未知を排除し、SOCを変える

2022年7月10日
Mark Wojtasiak
製品研究・戦略担当副社長
未知を排除し、SOCを変える

SOCチームにとっての大きな未知数

前回のブログでは、サイバーセキュリティの価値の9つのCを紹介した。私の目標は、セキュリティチームが日々進化するアタックサーフェスや攻撃者の手法に対応できるようにすることである。そのための主要な方法の1つは、未知のものを取り除くことである。

  • アタックサーフェスのデータセンター・ネットワークやエンドポイントだけでなく、クラウド、SaaS、クラウドベースのアイデンティティまでセキュリティを拡張する。
  • 現代の攻撃者の手法攻撃者は、認可されたサービスやAPIを利用した防御ツールを簡単に回避することができる。
  • サイロ化したテクノロジーやツールの充実したコンテキスト、ワークフロー、レスポンス のために統合や自動化を行わないものはすべて削除する。

最近のVectra の調査によると、セキュリティチームはサイバー攻撃への対応に苦慮している。79%のセキュリティ意思決定者が、セキュリティツールが期待に応えられない理由のトップ3として「可視性の欠如」「最新の攻撃の検知不足」「統合性の低さ」を挙げている。その理由は、未知の部分が大きいからである。

セキュリティ・オペレーション・センター(SOC)チームの肩には、大きな未知の負担がのしかかっている。セキュリティチームの83%は、現代の脅威に対して手薄だと感じている。72%のセキュリティチームが、自分たちは侵害されているかもしれないが、それに気づいていないと考えていることからも明らかなように、彼らの武器であるレガシー・ツールは追いついていない。可視化、脅威の検知、統合 - これらはセキュリティ・プロバイダーが約束してきたことだが、セキュリティチームによれば、その多くは約束を果たすことができていない。

Vectra では、上流から考え、その理由を発見することを好んでいる。私たちが発見したのは、SOCチームが直面する課題は3つのことに集約されるということです:

  • カバレッジ:アプリケーションとデータがどこにあっても安全であることを保証する約束。
  • 明晰さ:他の人には見えないところにある脅威を見抜き、それを阻止することを約束する。
  • コントロール:攻撃防御を最初から最後まで、上から下まで統合し、自動化することを約束する。

カバレッジ 

もはや境界線はなく、予防だけでは十分ではない。今日では、徹底的な防御、信頼は必要だが検証は必要なのだ。私たちは皆、決まり文句を聞いたことがある。(しかし、陳腐な言葉やサウンドバイトを捨てて上流を考えれば、アタックサーフェスが拡大しているというシンプルな真実がある。

データセンター・ネットワークとエンドポイントのアタックサーフェスは常に攻撃を受けてきたが、今ではAWS、Microsoft Azure、Microsoft 365、GCP、何百ものSaaSアプリケーション、そして何十ものクラウド ベースのID製品がある。あるサービスから別のサービスへのAPIコールがあり、すべてを完璧なシンフォニーにまとめている。SOCチームにとっては未知の世界だが、攻撃者にとっては夢のような話だ。全攻撃の3分の2は、組織のアプリケーションやデータにアクセスするために認可されたサービスやAPIを活用しており、攻撃者が優位に立つことは明らかだ。未知のアタックサーフェスを根絶するために、SOCチームは、データセンター・ネットワークやエンドポイントからパブリッククラウド、SaaS、アイデンティティに至るまで、5つのアタックサーフェスすべてにわたって脅威の活動を統合的に可視化する必要がある。そのためには、カバレッジが必要です。

明瞭性

私はSOCのリーダー、アーキテクト、アナリストに共感している。彼らはあらゆる方面から打撃を受けており、SOCアナリストが不足しているため、多くの人がより良い職場を求めて今の仕事を辞めています。攻撃者は優位に立っている。ツールの微調整やチューニングは、SOCチームが契約した目的ではありません。SIEMやIDSのようなレガシーなルールベースのツールは、現代の高速攻撃には盲目的になる。では、上流から考えてみよう。SOCの人材を維持・成長させ、攻撃者に逆転するための答えは、現代の攻撃者の手口という未知のものを消し去ることです。それはSOCのワークフローを再構築することから始まる。今日、「すべてをSIEMに集約する」という言葉をよく耳にするが、それはよく理解できる。SIEMは「単一の画面」(これもセキュリティの決まり文句)である。しかし、特定されていない攻撃手法に対して、セキュリティはどのようにルールを作成できるのだろうか?さらに悪いことに、いったん攻撃者の手口がわかってしまえば、SIEMのルールやIDSのシグネチャを常に微調整し、チューニングすることは、現代の攻撃者に対処するための、疲弊し、非効率的で、効果のない方法である。

現代の攻撃者の手法に従来のアプローチを適用すると、SOCのワークフローとインシデントレスポンス のプロセスに遅延が生じます。最新の攻撃を検知し対応する上で、最も必要なのは遅延です。なぜ攻撃者に時間を与えるのか?そうではなく、遅延の最良の解決策は、カバレッジから得られるコンテキストです。完全なカバレッジがなければ、SOCチームは常にコンテキストを欠くことになる。SIEMへのデータ投入量を増やしても、カバレッジにはなりません。テクノロジーを常に微調整し、チューニングしても、コンテキストは得られません。攻撃者の未知の手法を排除するには、SOCのワークフローから遅延を取り除く必要があります。そのためにSOCチームは、5つのアタックサーフェスすべてからコンテキストを迅速かつ大規模に取得、分析、統合するテクノロジーを必要としています。攻撃者の手口に関する豊富なコンテキストで武装することで、SOCワークフローの待ち時間が劇的に短縮されます。アラートのトリアージをなくし、優先順位付け、調査、レスポンス プロセス、プレイブックを統合し、自動化します。SOCチームは、攻撃者の手口に関する未知の情報を排除するために本当に必要なもの、つまり、より明確な情報を持って活動することができます。

コントロール

拡大し続けるアタックサーフェスと進化し続ける攻撃者の手口、さらに人材とスキルの不足が重なれば、セキュリティチームの83%が劣勢を感じ、72%が侵害されているかもしれないと考えているが、本当のところは分かっていないというのも不思議ではありません。テクノロジーやツールへの投資が増加しているにもかかわらず、SOCチームは依然として投資の価値を実感できずにいます。テクノロジーとツールがサイロ化すると、SOCは苦境に立たされる。SOCチームが最新の攻撃を特定し、それに対抗するために次から次へとツールに飛びつくと、攻撃者を効果的に優位に立たせてしまいます。SOCチームには統合されたテクノロジーとツールが必要であり、攻撃を先取りするために連携する必要がある。SOCチームはコントロールを取り戻す必要があるのです。

オール・トゥギャザー・ナウ

アタックサーフェスを完全にカバーすることで、セキュリティチームは必要なコンテキストを明確化し、制御を実現します。カバレッジは、ネットワーク (NDR)、エンドポイント (EDR)、パブリッククラウド (AWS、Microsoft Azure、GCPなど)、SaaS(Microsoft 365)、アイデンティティ (Microsoft Azure AD) の5つのアタックサーフェスすべてにわたって収集された遠隔測定を提供します。これらのテレメトリを分析し、真に重要な脅威を顕在化させ警告することで、明瞭さが生まれます。真のコントロールは、すべてが統合され、すべてが連携してコンテキストエンリッチメント、ワークフロー、レスポンスが自動化されたときに実現する。その結果未知の脅威を排除し、より効果的、効率的、かつ強靭なSOCを構築します。

セキュリティAI主導のVectra プラットフォームで未知の脅威を排除する

Vectra は、セキュリティAIによる脅威検知とレスポンスのリーダーです。セキュリティAIを最適化し、SOCリーダー、アーキテクト、アナリストが未知の脅威を排除できるのは、Vectra だけです。私たちは、他の企業にはできない場所で攻撃を検知するシグナルを作り出します。

  • Vectraなら、 カバレッジがあります。クラウド、SaaS、アイデンティティ、ネットワーク、エンドポイントという5つのアタックサーフェスすべてにおいて、コンテキストを伴う攻撃の可視化を実現します。
  • ‍WithVectra, you haveclarity. 攻撃者の手口をピンポイントで特定し、ビジネスにとって最も重要な脅威に優先順位をつけることで、アラートノイズを80%以上削減します。
  • ‍WithVectra, you havecontrol. 既存のスタックと統合することで、コンテキスト、ワークフロー、コントロールが可能になり、より少ない作業、より少ないツール、より短い時間で脅威を阻止することができます。

Vectraプラットフォームの詳細については、プラットフォームのページをご覧ください。

よくあるご質問(FAQ)