新しいデータが公開され、サイバーセキュリティチームが対応しているサイバー攻撃の種類、その対応にかかる費用、修復に長時間を要する理由、そしてリソースを集中させるべき領域について明らかにしています。
Barracudaの「サイバーノミクス(Cybernomics)101」レポートは、サイバー攻撃を取り巻く現在の経済に関する多くの有用な情報を提供しています。
本レポートの要点は以下の通りです。
- 回答者の62%が、サイバー攻撃が巧妙化していると述べている。
- 回答者の55%が、こうした攻撃の調査や対応に時間がかかっていると述べている。
- 回答者の53%が、サイバー攻撃がより標的を絞ったものになっていると述べている。
企業や組織が支払った最大の身代金の平均は138万ドルで、セキュリティ侵害の対応に要した費用は平均534万ドルでした。
驚くべきことに、高度なスキルを有する平均的なハッカーが脆弱性を攻撃するのに要する時間はわずか6時間であるのに対し、ITおよびセキュリティチームは、成功した攻撃について「調査、脅威の除去と修復、レポート」に平均427時間を要しています。これは攻撃1時間に対して71時間の対応が必要となっている計算になります。
つまり、事後的な対応は非常に効率性が悪いということです。では、攻撃を防ぐためにはどうすればいいのでしょうか?
このレポートで挙げられている初期の攻撃手法のトップ3は以下の通りです。
- DDOS(52%の組織が経験)
- フィッシング/ソーシャルエンジニアリング (48%)
- 認証情報の詐取(41%)
上位3つの手法のうちの2つは、ユーザーが巧妙に仕組まれた詐欺や策略に引っかかる状況を悪用したものです。セキュリティ意識向上トレーニングを継続的に実施し、メールやWebを利用するときに警戒を怠らないように従業員を教育している組織は、完全に阻止できないまでも、3つのうち2つの攻撃タイプによる影響を軽減できます。
セキュリティチームが427時間を費やして事後対応を行うよりも、セキュリティ意識向上トレーニングを導入するほうが合理的です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2024年2月12日発信 https://blog.knowbe4.com/security-teams-spend-71-hours-responding-cyber-attack
