昨日読了。
良書。ランサムウェアにフォーカスをあてつつ、セキュリティインシデントの事前・事後対応の勘所を、比較的平易に、適度に具体的掘り下げをしつつ全体をもれなく伝えている。
- 反社利益供与も意識して、身代金は支払わないのが最近の潮流。しかしながら復旧費用や個人情報漏洩、レピュテーションリスクなど、損失は大きい。また従業員個人を狙って、脅迫&勧誘で会社へ感染させる手法も出ている。
- インシデント対応は、1)事前準備、2)応急処置、3)被害範囲特定、4)根絶、5)復旧、6)教訓の6フェーズ。
- 1)はバックアップの取得(オフライン化)とEDRが効果高い。
- 2)3)の間は電源OFFなどはしないほうがよい。
- 3)では、IoC(Indicator of Comprimise: 侵害指標)とTTPs(Tactics, Techniques and Procedures: 攻撃手口)の取得を行う。ここにEDRが役立つ。
- 攻撃者側も会社組織的になっている。即人命に関わる箇所は狙わない、といった倫理観も一部見られる。
