絶えず変化するリスク環境と、リスクの全体的な規模と重大性は、取締役会と経営幹部が、新たなリスク問題に焦点を合わせ、それらの洞察を戦略的意思決定に統合するために使用するアプローチを綿密に精査することを促すはずです。
第 12 回年次トップリスク調査レポートでは、今後 1 年 (2024 年) と 10 年後の 2034 年に世界中の取締役と経営幹部が最優先で考える問題が強調されています。
今は、C レベルの経営幹部とその取締役会が、イノベーションと成長だけでなく、リスクを管理し、市場イメージとブランドを維持し、経済が逆風から解放されたときに力強い回復を促進するために、どこに投資すべきかを綿密に検討する絶好の機会です。
長期的なリスク環境を考えると、リーダーには 2 つの疑問が生じます。
組織が混乱の 10 年間で繁栄するために十分な機敏性と回復力を備えていることを確認するために、短期的にどのような手順を実行または継続する必要がありますか?
組織が混乱している場合、どのようにそれを知ることができ、いつそれを知ることができるでしょうか? "
#サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、連邦民間行政機関 (FCEB)、優先度の高い民間および公共部門の重要インフラストラクチャ (CI) オペレーター、および特定の州、地方、部族、および領土 (SLTT) の利害関係者を対象に、#リスクおよび脆弱性評価 (RVA) を実施しています。
同時に、米国沿岸警備隊 (USCG) は、SLTT および民間部門の組織が運営する海上 CI に対して RVA を実施しています。
RVA は、組織のネットワーク機能と既知の脅威に対するネットワーク防御を評価することを目的としています。2023 会計年度 (FY23) では、CISA と USCG は複数の CI セクターで合計 143 件の RVA を実施しました。
1 各 RVA は、結果を MITRE ATT&CK® フレームワークにマッピングします。このフレームワークには、サイバー脅威アクターがネットワークまたはシステムへの不正アクセスを取得および維持するために使用する 14 の戦術、手法、および手順 (TTP) が含まれています。 143 の RVA は、14 の戦術のうち 11 にマッピングされます。RVA 分析の目標は、FCEB、CI、海事、および SLTT 関係者のセキュリティ体制を改善するための効果的な戦略を開発することです。各 RVA 中に、CISA と USCG はリモートおよびオンサイト アクションを通じてデータを収集します。このデータは、国内の脅威および脆弱性情報と組み合わされ、侵害のリスクに基づいて優先順位が付けられた実行可能な修復推奨事項を組織に提供します。CISA は、脅威アクターがネットワーク セキュリティ制御を侵害するために悪用する可能性のある脆弱性を特定するために RVA を設計しました。RVA を完了すると、CISA と USCG は、推奨事項、具体的な調査結果、潜在的な緩和策、技術的な攻撃パスの詳細を含む最終レポートを評価対象エンティティに提供します。2023 会計年度のレポートでは、次の一般的な観察結果が示されました。
• 評価者は、フィッシング、有効なアカウント、デフォルトの認証情報などの一般的な方法を使用して、最も成功した攻撃を完了しました。
• 評価者は、CISA が以前の RVA 分析で捕捉したさまざまなツールと手法を使用して、一般的な攻撃を成功させました。
• さまざまな CI セクターの多くの組織で、同じ脆弱性が見られました。
• CISA の評価担当者は、設計によるセキュリティの欠陥やデフォルトの原則、その他の誤った構成によって促進される一般的な脆弱性を使用して、システムを侵害しました。"
0 件のコメント:
コメントを投稿