アラート疲労と不正なシグネチャが攻撃の見逃しにつながる

2020年8月11日
マーカス・ハートウィグ
プロダクト・マーケティング・ディレクター
アラート疲労と不正なシグネチャが攻撃の見逃しにつながる

侵入検知防御システム (IDPS) は、ルールとシグネチャに基づいて脅威を検知するように設計されている。これは、ウイルス対策ソフトウェアや次世代ファイアウォールによく見られる、試行錯誤を重ねたソリューションである。理論的には、これは適切なシグネチャを使用して既知の攻撃を検知する素晴らしい方法です。攻撃者は賢く、ネットワークはノイズが多いため、完全に同じ攻撃は存在しない。

これに対抗するために、シグネチャを作成するベンダーは、彼らが探しているものを選別する際に、少しリラックスしなければならない。以前は検知されなかった攻撃の小さなバリエーションが再び検知されるようになるのは、良い修正のように思える。問題は、誤検知が多発し始めたことだ。シグネチャベースの検知を活用している最新のセキュリティ・オペレーション・センター(SOC)では、わずか24時間の間に数万件、場合によってはそれ以上のアラートを受け取ることも珍しくないため、そのソリューションは無意味になってしまう。

79%のセキュリティチームが「その量に圧倒された」と回答している。
- エンタープライズ・マネジメント・アソシエイツ情報概要

これに対抗するため、SOC アナリストは通常、データベースや本番サーバなど、価値の高い資産に向 かうトラフィックのみを監視するように IDPS システムを構成せざるを得ない。また、IDPS で有効にするシグネチャ・ルールを厳選し、古いルールやノイズの多いルールを削除したり、アラート量を減らすためにアラートしきい値をチューニングしたりすることもよくある。残念ながら、セキュリティ監視をオフにするということは、攻撃を見逃すことをほぼ確実に意味する。

より現代的で成功するアプローチは、レガシーIDPSから脱却し、ネットワーク検知・レスポンス (NDR) ソリューションに置き換えることです。NDRは、ネットワーク上のホスト・ユーザーの行動、ユーザーとデバイスの権限、悪意のある行動に関する知識など、豊富なコンテキスト・データと組み合わせた脅威情報を提供します。セキュリティ・リサーチとデータ・サイエンスによって開発された機械学習ルールにより、ノイズを排除しながら真の脅威である攻撃を特定します。最終的には、既知の攻撃とまったく未知の攻撃の両方を検知し、阻止することで、導入全体に安心感を与えることができます。

NDRにより、IDPSのノイズを排除し、脅威の検知と阻止を再開できます。アナリストはシグネチャを調整する代わりに、本来の業務に専念することができます。Vectra のCognito Platformは、クラウド、データセンター、IoT、企業内の攻撃を100%検知し、対応します。私たちの仕事は、これらの攻撃を早期に確実に発見することです。

それを実現するためのデータを持つことから始まる。これはデータ量の問題ではない。さまざまな関連ソースからデータを熟考して収集し、顧客のユースケースを解決するために、セキュリティに関する洞察とコンテキストを充実させることである。

攻撃の振る舞いは さまざまであるため、私たちは常に新しい脅威シナリオや最新の脅威シナリオに対応する独自のアルゴリズムモデルを作成しています。人間の能力をはるかに超えるパフォーマンスを発揮するVectra は、攻撃を検知、クラスタリング、優先順位付け、予測することで、敵に対して明確な優位性を提供します。

セキュリティ・オペレーションの作業負担を軽減することで、脅威の発見やインシデントの調査に多くの時間を割くことができます。環境の監視と保護に対するアプローチを変更する準備が整いましたら、デモをご覧ください。

よくあるご質問(FAQ)