研究者の情報であるアプリケーショングループの情報を織り交ぜたからです。 Gearner:サービスとしてのセキュリティ、または管理サービス、ハイブリッドモデルのようなセキュリティへの道はありますか?

L awson:多くの人が、雲とセキュリティという言葉が隣り合っていると悪いことが起こると思っていますが、実際はそうではありません。

企業が適切な計画と戦略を策定したら、セキュリティのどの部分を自社の専門知識で、セキュリティピクチャのどの部分を他の人に引き渡すことができるのかを優先順位付けします。実際、今回の発表の1つは、エンドポイントの脅威管理のためのサービスを提供していることです。

エンドポイントデバイスを一元的に管理していない場合、多くのインシデントが発生し、脆弱性が存在する可能性のあるアプリケーションをダウンロードしている従業員から電話を紛失したばかりの従業員など、その隙間を埋めることができます。

したがって、エンドポイントデバイスを一般的に管理するだけでなく、エンドポイントに関連付けられたセキュリティも多くの意味があります。そして、それはあなたが専門的知識と経済的インセンティブを持っているマネージドサービスプロバイダに仕事を渡すことを考慮する個別の領域です。

アプリケーションテスト

セキュリティのためにクラウドサービスを使用する素晴らしい例は、アプリケーションテストです。市場に出ている多くのWebアプリケーションは、ライフサイクル全体のアプローチが必要であることを理解しているアプリケーション開発者によって必ずしも開発されていないことがわかっています。

実際、以前はウェブマスターとして知られていた人々によって書かれたウェブアプリの数に関する興味深い統計を聞いてきました。これらの人々は、アプリケーションの設計には優れているかもしれませんが、アプリケーションを設計する基本原則の1つとしてセキュリティを呼び出す完全なアプリケーションライフサイクル管理慣行に従わなければ、問題が生じるでしょう。

私たちが見つけたのは、このようなWebアプリケーションの爆発は、テストによって十分に追跡されていないということです。私たちの顧客はこれを認識し始めており、実際には簡単に避けることができる多くのアプリの脆弱性が存在するため、HPに助けを求めています。たぶんそれらのすべてではないかもしれませんが、それらの多くは、我々は顧客がそれを行うことができます。

したがって、クラウドサービスとしてのサービスとして、またはホストされたサービスや管理されたサービスとしてのテストは、すぐに行うことができるので、良い考えです。優れたセンターのテストをスピンアップするために時間とお金を必要とせず、HPがSaaSモデルを通じて利用できるものを使用することができます。

G ardner:あなたの最近のアナウンスの一環として、マネージドサービスプロバイダの役割に向かっています。

L awson:過去数年間に購入して構築した多くのテクノロジーの素晴らしい点の1つは、マネージドサービス製品でこれらを使用できることです。

私はあなたに例を挙げます。セキュリティ情報およびイベント管理用のArcSight製品は現在、サービスとして提供されています。それは、あなたが持っている専門知識がますます良くなり、そのタイプのイベント相関と分析に集中しているサービスです。多くの企業にとって、彼らはその専門知識を開発するために投資したくないだけです。だから彼らはそれをサービスとして使うことができます。

テスト、ネットワーク・セキュリティー、エンドポイント・セキュリティーなど、サービスとして提供されるその他の製品もあります。そのため、私たちはお客様に幅広い配信モデルの選択肢を提供しています。私たちはこれが道のりだと考えています。なぜなら、ほとんどの企業がセキュリティ上の戦略的パートナーを求めていることがわかっているからです。彼らは信頼できるパートナーを求めていますが、すでに投資されているので、もちろん、あるベンダーのセキュリティをすべて取得するつもりはありません。

私たちは、適切な戦略を確立し、適切なロードマップを構築し、顧客の将来の革新を支援することに焦点を当てているだけでなく、サイバー脅威を阻止できるような緊急対策を講じています。危険に近づいている。そして、企業にとって、コンプライアンス要件を満たし、市場投入までの時間が与えられ、財務的な姿勢が与えられれば、企業にとって何が最善であるかを伝える選択肢を与えます。

あなたが管理対象サービスにアウトソーシングしたい特定の分野を、自分でやりたい特定の分野があります。そして、既にポイントソリューションのコンテクストではうまくいくかもしれない特定のテクノロジーがすでに存在しますが、統合する必要があります。

統合的なアプローチ:顧客の多くは、すでに多くの良いことが続いていますが、すべてが一緒になるわけではありません。それは本当にここの結論です。それは統合的なアプローチでなければならない。包括的なアプローチでなければなりません。その理由は、悪い人たちがとても成功して大混乱を招いていることです。なぜなら彼らはすべてが切断されていることを知っているからです。彼らは、セキュリティ技術が断片化する傾向があることを知っており、セキュリティ技術を活用しようとしています。

間違いなくhp.com/go/enterprisesecurityに行くことをお勧めします。特に、「HP DVLabsのサイバーセキュリティリスクレポート」という本日、ダウンロードして読むことができるレポートがあります。これは、年に2回生成するレポートで、実際には驚くべき情報があります。理論的なものではなく、業界のさまざまな部門のデータと、攻撃率や脆弱性が存在する場所を示す顧客データを集計しています。それは本当の目玉です。

だから私は、DVLabsのサイバーセキュリティリスクレポートを検索し、それを読んで、それをあなたの会社の他の人々に渡すことを勧めます。そうすれば、彼らは状況が本当に何であるかを知ることができます。アプリケーションの違反や複雑な永続的な攻撃の性質に関連するコストについての事実の一部を見ると、少し驚くべきことです。だから認識が始まるべき正しい場所です。

ポッドキャストを聞く。 iTunes / iPodで検索してください。フルテキストを読むか、コピーをダウンロードしてください。もっと詳しく知る。スポンサー:HP。

あなたも興味がある可能性があります

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン