前回のブログでは、サイバーセキュリティの価値に関する「9つのC」をご紹介しました。記事の目的としては、変化し続ける攻撃対象や、攻撃者の手法にセキュリティチームが対応できるようにすることでした。セキュリティを進化させていくためには、私たちベンダー、パートナー、そしてすべての人が協力し、歩調を合わせていく必要があります。その重要な方法として、以下のように未知の脅威を排除し、対応する必要があります。
最近実施した Vectraの調査にて、セキュリティチームがサイバー攻撃への対応に苦労していることが明らかになりました。セキュリティの意思決定者の79%が、「可視性の欠如」、「最新の攻撃の検知ができていない」、「統合性の低さ」が、セキュリティツールが期待に応えられていないことのトップ3と答えました。「大きな未知数」があることがすべての理由につながります。
セキュリティ・オペレーション・センター(SOC)チームの肩には、この「大きな未知数」による重荷がのしかかっています。83%のセキュリティチームは、現代の脅威に打ち負かされていると感じています。レガシーツールでは対応しきれていないのです。このことは、72%のセキュリティチームが、自分たちが侵害されている可能性があるにもかかわらず、そのことを把握できていないと考えていることからも明らかです。可視化、脅威検知、統合、これらはセキュリティプロバイダーが約束していることですが、実際は多くがその約束を果たせていないようです。
Vectraでは、上流から考え、その理由を探る手法をとっています。その結果、SOCチームが求める要素は、次の3つに集約されることがわかりました。
現在、従来の境界型セキュリティに使われる「境界線」は存在しません。これは、予防だけでは十分ではないことを意味します。重要なのは、多層防御、信頼と検証がすべてである、という決まり文句は耳にしたことがあると思います。(私も過去に使ったことがあります。)しかし、このような決まり文句を一旦忘れて、上流から考えてみると、攻撃対象が拡大している、という単純な事実が浮かび上がってきます。
データセンターネットワークやエンドポイントへの攻撃はこれまでも行われてきました。しかし、現在ではAWS、Microsoft Azure、Microsoft 365、GCP、何百ものSaaSアプリケーション、そして何十ものクラウドベースのID製品などが存在します。さらに、あるサービスから別のサービスへのAPIコールなど、すべてが連動しているのです。SOCチームにとってこれは、未知の世界であり、攻撃者にとっては、夢のような状態です。全攻撃の3分の2は、認可されたサービスやAPIを利用して組織のアプリケーションやデータにアクセスしていることからも、攻撃者が優位に立っているのは明らかです。SOCチームには、データセンターのネットワークやエンドポイントからパブリッククラウド、SaaS、IDに至るまで、5つの攻撃対象領域すべてにおいて脅威の活動を可視化する統合的なソリューションが必要です。幅広い範囲を網羅するカバレッジです。
SOCのリーダー、アーキテクト、アナリストには大きな負担がかかっています。あらゆる方面からのプレッシャーを受け、さらにSOCアナリストは人材が不足していることから、より良いポジションへ移ることも多く、離職率も高くなっています。これも、攻撃者にとってはメリットとなってしまいます。さらに課題として、ツールの調整とチューニングは、SOCチームの主な業務ではないこと、また、SIEMやIDSのようなレガシーとなっているルールベースのツールは、現代のスピードの攻撃には無力であることなどが挙げられます。
そこで、目を向けるべきは、上流にあります。SOCの人材を確保し、成長させ、攻撃者に対抗するための答えは、最新の攻撃者の手法という未知の脅威を排除することなのです。そのためには、まず、SOCのワークフローを再構築することがあります。そんな中で「すべてをSIEMに取り込む」、「SIEMは一元管理」という言葉をよく耳にするのではないでしょうか。果たしてそれが全ての解決策なのでしょうか。例えば、特定されていない攻撃方法に対して、どのようにルールを作成すればよいのでしょうか。攻撃方法が判明した後、SIEMのルールやIDSのシグネチャを常に微調整するという考えは、最新の攻撃への対抗策としては、疲弊を生み出し、非効率的で、効果のない方法です。
最新の攻撃手法に従来のアプローチを適用しても、SOCのワークフローとインシデント対応プロセスに遅延時間(レイテンシ)を生じさせるだけです。最新の攻撃を検知し、レスポンスを行うために最も避けたいことは、遅延です。攻撃者に時間を与えてはなりません。遅延に対する最善の策は、コンテキストを把握することで、それはカバレッジから生まれます。完全なカバレッジがなければ、SOCチームは常にコンテキストが足りないことになるのです。SIEMに多くのデータを送り込んでも、カバレッジにはならず、また、常に技術を調整し、チューニングしてもコンテキストは得られません。攻撃手法に対しての不明点をなくすには、SOCのワークフローから遅延を排除しなければならないのです。そのためには、5つの攻撃対象領域すべてからコンテキストを高速かつ大規模に取得、分析、統合する技術が必要となります。攻撃手法に関する豊富なコンテキストを活用することで、SOCのワークフローにおける遅延を劇的に短縮することができます。アラートのトリアージが不要になり、優先順位付け、調査、レスポンスプロセス、およびプレイブックを統合して自動化することができます。SOCチームが、明確な情報を持つことで、未知の脅威に対する手法を理解した上で運用できるのです。
拡大し続ける攻撃対象領域と進化し続ける攻撃手法、さらに人材とスキルの不足が重なれば、83%のセキュリティチームが打ち負かされていると感じ、72%のセキュリティチームが、自分たちが侵害されている可能性があるにもかかわらず、そのことを把握できていないのも不思議ではありません。テクノロジーやツールへの投資が増加しているにもかかわらず、依然として投資した分の価値を得るのに苦労しています。これは主に、ツール間での連携がなされていないことから生じます。テクノロジーとツールがサイロ化することは回避すべきことで、例えば、攻撃を特定した後に、別のツールで対処するというのは、攻撃者に隙を与えることになってしまいます。SOCチームには、統合されたテクノロジーとツールが必要であり、攻撃の先を読むためには連動する必要があるのです。それによって初めて、再び制御する力を取り戻すことができます。
攻撃対象領域を完全にカバーすることで、セキュリティチームは必要なコンテキストを把握し、攻撃を制御できるようになります。カバレッジにより、ネットワーク(NDR)、エンドポイント(EDR)、パブリッククラウド(AWS、Microsoft Azure、GCPなど)、SaaS(Microsoft 365)、ID(Microsoft Azure AD)の5つの攻撃対象領域、すべてにわたって収集したテレメトリーが提供されます。該当のテレメトリーを分析し、真に重大な脅威を表面化させアラートを発することで、明確さが生まれます。真の制御は、すべてが統合、連携してコンテキストの充実、ワークフロー、およびレスポンスを自動化したときに実現されるのです。その結果、未知の脅威を排除し、より効果的、効率的、かつ回復力のあるSOCを構築することができます。
Vectraは、セキュリティAI駆動型の脅威検知とレスポンスの分野を牽引しています。SOCのリーダー、アーキテクト、アナリストが未知の脅威を排除するために、セキュリティAIを最適化できるのはVectraだけです。他社製品では不可能な、攻撃を見抜くシグナルを作り出すのです。
Vectra Platformの詳細については、ウェブサイトにてご覧ください。
本記事は、「Erase the Unknowns, Transform the SOC」の翻訳版です。翻訳は英語版発行時点での原文の通りです。英語版との相違がある場合は、英語版を優先させてください。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
