普华永道咨询公司与庆应义塾大学共同开发了可识别高优先级网络安全对策并推荐给企业的系统。庆应大学分析了普华永道的网络安全研究人员掌握的研究结果,并将其变成工具供一般企业使用。随着黑客技术的日益精进,一些日本企业很难确保能将大量相关信息纳入防御措施的人才,预计新系统将提供给这些企业使用。
新开发的工具会针对每种攻击方法和对策评估并显示公司内部的防御系统的水平(供图:普华永道咨询公司)
黑客的最新攻击战术和在“暗网”上买卖的恶意软件等信息会被安全企业、研究人员和政府机构等分析并写成日报。这种信息收集和分析作业称为“威胁情报”。
相关信息的数量非常庞大。美国通信巨头AT&T旗下的企业提供的代表性威胁情报工具“OTX”每天大约能收集到1900万条关于黑客使用的服务器和恶意软件等的信息。
万物互联的“IoT(物联网)”的普及加速增加了需要分析的信息量。据美国MITRE公司介绍,2021年全球共发现2万多个可能被用于网络攻击的漏洞。这个数字是5年前的3倍以上。
威胁情报是采取更新安全产品和IT设备的设置以及使用修复软件等安全对策的指南,但很难对信息进行取舍。美国企业大多由出身于军队、信息机构和安全企业的人负责威胁情报,而日本比较缺少这方面的人才。
在NRI Secure Technologies公司围绕网络人才实施的调查中,有54.3%的日本企业回答缺少“制定安全战略和规划的人才”。能充分利用情报的人才正在枯竭。其次是39.3%的企业提到了“评估和监查风险的人才”的短缺。
普华永道的上村益永董事指出:“当黑客组织正瞄准日本企业的报告出来后,企业负责人往往会在对安全风险了解不足的情况下被迫做出是否应该采取对策的决定”。
该公司2021年10月开始与庆应大学共同推进的这项研究的目标之一是:“创建一个无需过度依赖负责人的安全能力即可利用情报的系统”。庆应大学网络安全研究中心的砂原秀树教授等人采访并分析了普华永道公司负责分析情报报告等的研究人员的工作内容。在工具中嵌入了将情报信息公式化的流程。
为方便企业做出管理决策,还针对“勒索软件(勒索型病毒)攻击”和“在线数据丢失”等20多种应该警惕的事件,分别制定了5级风险评估标准。
为了做出准确的判断,不仅是外部的威胁信息,内部信息也很重要。新开发的工具会获取公司内部的个人电脑和安全产品的运行记录,以及管理层的网络安全风险敏感性的公式化数据等,评估公司内部的防御系统的水平。
该工具针对“漏洞管理”和“供应链风险管理”等各项防御措施分5个等级显示进展。在针对风险特别高的事件的防御措施中会挑选出低级别防御措施,为企业应该采取的对策设定优先顺序。
普华永道的上村董事表示:“估计会收到容易受到最新威胁的先进企业和全球企业等的咨询”。正如丰田日本工厂停产事件带来的教训那样,供应链中的中小企业越来越有可能成为攻击大企业的突破口而被盯上的风险正在增加。“在不久的将来,安全领域的数据利用在所有企业都将变得很重要”。
日文:寺冈笃志、《日经产业新闻》,2022/6/29
中文:JST客观日本编辑部
