セキュリティアナリストが、内部の脆弱性スキャナから発信されたと思われる攻撃に関する通知を受け取った場合、スキャナ自体が侵害されている可能性があることを示唆しています。侵害されたスキャナは、不正なスキャンを実行したり、機密情報を漏洩したり、ネットワーク内で悪意のあるアクションを実行したりする可能性があるため、この状況は深刻です。適切な最初のアクションは、脅威を封じ込めてさらなる被害を防ぎ、徹底的な調査を可能にすることです。
スキャナー センサーを隔離することが最善の即時アクションである理由は次のとおりです。
封じ込めと隔離：スキャナを隔離することで、悪意のあるアクティビティやスキャンの継続を即座に阻止できます。この封じ込めは、ネットワークの残りの部分を潜在的な被害から保護するために不可欠です。
フォレンジック分析：スキャナーを隔離することで、フォレンジック分析を実施し、スキャナーがどのように侵害されたか、どのようなアクションが実行されたか、そしてどのようなデータやシステムが影響を受けた可能性があるかを把握できます。この分析により、攻撃の性質に関する貴重な洞察が得られ、適切な是正措置を講じるのに役立ちます。
さらなる攻撃の防止：スキャナーの動作が継続されると、不正なアクションがさらに実行され、被害が拡大する可能性があります。隔離により、脅威は速やかに無効化されます。
根本原因の特定：フォレンジック分析は、スキャナーの設定、ソフトウェア、または基盤システムの脆弱性を特定し、侵入を許した原因を特定するのに役立ちます。この情報は、将来のインシデントを防ぐために不可欠です。
その他のオプションは、長期的には有用である可能性がありますが、このシナリオでは即時のアクションとしては適切ではありません。
A . 脆弱性スキャナー IP の許可リストを作成して誤検知を回避する: このアクションは誤検知に対処しますが、侵害されたスキャナーによってもたらされる直接的な脅威を軽減するものではありません。
B . スキャン ポリシーを構成して、範囲外のホストがターゲットにならないようにします。この手順は、将来のスキャンを予防するものですが、スキャナーがすでに侵害されている現在のインシデントには対処しません。
C . ネットワーク動作分析ルールを設定する: 継続的な監視と検出には役立ちますが、侵害されたスキャナーの活動を直ちに停止するというニーズには対応していません。
結論として、まず最初に最も重要なアクションは、スキャナーセンサーを隔離して悪意のあるアクティビティを阻止し、フォレンジック分析を実施して侵害の範囲と性質を把握することです。このステップにより、脅威が確実に封じ込められ、さらなる修復活動の基盤が築かれます。
参照：
CompTIA SecurityX 学習ガイド
NIST特別刊行物800-61改訂第2版「コンピュータセキュリティインシデント対応ガイド」

VPNコンセントレータ:
コンピュータのスクリーンショット 説明は自動的に生成されました

AAA サーバー:
コンピュータのスクリーンショット 説明は自動的に生成されました

データベースアクティビティ監視（DAM）は、データベース内のユーザーアクションを追跡し、機密コンテンツへの不正アクセスなどの異常な行動を検知するとアラートを生成します。データベースフィールドのトークン化は機密データを保護しますが、アクセスの監視は行いません。データベースデコイは、不正使用を検知するために偽のデータを作成するものですが、監視とは無関係です。データベース整合性の強制はデータの正確性を確保しますが、アクセスアラートは生成しません。

包括的かつ詳細な
ランサムウェア問題を理解する:
ここで重要な問題は、必要な RPO 時間枠内にバックアップを回復できなかったことです。
これは、組織がバックアップおよび災害復旧 (DR) プロセスを適切にテストしていなかったことを意味します。
このような事態の再発を防ぐためには、定期的な災害復旧テストが不可欠です。
オプションCが正しい理由:
災害復旧テストにより、バックアップが機能し、ビジネス継続性のニーズを満たすことができることが保証されます。
頻繁な DR テストにより、組織はリカバリ戦略のギャップを特定して修正できます。
定期的なテストにより、リカバリが RPO および RTO (リカバリ時間目標) の要件を満たしていることが保証されます。
他のオプションが間違っている理由:
A (バックアップ テープへの暗号化とラベル付け): 暗号化は重要ですが、RPO 要件を満たせない問題には対処できません。
B (手動のビジネス プロセスへの復帰): 手動の継続計画は回復力には優れていますが、バックアップとリカバリの障害は解決されません。
D (机上演習と RACI マトリックス): 机上演習は計画活動ですが、実際の復旧テストは含まれません。
参照：
CompTIA SecurityX CAS-005 公式学習ガイド: 災害復旧と事業継続計画 NIST SP 800-34: 情報システムのための緊急時対応計画ガイド

この表は、さまざまな地理的な場所から Web サイトにアクセスするユーザーの読み込み時間の違いを示しています。
オーストラリアとインドのお客様は、米国のお客様と比較して読み込み時間が大幅に長くなっています。これは、レイテンシーと地理的な距離がウェブサイトのパフォーマンスに影響を与えていることを示唆しています。
* A. IDS (侵入検知システム): IDS は悪意のあるアクティビティを検出するのに役立ちますが、遅延やコンテンツの地理的な分散に関連するパフォーマンスの問題には対処しません。
* B. CDN（コンテンツ配信ネットワーク）：CDNは、ウェブサイトのコンテンツのコピーを複数の地理的な場所に保存します。ユーザーに最も近いサーバーからコンテンツを配信することで、CDNは読み込み時間を大幅に短縮し、ユーザーエクスペリエンスを世界規模で向上させます。
* C. WAF (Web アプリケーション ファイアウォール): WAF は、HTTP トラフィックをフィルタリングおよび監視することで Web アプリケーションを保護しますが、地理的な遅延に関連するパフォーマンスは向上しません。
* D. NAC (ネットワーク アクセス制御): NAC ソリューションはネットワーク リソースへのアクセスを制御しますが、Web パフォーマンスの問題に対処するようには設計されていません。
CDN を実装することが、ログ出力で観察されるパフォーマンスの問題を解決するための最善のソリューションです。
参考文献:
* CompTIA Security+ 学習ガイド
* Akamai Technologies による「CDN: コンテンツ配信ネットワークの説明」
* NIST SP 800-44、「パブリックWebサーバーのセキュリティ保護に関するガイドライン」