攻撃者が組織に侵入する方法は、かつては比較的単純でした。 攻撃者は、パッチが適用されていないデバイスや侵害されたアカウントなどの脆弱性を見つけて、システムに侵入し、ファイルを暗号化するかデータを盗み、組織を離れて混乱を一掃し、防御を構築するより良い方法を見つけたのです。
今日、組織はアタックサーフェスの組み合わせとなっており、机上では、攻撃者がアタックサーフェスをナビゲートするのは困難であるように思われます。 ただし、組織が賢くなるにつれて、攻撃者も賢くなります。 現在、攻撃はそれほど直線的ではありません。 攻撃者は脆弱性を見つけて、休眠状態になり、あるアタックサーフェスから別のアタックサーフェスに移動し、再び休眠状態になってから、組織に対して本格的な攻撃を開始する可能性があります。 その結果、見逃してしまい場合によっては、手遅れになり、組織は回復と修復のために数百万ドルを支出しなければなりません。
無駄に聞こえるかもしれませんが、それは今日の脅威検知カーブの先を行くことができないという意味ではありません。 ここでは、優れたSOC が攻撃者よりも一歩先を行く5つの方法を紹介します。
1. テクノロジーへの投資
組織が攻撃者に先んじることを可能にするテクノロジーの 1 つが AI です。 ここで話しているのは、アナリストが調査用のクエリを作成するのをサポートするだけの LLM (大規模言語モデル) のことではありません。 私たちは、異常を検知するだけで人間による継続的なメンテナンスを必要とする AI/ML アプローチについて話しているのではありません。
私たちが話しているのは、AI を利用して、攻撃の完全な説明を提供しながら、それぞれの顧客環境に特有の最も重要かつ緊急の脅威を表面化する攻撃シグナルを構築することについてです。Vectra AI では、このAIを「Attack Signal Intelligence」と呼んでいます。
Vectra は 10 年以上にわたり、最高の攻撃シグナルを配信することを中心にセキュリティAI の研究、開発、開拓、特許取得を行ってきました。 当社の攻撃シグナル インテリジェンスは、シグネチャや異常を超えて攻撃者の振る舞いを理解し、侵害後のサイバー キル チェーン全体にわたる攻撃者の TTP に焦点を当てます。 顧客の環境に特有の攻撃者の行動とトラフィック パターンを分析して、アラート ノイズを削減し、関連する真陽性イベントのみを表面化します。 セキュリティ アナリストは、攻撃の全体的なストーリーに関するコンテキストを備え、自分の得意分野、つまり攻撃が侵害になるのを追跡、調査、阻止することに時間と才能を費やします。
Vectra AI'sAttack Signal Intelligence の詳細については、ホワイトペーパーをお読みください。
2. XDR戦略の採用
複数のアタックサーフェスにまたがる現代のハイブリッド攻撃に対抗するには、XDR (Extended Detection and Response) 戦略を持つことが極めて重要です。XDR戦略により、以下のことが可能になります。
- カバレッジ:ネットワーク、IoT/OT、パブリッククラウド、アイデンティティ、SaaSアプリケーション、エンドポイント、電子メールなど、ハイブリッドなアタックサーフェス全体にわたって高品質な脅威検知を統合的にカバー。防御者は、必要な可視性を確保する必要があります。
- 明瞭さ:リアルタイムで実際の攻撃に優先順位をつけるために、検知を相関させる統合シグナル。防御者は、最初に何に焦点を当てるべきか、つまりどこから作業を開始すべきかを知る必要があります。
- コントロール:統合され、自動化され、管理された調査とレスポンス アクションにより、SOC チームはハイブリッド攻撃者のスピードと規模に対応できるようになります。防御側には、脅威の量と速度に対応する能力と自信が必要です。
VectraのXDR戦略ガイドで、ハイブリッド攻撃に対応したXDR戦略を実現する方法をご覧ください。
3. エクスポージャーリスクを定期的に評価する
絶えず変化し、進化する IT 環境を考慮すると、組織のセキュリティを確保することは、常に変化する目標です。 移動するターゲットに遅れないようにするためには、攻撃に対する危険性を定期的に評価する必要があります。
そのためには、境界ファイアウォールとインターネット ゲートウェイ、マルウェア保護、パッチ管理、許可リストと実行制御、安全な構成、パスワードポリシー、ユーザー アクセス制御の確認など、基本的な事項を検討する必要があります。 これらの基本をセキュリティ プログラムに統合することは、定期的な更新を維持するとともに不可欠です。
その上で、組織が危険にさらされる可能性があるサーフェス領域に注目してください。 場合によっては、プレッシャー テストを実施し、アタックサーフェス内のギャップを分析するためのリソースが存在します。
Vectra AI は、アイデンティティ・エクスポージャー・ギャップ分析を無料で提供しています。こちらをクリックしてください。
これらの対策は、侵害される前に暴露リスクをカバーしますが、攻撃者がすでに ID を侵害し、環境に侵入した後は、何を考慮する必要があるでしょうか? 攻撃者がシステムに侵入すると、検知とレスポンスがさらに複雑になります。 攻撃者は、複数アカウントの侵害、ID 権限の昇格、捉えどころのない横方向の移動など、ビジネスに損害をもたらすさまざまなアクションを実行する可能性があり、これらはすべてビジネスクリティカルなインシデントにつながる可能性があります。
その場合何が起こるでしょうか?そして、この課題に答えるために何ができるでしょうか? 答えは、検知およびレスポンステクノロジーにあります。主に、テクノロジーが引き込むシグナルが、本格的な攻撃になる前であっても、これらの不審な振る舞いをインテリジェントに通知することを保証します。 たとえば、Vectra AIのAttack Signal Intelligenceは、AI および ML 主導の属性を使用して、アタックサーフェス全体のホストとエンティティを関連付けることができ、侵害後の複雑さを生み出す情報ギャップを正確に埋めることができます。 攻撃者の動き方について豊富かつ正確なコンテキストを取得することで、攻撃者が防御を突破できた場合でも成功に向けて準備を整えることができます。
4. サードパーティーの専門家を活用する
高品質のテクノロジーへの投資は、SOC チームの作業負荷を大幅に軽減できますが、特に今日のハイブリッド環境では、現代の攻撃に対抗するには十分ではない場合があります。 そのため、ハイブリッド攻撃者に対する追加の防御線として、人工知能テクノロジーと人間の知能、特にサードパーティの業界専門家を組み合わせることを強くお勧めします。 サードパーティの業界専門家は、管理された検知とレスポンスサービスを利用して、セキュリティ業界に関する深い洞察を提供するだけでなく、お客様が使用しているプラットフォームやテクノロジーの主題の専門家としても機能します。 反復的で日常的な SOC タスクの一部を業界の専門家にアウトソーシングすることは、特に脅威の検知およびレスポンスに利用するテクノロジーとプラットフォームに精通している専門家である場合には、大きな投資となります。
Vectra MXDRの場合、当社のアナリストチームはサイバーセキュリティ分野とVectra AI プラットフォームの両方の専門家です。加えて、Vectra MXDRは、CrowdStrike、SentinelOne、Microsoft Defenderとの統合により、SaaS、クラウド、アイデンティティ、ネットワーク、エンドポイントなど、すべてのアタックサーフェスを24時間365日体制でカバーすることができます。Vectra MXDRは、作業時間を削減し、より重要で価値の高い作業に時間と人材を割くことができます。
5. 人材と予算の最適化
時間と人材の解放について言えば、最高のSOCが今日の攻撃者に先んじるための最後の方法は、チーム内の人材とリソースを最適化することです。 人は好きなことをして最高のパフォーマンスを発揮します。貴社のSOCチームはアラートの管理、ルールの調整、レポートの作成に毎日何時間も費やしていますか? おそらくそうではありません。 代わりに、マネージド検知とレスポンスサービスを利用して解放されたセキュリティ予算を、SOC が取り組みたいと考えているセキュリティへの取り組みやプログラム、つまりハイレベルな人材の脅威ハンティング プログラム、指導、研究、ビジネス関係の構築、および全体的な高レベルの取り組みに投資することができます。
このような理由から、反復的なSOCタスクをMDRサービスにアウトソーシングすることは、最新のSOCにとって非常に重要です。SOCチームが多くの時間を費やしている日常業務を別のチームが担当することで、アナリストが価値の高いプロジェクトに深く取り組む時間が増え、人材とセキュリティ予算が最適化されます。
SOCのリソースをより活用するにはどうすれば良いのでしょうか?ここから始めることができます。