大規模なインシデントレスポンスの対処法
大規模なインシデントレスポンスは、従来のフォレンジックアプローチを拡張するものではなく、全く別の対処が必要となります。Mathiasは、100,000以上のエンドポイント端末を所有する組織において大規模なインシデントに対処する際のさまざまな落とし穴に焦点を当てます。この講演では、多くのポイントを取り上げますが、特にドキュメンテーションに焦点を当て、それがどのようにリソースや被害者、その他のステークホルダーのマネジメントと結びついているかを説明します。
優れたインシデントレスポンスリーダーは、事前にスケジュールされた定例会議だけでなく、さまざまなタイミングで非技術系のクライアントや新しいチームメンバーに被害事例について説明する必要があります。そのためには、インシデントレスポンスリーダーが十分な情報を把握しておくことが重要です。Mathiasは、すべての情報を1つの場所に集約するために、インシデントレスポンスのドキュメントを高いレベルに引き上げることを目的としたAurora Incident Responseツールを作成し、そのメンテナンスを行っています。何年も前にMandiantはSOD(Spreadsheet of Doom)という言葉を作りましたが、これは調査における重要な発見をすべて保存する一般的な情報集約ツールです。オリジナルのSODはExcelのテンプレートでしたが、AuroraはSODの進化形です。インシデントレスポンダーがチームとして作業し、横展開の動きを即座に視覚化し、タイムラインを表示することができます。また、MISPやVirus Totalと連携し、合理的な情報ワークフローを実現します。このため、インシデントレスポンダーは常に俯瞰で見ることができ、仔細にとらわれず重要事項の見落としが少なくなります。
リソース管理は、大規模なインシデントレスポンスにおいて重要なテーマです。インシデントレスポンダーが直線的なアプローチした場合、失敗することが多いです。よいインシデントレスポンスチームは通常、3-4人のFTEで100,000以上のホストに対する大規模なレスポンスを対処することができます。Mathiasは、リソースの割当を最適化し、人員の入れ替えを容易にするための戦略を紹介します。全ての戦略は、技術チームのスキル、ツール、インシデントレスポンスリーダーのソフトスキルなどに依存します。リソースマネジメントは、Auroraのベースのドキュメンテーションによってサポートされています。
この講演の対象者はインシデントレスポンスの体制を改善したいと思うサイバーセキュリティの技術者やサイバー攻撃の話を聞きたい方です。
