要約
- Xerox は説明責任のケースです。なぜなら、2020年の Maze に関する報告をめぐる公開証拠は不均一だからです。公開報道ではランサムウェアの主張とデータ公開の疑惑が説明された一方、入手可能な公開企業記録には詳細なインシデント事後報告がありませんでした。
- 中心的な問いは、誰がセグメンテーション、監視、文書サービスの継続性、データの範囲特定、顧客通知、そして回復が公開報告によって主張または暗示されたリスクと一致したという証明を管理していたかです。
- この記事は、リークサイトの主張とニュース報道を報告された証拠として扱い、Xerox システムに関する完全なフォレンジック調査結果としては扱いません。
- Xerox の公開されたセキュリティ、プライバシー、製品、および投資家向け資料は、顧客向けのコミットメントとリスク枠組みの証拠として使用され、2020年のすべての管理が意図通りに機能したという証明としては使用しません。
- 永続的な教訓は、文書インフラに関するランサムウェア開示は、確認された事実、推定される運用上の露出、攻撃者の主張、および未知のフォレンジック詳細を分離しなければならないということです。
このケースがリスクと説明責任ファイルに含まれる理由
Xerox がランサムウェア開示の証拠を文書インフラ説明責任のテストにしたのは、公的なきっかけがきちんとした企業の事後報告ではなかったからです。それは、公開報道、Maze ランサムウェア運営に帰せられる攻撃者側の主張、そして Xerox 内部で実際に何が起こったかについての限られた顧客向け証拠が混ざったものでした。https://www.bleepingcomputer.com/news/security/maze-ransomware-gang-claims-to-have-breached-xerox-corporation/やhttps://databreaches.net/maze-ransomware-gang-claims-to-have-breached-xerox-corporation/のような報告は、したがって、年表と公開請求の証拠として有用ですが、それ自体では侵入経路、データ範囲、ビジネス中断、顧客暴露、または法的責任を確定するものではありません。このファイルにおける最初の規律は、報告されたリーク請求の存在を完全な侵害の物語に変えることを避けることです。
企業の背景は重要です。Xerox は単なるプリンターブランドではありません。マネージドプリントサービス、ワークプレイスサービス、文書ワークフロー、デバイスフリート、ソフトウェア、サポート、消耗品、金融関係、サービス契約を販売してきました。このような企業に関わるランサムウェアの主張は、文書インフラが請求書、人事ファイル、契約書、配送書類、スキャンされた本人確認書類、サービスタイケット、顧客連絡、法的ファイル、内部運用に近い位置にあるため、中小規模の顧客にとって重要になり得ます。Xerox の公開ページ(https://www.xerox.com/en-us/about/security-solutions、https://security.business.xerox.com/en-us/、https://www.xerox.com/en-us/about/privacy-policy、https://www.xerox.com/en-us/information-security)は、顧客がインシデント記録を評価する際の企業側の信頼とセキュリティのコンテキストを提供します。
説明責任の問題は、ランサムウェアギャングを信頼すべきかどうかではありません。それは中立的な監査人として扱われるべきではありません。問題は、ランサムウェアギャングがアクセスを主張したりサンプルを公開することで公的圧力をかけることができる一方で、企業は乏しいまたは法的な声明で応じる可能性があることです。顧客は、自己利益に基づく攻撃者の説明と、調査、法的レビュー、保険、契約、法執行機関、風評管理によって制約された企業の説明との間で板挟みになります。公衆は代わりに実践的な管理の問いを立てなければなりません。誰が防止、検出、制限、開示、修理の証明を行う能力を持っていたか?
答えは企業内部から始まりますが、そこで終わりません。Xerox は自社のネットワークアーキテクチャ、アイデンティティおよびアクセス管理、エンドポイント監視、文書サービスの継続性計画、顧客コミュニケーションチャネル、インシデント対応証拠を管理していました。顧客は自社の文書ワークフロー、デバイス設定、プリントサーバー、認証選択、契約要件、Xerox 管理サービスに送信するデータを管理していました。ベンダーやセキュリティパートナーは、検出、対応、バックアップ、または管理インフラの一部を管理していた可能性があります。規制当局や投資家は一部の開示インセンティブを管理していました。信頼できる説明責任ファイルは、公開ソースがすべての内密のログを明らかにするわけではないことを認識しながら、それらの境界を明確にします。
このケースがここに含まれるもう一つの理由は、完全な公開事後報告がないこと自体が証拠問題の一部であることです。CISA のランサムウェア資料(https://www.cisa.gov/stopransomware、https://www.cisa.gov/news-events/news/ransomware-guide)、FBI のランサムウェアガイダンス(https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-scams-and-crimes/ransomware)、およびインシデント対応ガイダンス(https://www.cisa.gov/resources-tools/resources/incident-response-plan-irp-basics)は、組織が再構築できるべき内容(タイムライン、範囲、封じ込め、復旧、影響を受けたデータカテゴリ、ユーザーの行動)を示しています。公開ファイルがそれらの事実を提供しない場合、正しい結論はそれらを発明することではありません。正しい結論は、顧客とリスクチームが完全な公開意思決定記録を欠いていたことです。
公開タイムラインは報告から始まり、完全な企業説明から始まるわけではない
確認された公開タイムラインは狭いものです。2020年、公開報道は Xerox と Maze ランサムウェアの主張およびデータ公開の疑惑を結び付けました。Maze は当時、暗号化または妨害圧力と公開データリーク圧力を組み合わせたランサムウェア運営として広く知られていました。その一般的なランサムウェアパターンは、MITRE ATT&CK のデータ暗号化影響技術(https://attack.mitre.org/techniques/T1486/)、流出関連技術リファレンス(https://attack.mitre.org/techniques/T1567/)、および CISA ランサムウェアガイダンスなどの公開管理ソースで説明されています。これらのソースは Xerox で何が起こったかを証明するものではありません。リークサイトの主張が、暗号化イベントとは別に説明責任の問題を生み出す理由を説明しています。
欠けているタイムラインも同様に重要です。公開されている資料は、最初の侵入、最初の検出、初期封じ込め、影響を受けた環境、ビジネスサービスの低下、レビューされたデータカテゴリ、顧客通知の決定、従業員通知の決定、法執行機関の関与、バックアップ復旧、終了基準を示す詳細な Xerox 作成のシーケンスを提供していません。SEC の企業ページ(https://www.sec.gov/edgar/browse/?CIK=108772)や Xerox の2020年 Form 10-K(https://www.sec.gov/Archives/edgar/data/108772/000010877221000007/xrx-20201231.htm)は、企業およびリスク開示のコンテキストとして有用ですが、Form 10-K のリスク要因はフォレンジックインシデント報告ではありません。投資家にサイバーリスクが存在し重要であり得ることを伝えますが、通常は名前のあるイベントで何が起こったかという顧客レベルの質問には答えません。
その区別が重要なのは、ランサムウェアの時間は一つの時間ではないからです。侵害時間、滞留時間、検出時間、封じ込め時間、交渉または公的圧力時間、サービス復旧時間、通知時間、そして長期的なデータ悪用時間があります。企業は流出の範囲を完全に特定する前に運用を復旧できます。顧客データに触れられたかどうかを知る前にシステムにアクセスされたことを把握できます。あるサービスは影響を受けなかったと結論付けながら、別の環境をまだレビューしている場合があります。あるカテゴリの害の証拠はないと言いながら、不在をまだ証明していない場合もあります。優れた開示記録はこれらの段階を分離します。
Xerox の顧客にとって、2020年の実践的な質問は、単に企業名がランサムウェアリークサイトに表示されたかどうかではありませんでした。文書ワークフロー、マネージドプリントサービス、サポートポータル、デバイステレメトリ、顧客契約、サービスタイケット、従業員記録、またはサプライヤー文書が影響を受けた境界内にあったかどうかでした。事業部門、地域、サービス、顧客契約によって答えが異なる場合、公開記録はその範囲がセグメント化されていることを明確にすべきです。企業がまだ言えない場合、公開記録はその不確実性を保持し、顧客がいつ詳細を学べるかを説明すべきです。
したがって、説明責任の基準は年表から始まります。何が報告されたか?何が確認されたか?何が主張されたか?何が不明のままか?公開報道はランサムウェア開示の問題が存在した証拠です。すべてのデータ主張の証明ではありません。詳細な公開事後報告がないことは、リスクチームが仮定で埋めるのではなく正直に扱うべきギャップを残します。
リークサイトの証拠は圧力の証拠であり、中立的な証拠ではない
Maze 時代のランサムウェアは、攻撃者が公開リークサイトを使用して沈黙を困難にしたため、企業の開示インセンティブを変えました。リークサイトの投稿は企業に圧力をかけ、顧客を驚かせ、ニュース報道を引き寄せ、企業が内部の範囲特定を完了する前に規制上の質問を生み出す可能性がありました。それはリークサイトの内容をすべての詳細で信頼できるものにするわけではありません。攻撃者はアクセスを誇張し、ファイルに誤ったラベルを付け、素材をリサイクルし、選択的なサンプルを公開するインセンティブがあります。彼らは本物の素材を公開することもあります。説明責任は両方の命題を同時に保持することを要求します。
Xerox に関して、Maze の主張に関する公開記事は、公開された申し立ての第三者報道として扱われるべきです。その申し立ては、顧客と従業員が無視できないため重要です。しかし、責任ある分析は「Maze が主張した」と「Xerox が確認した」を分離しなければなりません。同じ分離は、ファイルサンプル、スクリーンショット、ディレクトリリスト、主張されたデータ量にも適用されるべきです。サンプルは、包括的なアクセスを証明することなく、何らかの素材が存在することを示すことができます。主張された量は、完全な流出を証明することなく懸念を生み出すことができます。企業の確認の欠如は、不確実性、法的抑制、または調査状況を反映する可能性があり、主張が虚偽であることを証明するものではありません。
これがソースの扱いが中心的な理由です。https://www.xerox.com/en-us/about/security-solutionsやhttps://security.business.xerox.com/en-us/のような企業のセキュリティページは、Xerox が顧客に提示するセキュリティとサービスの枠組みを示しています。https://www.xerox.com/en-us/about/privacy-policyのようなプライバシー資料は、個人データ取り扱いのコンテキストを示しています。https://www.sec.gov/edgar/browse/?CIK=108772のような規制提出書類は、投資家リスクの枠組みを示しています。NIST(https://www.nist.gov/cyberframework)やインシデント対応ガイダンス(https://csrc.nist.gov/pubs/sp/800/61/r2/final)からの独立したガイダンスは、組織が応答証拠をどのように構成すべきかを示しています。これらのレーンはいずれも一つの主張にまとめられるべきではありません。
説明責任の問題は、顧客が部分的なレーンから決定を下さなければならないときに現れます。調達チームはマネージドプリントの展開を一時停止するかどうかを決定する必要があるかもしれません。顧客のセキュリティチームは Xerox に接続されたシステムを隔離すべきかどうかを尋ねる必要があるかもしれません。従業員は人事または給与情報が露出したかどうかを知る必要があるかもしれません。中小企業はスキャンされた文書やサービス記録が影響を受けた環境を通過したかどうかを理解する必要があるかもしれません。それぞれの決定には、ランサムウェアグループが主張を行ったという事実以上のものが必要です。
したがって、公開ファイルは5つの証拠質問に答えるべきです。第一に、どのような公開請求が行われ、誰によって行われたか?第二に、Xerox は何を確認または否定したか?第三に、どのデータカテゴリが明らかに主張され、後に確認されたか?第四に、どのサービス、地域、またはシステムが範囲内または範囲外だったか?第五に、顧客または従業員はどのような行動を取るべきか?いずれかの回答が利用できない場合、それは不明として記載されるべきです。不確実性を保持することは弱点ではありません。攻撃者の主張を事実に変えるのを避ける唯一の防御可能な方法です。
文書インフラは企業インシデントを顧客管理の問いに変える
文書インフラプロバイダーでのランサムウェアは、純粋に内部のオフィス環境でのランサムウェアとは異なる質問を引き起こします。Xerox の顧客は、デバイス、マネージドプリントサービス、ワークフローツール、スキャンプロセス、クラウド接続プリント管理、およびビジネス文書を処理または接触するサポートサービスを使用する場合があります。機密性は均一ではありません。マーケティング資料の印刷ジョブは、パスポート、健康フォーム、法的契約、ローン文書、または人事記録のスキャンとは異なります。プロバイダーはすべての顧客文書の内容を知らないかもしれませんが、それらの文書が移動するアーキテクチャは知っています。
そのため、ネットワークセグメンテーションは中心的な説明責任の問題です。公開の質問は、ランサムウェアが Xerox の何らかのシステムに到達したかどうかだけではありません。顧客文書環境、マネージドサービスプラットフォーム、サポートシステム、内部企業 IT、開発環境、請求システム、従業員システムが、ある領域での侵害がすべての領域での侵害を意味しないほど十分に分離されていたかどうかです。セグメンテーション、最小権限、ロギング、特権アクセス制御、バックアップ分離、インシデント隔離は抽象的なベストプラクティスではありません。それらは、顧客がランサムウェアの報告を封じ込められたものとして扱うか、システム的に扱うかを決定する管理です。
NIST SP 800-53(https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final)および CIS Controls(https://www.cisecurity.org/controls)は、アクセス制御、監査、復旧、構成管理、インシデント対応のための公開管理語彙を提供します。これらは Xerox 固有の調査結果ではありません。これらは、どのような証拠が有用かを定義するのに役立ちます。アイデンティティ境界、特権アクセス記録、デバイス管理境界、バックアップテスト結果、ロギング保存、エンドポイント検出カバレッジ、およびサービスごとの影響マトリックスです。企業はすべての機密技術詳細を開示する必要はなく、どの管理カテゴリがレビューされ、どのような境界が確認されたかを顧客に伝えることができます。
マネージドプリントおよび文書ワークフローは、顧客共有の境界も作成します。顧客はプリントサーバー、ドライバー、認証、デバイスストレージ、アドレス帳、スキャン・トゥ・メール機能、クラウドリポジトリ、プルプリントキュー、メンテナンスアクセスを設定する場合があります。Xerox はデバイス、サービス、ソフトウェア、サポート、またはリモート管理を提供する場合があります。したがって、実践的な管理の問いは、両側にデータフローをマッピングするよう求めます。ランサムウェアの報告がプロバイダーに影響する場合、顧客は自社のローカルプリントインフラが影響を受けた環境に接続されていたかどうかを知るべきです。顧客システムが侵害された場合、プロバイダーは自社のリモートサポートチャネルがエントリーポイントやデータ経路になり得るかどうかを知るべきです。
2020年の公開記録は外部の読者にその完全なマップを提供しませんでした。そのギャップは結論を形作るべきです。報告された Maze の主張が顧客文書の露出を証明したと言うのは強すぎます。詳細な公開確認がないからといって、顧客が難しい質問をする理由がなかったと言うのも弱すぎます。文書インフラは運用上の記憶に近い位置にあります。そのプロバイダーに関わるランサムウェアの報告は、したがって、構造化されたサービス境界の回答に値します。
サービス継続性はプリンターがまだ動いていたかどうか以上の問題
「文書サービス継続性」という言葉は、危機の際に企業が印刷、スキャン、ワークフロー、サービスサポート、消耗品、デバイス管理、文書ルーティングへのアクセスを失うまで、平凡に聞こえるかもしれません。中小規模の組織は、大規模な内部サポート能力を維持したくないため、マネージドプリントおよび文書サービスを利用することがよくあります。この依存関係は、プロバイダーがランサムウェアの申し立てに直面したときに説明責任を生み出します。ユーザーへの影響は単一のグローバルな停止ではないかもしれません。それは、サービスコールの遅延、サポートアクセスの中断、リモート管理プラクティスの変更、請求または調達の混乱、デバイスパッチの遅延、または接続システムの一時的な隔離かもしれません。
Xerox Maze 問題に関する公開報道は、測定された顧客停止記録を確立しませんでした。その不確実性は重要です。公開停止証拠の欠如は、大規模な運用上の混乱に書き換えられるべきではありません。しかし、継続性リスクがゼロであったという証明に書き換えられるべきでもありません。優れたインシデント報告は、コア顧客サービス、内部企業システム、サービスサポート、サプライチェーン運用、データリポジトリ、顧客向けポータルを区別するでしょう。何が影響を受け、何が影響を受けず、何がまだレビュー中であり、顧客がどのように自らの露出を確認すべきかを述べるでしょう。
継続性基準は実用的であるべきです。顧客は、Xerox に接続された資格情報をローテーションすべきかどうか、リモートサービスアクセスが変更されたかどうか、デバイスファームウェアまたは管理コンソールのレビューが必要かどうか、サポートチケットや添付ファイルが関与したかどうか、継続性管理がテストされたかどうかを知る必要がありました。CISA のインシデント対応基本(https://www.cisa.gov/resources-tools/resources/incident-response-plan-irp-basics)はここで有用です。なぜなら、問題は技術的な修復だけでなく、調整、コミュニケーション、役割、意思決定のタイミングだからです。
取締役会や調達チームも証拠を必要としていました。文書サービスを購入する企業は、プロバイダーのバックアップが隔離されていたかどうか、ランサムウェアの封じ込めに顧客向けサービスの無効化が必要だったかどうか、サービスレベルの義務が満たされたかどうか、第三者インシデント対応者が範囲を確認したかどうかを尋ねるかもしれません。プロバイダーがプライベートフォレンジックの詳細を公開できなくても、契約上のチャネルを通じて顧客固有の回答を提供できます。公開説明責任はネットワーク図の開示を必要としません。顧客が保護措置を講じるかどうかを決定するのに十分な情報を必要とします。
中小顧客へのリスクはコスト転嫁です。大規模プロバイダーは調査と復旧コストを内部で吸収するかもしれません。小規模顧客は不確実性(スタッフ時間、緊急ベンダーレビュー、保険質問、法的レビュー、一時的なワークフロー変更、顧客安心)を吸収するかもしれません。プロバイダーがほとんど言わなければ、下流のコストは顧客全体に増大します。したがって、サービス継続性の開示は広報ではありません。顧客が使用できる事実を提供することで、無駄な防御作業を減らす方法です。
データ範囲の特定は従業員、顧客、契約書、文書を区別しなければならない
ランサムウェア開示は、「データ」が多くのカテゴリに対して単一の単語として使用されるため、混乱することがよくあります。Xerox タイプの環境では、可能性のあるカテゴリには、従業員記録、顧客連絡先詳細、サービス契約、請求書、デバイスサービス記録、技術サポートチケット、調達記録、サプライヤー文書、ソースまたは構成ファイル、内部電子メール、スキャンされた顧客文書、またはシステムメタデータが含まれる場合があります。申し立てられたデータリークの公開報道は、どのカテゴリが関与したかを読者に自動的に伝えるわけではありません。
データ範囲の特定は説明責任の義務です。なぜなら、異なるカテゴリが異なる行動を生み出すからです。従業員データは本人確認保護措置と雇用通知を必要とする場合があります。顧客契約データは顧客固有の通知と商業的レビューを必要とする場合があります。技術構成データは資格情報のローテーションまたはアーキテクチャレビューを必要とする場合があります。サポートチケットは、顧客が機密添付ファイルを検索することを必要とする場合があります。スキャンされた文書は、内容と管轄区域に依存するプライバシー義務を生み出す可能性があります。「データは影響を受けた、または影響を受けなかった」という単一の声明は、この環境には粗雑すぎます。
Xerox のプライバシー資料(https://www.xerox.com/en-us/about/privacy-policy)は個人データ取り扱いの公開枠組みを提供し、企業の信頼資料はセキュリティ姿勢を提供します。しかし、インシデント固有のデータ範囲記録にはもっと必要です。どの事業部門が影響を受けたシステムを保持していたか、データが Xerox 従業員、顧客、エンドユーザー、デバイス、サプライヤー、または内部運用に関連していたかどうか、顧客が自らの管理下で何かをレビューすべきかどうかを説明するでしょう。回答がまだ不明な場合、企業は何が調査されているかを述べるべきです。
「証拠がない」と「アクセスの証拠がない」の区別は重要です。企業は、顧客文書にアクセスされた証拠はないと言うかもしれません。それは、ログがレビューされアクセスが表示されなかったことを意味する場合があります。また、調査がまだそのような証拠を見つけていないか、ログが不在を証明するには不十分であることを意味する場合もあります。顧客は声明の強さを知る必要があります。同じ文言が非常に異なる証拠の重みを持つ可能性があります。このファイルにおける Daniel Kade のルールは、弱い証拠を強力なクロージャーにアップグレードしないことです。
これは、データ主権と地域性が重要になる点でもあります。Xerox はグローバルに事業を展開しており、顧客は異なる通知要件と期待を持つ異なる管轄区域にいる可能性があります。グローバルなインシデントファイルは、単一の法的または運用上の回答を想定すべきではありません。ある管轄区域の顧客は、別の地域の顧客とは異なる文書を必要とする場合があります。優れた開示記録は、関連する地理を特定し、データの地域性が通知を形成したかどうかを説明します。公開証拠がその詳細を開示しない場合、記事はグローバルな均一性を暗示するのではなく、不明としてマークする必要があります。
開示は顧客に沈黙と攻撃者の主張の選択を強いるべきではない
ランサムウェア事件における危機コミュニケーションには特定の負担があります。企業が少なすぎると言えば、攻撃者がギャップを埋めます。企業が多すぎることを早く言えば、範囲を誤って述べる可能性があります。一般的な安心だけを使用すれば、顧客は行動できません。攻撃者の主張を直接繰り返せば、それを増幅する可能性があります。説明責任の基準は最大限の開示ではなく、有用な開示です。顧客は、調査が続く間に比例した措置を講じるのに十分な確認情報を必要とします。
有用な開示は、既知のイベント境界、運用状況、調査中のカテゴリ、必要なまたは不要な顧客行動、および予想される更新経路を述べるでしょう。沈黙を美徳として扱うことを避けるでしょう。企業は、ランサムウェアグループが主張を行ったこと、それらの主張が調査中であること、特定のサービスが稼働していること、特定のシステムが隔離されたこと、特定のデータアクセスの証拠があるかどうか、および情報が範囲内で確認された場合に顧客が直接通知を受けることを述べることができます。そのような声明はパニックと自己満足の両方を減らします。
2020年から利用可能な公開 Xerox 記録は、それらの要素を含む豊富な公開事後報告を提供しませんでした。それは Xerox が影響を受けた関係者と非公開で連絡しなかったことを証明するものではありません。非公開通知、規制当局との連絡、保険会社との連絡、法執行機関との関与は公開記録の外に存在する可能性があります。しかし、公開説明責任は読者が検証できるものによって制限されます。直接通知リストの外にいる顧客は、公開ファイルが調達、セキュリティレビュー、ベンダーリスク管理に十分かどうかを判断しなければなりません。
SEC の2023年サイバー開示ルールページ(https://www.sec.gov/intelligence team/press-releases/2023-139)は、後の規制コンテキストとして関連性があります。これは、投資家がより意思決定に役立つサイバーインシデントおよびリスク管理開示を求めていることを反映しているからです。この記事では、2020年の Xerox の義務として遡及的に適用されるべきではありません。その価値は比較にあります。市場と規制当局は、企業が意思決定者に使用できる方法でサイバーリスクを説明することをますます期待しています。攻撃者の主張と一般的なリスク要因の間に顧客を置き去りにするランサムウェア開示は、弱い説明責任モデルです。
開示はまた耐久性がなければなりません。最初の声明は不完全かもしれません。後の更新は何が変わったかを明確にすべきです。初期の仮定が間違っていることが判明した場合、企業はそれを修正すべきです。公開リークの主張が調査され限定されていることが判明した場合、企業は適切なレベルで根拠を説明すべきです。主張が実証されない場合、企業はその結論を支持する証拠を述べるべきです。信頼は、証拠がない状態での信頼を要求するのではなく、文書化された絞り込みによって再構築されます。
セキュリティ自動化はレビュー可能な証拠を生成する場合にのみ説明責任を果たす
ランサムウェアの防止と検出は、エンドポイント検出、アイデンティティアラート、ネットワーク異常検出、メールフィルタリング、脆弱性スキャン、バックアップ監視、データ損失指標などの自動化された管理に依存することがよくあります。これらのツールは価値がありますが、レビュー可能な証拠を生成しない限り、説明責任を生み出しません。ランサムウェア開示のケースでは、質問は企業がセキュリティツールを所有しているかどうかではありません。ツールが侵入経路、影響を受けたシステム、試行された流出、特権の悪用、横移動、復旧境界の特定に役立ったかどうかです。
MITRE ATT&CK の影響のためのデータ暗号化技術(https://attack.mitre.org/techniques/T1486/)、システム復旧妨害(https://attack.mitre.org/techniques/T1490/)、ウェブサービス経由の流出(https://attack.mitre.org/techniques/T1567/)などの技術は、調査官がランサムウェア事件で何を探すかの公開語彙を提供します。それらは Xerox 内部での Maze の行動を証明するものではありません。インシデント証拠が可用性への影響とデータ露出リスクの両方をカバーすべき理由を示しています。ランサムウェアはディスク暗号化の話だけではありません。資格情報、流出、バックアップ、開示、恐喝の話にもなり得ます。
説明責任の質問は、監視がそれらの枝を区別できたかどうかです。暗号化が防止されたがデータが環境を離れた場合、リスクプロファイルは純粋な暗号化イベントとは異なります。データサンプルが古かったり、機密性の低い環境からのものであった場合、リスクは現在の顧客文書とは異なります。攻撃者が企業 IT にアクセスしたがマネージドサービスプラットフォームにはアクセスしなかった場合、顧客はその境界を必要とします。ログがそれらの点のいずれかを証明するのに不十分であった場合、企業は結論が限定されていると述べるべきです。
自動化はまた、対応されないアラートを生成することによって失敗する可能性があります。公開記録はそれが Xerox で起こったかどうかを示していないため、記事はそれを主張すべきではありません。しかし、フォレンジック開示は、検出がタイムリーであったかどうか、エスカレーションが機能したかどうか、特権資格情報が関与したかどうか、対応措置が遅れたかどうかを依然として回答すべきです。これらは管理上の質問であり、技術的な質問だけではありません。ツールは検出できます。組織はアラートがビジネスプロセスを停止するか、システムを隔離するか、顧客通知をトリガーするかを決定します。
最も強力な修復証拠には、機密詳細ではなくカテゴリが含まれます。エンドポイント検出カバレッジが拡大された、特権アクセスがレビューされた、セグメンテーションルールが変更された、バックアップ復元がテストされた、流出監視が改善された、顧客向けサービス依存関係がマッピングされた。そのような証拠がなければ、顧客はインシデントが管理システムの改善に使用されたのか、それとも単に公開された物語を閉じるために使用されたのかを合理的に疑問視するかもしれません。
投資家リスク要因は顧客インシデント報告ではない
Xerox の投資家向け提出書類は、サイバーリスクが運用、評判、法的露出、財務パフォーマンスに影響を与える可能性があるため、関連性があります。2020年の Form 10-K(https://www.sec.gov/Archives/edgar/data/108772/000010877221000007/xrx-20201231.htm)はその企業開示システムに位置づけられます。これは公開企業がサイバーセキュリティリスクを投資家にどのように枠組みするかを示すのに役立ちます。しかし、投資家リスク要因は通常一般的です。インシデントが発生する可能性があるか、結果をもたらす可能性があると警告します。通常、特定のサポートチケット、文書ワークフロー、またはデバイス管理システムが影響を受けたかどうかをマネージドプリント顧客に伝えることはありません。
投資家開示と顧客開示の間のそのギャップは重要です。公開企業は証券開示の期待を満たしながらも、顧客に実践的な運用上の質問を残す可能性があります。逆に、企業は一般に公開されていない方法で影響を受けた顧客と直接連絡する場合があります。公正な説明責任ファイルは、投資家向け提出書類が開示記録全体であると想定しません。企業がランサムウェアに公的に関連付けられている場合、リスクと管理に関する公開請求はインシデント固有の証拠に接続されるべきであると主張します。
後の SEC サイバー開示資料(https://www.sec.gov/intelligence team/press-releases/2023-139)は、規制環境がより構造化されたサイバーガバナンスと重要なインシデント報告に向かって動いていることを示しています。繰り返しますが、後のルールは2020年のすべての選択を判断する基準ではありません。それはより広範な説明責任の傾向の証拠です。投資家と顧客の両方が意思決定に役立つサイバー情報を必要としています。グローバルな文書サービス企業に関わるランサムウェアの申し立ては、一般的なリスク言語の限界を正確に露呈する種類のイベントです。
法的責任も慎重に扱われるべきです。このファイルの公開証拠は、Xerox が特定の法律に違反した、特定の顧客契約に違反した、または定量化された顧客損失を引き起こしたことを確立していません。公開記録が開示、信頼、管理の問題を生み出したことを確立しています。それらの質問は、最終的な法的判断がなくても正当です。説明責任は責任よりも広いですが、裁判所の判決を装ってはなりません。
調達チームにとって、投資家ファイルは出発点であり、終点ではありません。彼らはインシデント固有の証明、利用可能な場合の独立した評価の概要、サービス境界声明、セキュリティ改善、契約上の通知メカニズムを要求すべきです。ベンダーが公開詳細を提供できない場合、機密の顧客詳細を提供できるかもしれません。重要なのは、誰かがイベントを管理と顧客リスクに接続できなければならないことです。
復旧証拠は問題となっている害の種類に一致すべき
ランサムウェアからの復旧は、しばしばシステムの復元として説明されます。それは必要ですが、十分ではないかもしれません。公開リスクにデータ露出が含まれる場合、復旧にはデータ範囲の特定、通知、資格情報のレビュー、監視、悪用の監視ポイントも含まれなければなりません。公開リスクに顧客サービス依存関係が含まれる場合、復旧にはサービス復旧と顧客コミュニケーションが含まれなければなりません。公開リスクに文書インフラが含まれる場合、復旧には文書ワークフローと接続サービスが密かに侵害されていないという信頼が含まれなければなりません。
Xerox タイプのサービスにとって最も強力な復旧証拠には、いくつかの部分があります。影響を受けた環境を特定する。本番顧客サービスが影響を受けたかどうか、およびその方法を説明する。顧客または従業員データカテゴリが範囲内で確認されたかどうかを述べる。リモートサポート、デバイス管理、または顧客向けポータルに資格情報のローテーションや構成変更が必要かどうかを述べる。顧客が何をすべきか、企業が既に何を行ったかを説明する。どの事実が確認され、どれがまだ調査中かを明確にする。
公開標準ソースはその修復記録を定義するのに役立ちます。NIST サイバーセキュリティフレームワーク資料(https://www.nist.gov/cyberframework)は、特定、保護、検出、対応、復旧機能を整理しています。NIST インシデント処理ガイダンス(https://csrc.nist.gov/pubs/sp/800/61/r2/final)は、準備、検出と分析、封じ込め、根絶と復旧、インシデント後の活動を強調しています。CIS Controls(https://www.cisecurity.org/controls)は実用的な管理リストを提供します。これらのフレームワークは Xerox 固有の調査結果を作成しません。復旧は成果物(決定、ログ、範囲、封じ込め、教訓、管理変更)を残すべきであることを示しています。
記事の信頼度は中程度です。公開ファイルは空ではないが不完全だからです。ランサムウェア開示の説明責任問題の分析を正当化するのに十分な公開報道があります。完全な内部イベントチェーンを主張するのに十分な公開証拠はありません。その信頼度はすべての結論を形作るべきです。説明責任の負担はシステムと通信を管理した当事者にある可能性が高いですが、侵入経路、データタイプ、顧客被害に関する具体的な調査結果は公開証拠によって制約されたままです。
顧客には独自の復旧義務もあります。マネージド文書サービスに依存していた Xerox 顧客は、資産インベントリを維持し、どのデバイスとサービスがベンダーシステムに接続しているかを把握し、リモートアクセスを制限し、プリントサーバーを監視し、デバイス資格情報を管理し、自社の文書フローレコードを保持し、どのベンダー通知が内部行動をトリガーするかを定義すべきです。ベンダーの説明責任は顧客のガバナンスを排除しません。それは、ベンダー記録が曖昧すぎる場合、顧客が効果的にガバナンスを行使できないことを意味します。
同じ点が保険および契約レビューにも当てはまります。ランサムウェアの申し立ては、顧客に自社のサイバー保険通知義務、ベンダーリスクファイル、事業継続計画、規制評価がトリガーされたかどうかを尋ねることを強いる可能性があります。それらの質問は、申し立てられたすべてのファイルが本物であるという証明を必要としません。防衛可能な決定を下すために十分なベンダー証拠を必要とします。ベンダーが少なすぎると言えば、顧客は過剰に通知し、過剰に対応し、不必要にサービスを一時停止するか、行動が必要な場所で行動を怠る可能性があります。ベンダーが慎重な境界声明を出せば、顧客は実際のリスクに応じた対応をとることができます。そのため、復旧証拠は比例的で、具体的で、修正可能であるべきです。ポイントは、企業が話す前に調査していることを罰することではありません。ポイントは、顧客が憶測を運用上の事実に代用する必要がないようにすることです。
評価を変えるもの
いくつかの種類の証拠は、この評価を実質的に変更するでしょう。システム境界、年表、影響を受けたデータカテゴリ、修復証拠を含む Xerox 作成の事後報告は、説明責任の調査結果を強化または狭めるでしょう。規制当局の通知、顧客通知書、訴訟記録、または確認されたデータ侵害の提出は、より具体的なデータ範囲証拠を提供するでしょう。独立したフォレンジックの概要は、攻撃者の主張と確認されたアクセスを区別するのに役立つでしょう。サービス中断または必要な修復の顧客報告は、運用上の影響を明確にするでしょう。逆に、申し立てられたデータが Xerox システムからのものでないこと、または影響を受けた境界が顧客サービスを除外したという強力な証拠は、ケースを狭めるでしょう。
現在の公開記録は、正確な侵入ベクトル、滞留時間、データ量、顧客数、身代金要求、支払い、完全なサービス中断、または最終的な法的責任についての主張を正当化しません。それらの事実は、この記事で使用される公開ファイルでは不明です。非公開の通知や調査がそれらのいくつかに回答した可能性があります。公開報道が部分的または論争の多い見解のみを捉えた可能性もあります。したがって、記事はギャップを埋めるのではなく不確実性を保持します。
その不確実性はケースを無関係にするものではありません。ランサムウェア開示には、基礎となる事実が不完全であっても説明責任機能があります。公開記録は、企業が争われた証拠をどのように扱うかを顧客に伝えます。確認された事実と主張を分離するのに十分な情報を提供しますか?顧客の行動を説明していますか?復旧をサービスおよびデータリスクに接続していますか?コミュニケーションを避けるために不確実性を使用せずに不確実性を認識していますか?これらはガバナンスの質問であり、単なるインシデントの事実ではありません。
文書インフラにとって、証拠の基準は一般的な安心よりも高くあるべきです。Xerox の顧客は、機密の運用記録を運ぶワークフローについて会社に依存していたかもしれません。彼らは機密フォレンジック詳細の公開リリースを必要としませんでした。彼らは境界、範囲、行動、修復の防衛可能な声明を必要としていました。その公開証拠がない場合、リスクファイルは開いたままです。
その開いたファイルには実用的な用途があります。将来のベンダーリスクレビューに、文書サービス契約を署名または更新する前にどの証拠を要求すべきかを伝えます。サービス境界声明、リモートアクセス管理、顧客データ取り扱い、通知トリガー、ランサムウェア復旧テスト、申し立てられたリーク資料が再現可能なプロセスを通じて調査されるという証明です。教訓は、すべてのベンダーを既に侵害されたものとして扱うことではありません。次の開示を攻撃者の主張や沈黙に依存しないものにすることです。
したがって、最終的な結論は慎重です。公開報道は Xerox をランサムウェア開示の説明責任ケースにしました。公開証拠はすべての申し立てられたデータまたは運用上の主張を証明するものではありません。責任の分析は実践的な管理に従います。Xerox は自社環境のシステム、セグメンテーション、検出、復旧、顧客向け説明を管理していました。顧客は文書サービスのローカル使用を管理し、行動するために必要な事実を受け取るべきでした。攻撃者は公的圧力を管理しましたが、信頼性は管理しませんでした。成熟した開示システムは、検証された範囲を可視化し、不確実性を保持し、レビュー対象の害に一致する修復を示すことによって、それらの説明間のギャップを減らすでしょう。

