RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
クラウドセキュリティ

シグナル・クラリティがハイブリッド企業防衛のすべてを変える

2023年11月17日
Mark Wojtasiak
プロダクト・マーケティング担当副社長
シグナル・クラリティがハイブリッド企業防衛のすべてを変える

*本記事は自動翻訳です。詳細は英語版をご確認ください。

サイバーセキュリティは崩壊している。  

さらに言えば、 ハイブリッド攻撃の検知とレスポンス は失敗している。2022年のIBMのレポートによると、組織の83%が毎年複数の侵害に苦しんでいる。新しいアプローチが必要なのは明らかだ。しかし、現在のトレンドに反して、より多くのアラートを生成するツールを追加することが解決策ではありません。(出典:IBM Security Cost of a Data Breach Report 2022.)

アラートの洪水に溺れる

Vectraの「2023 State of Threat Detection」レポートでは、SOCアナリストは通常、脅威イベントにフラグを立て、アラートをトリガーするかどうかでツールの有効性を測定している。

しかし、業界として、SOCチームが毎日多数のツールから送られてくる4,500件近いアラートに圧倒されているときに、それが私たち自身が望む基準なのだろうか?  

このようなとんでもない量のアラートを処理する時間やチームがあるだろうか?  

誰もいない。  

確かに、SOCチームの仕事はハイブリッドIT環境を保護することですが、アナリストが対処できないような何千ものアラートで溺れさせることは、その任務を果たすための方法ではありません。  

SOCアナリスト、ツールに自信なし

同レポートでは、アナリストの97%が、1日に確認する時間がないセキュリティ・アラートの3分の2を通じて、見えないまま通過するイベントを見逃すのではないかと心配している。

この信頼性の危機は容認できないだけでなく、耐えられない。このような大量のシグナル、アラート、偽陽性の中で、どのようなSOCチームが業務を遂行できるでしょうか?  

SOCアナリストにとっても、彼らが守ろうとしているハイブリッド企業にとっても、これは災難の方程式だ。  

消えたSOCアナリスト

ところで、「災難」は誇張表現ではない。以前の記事で述べたように、SOCアナリストの67%がこの業界からの離脱を検討しているか、積極的に離脱している。

このようなレベルの離職やアナリスト不足は、ストレスとフラストレーションに満ちた日々の仕事量に起因している。  

しかし、これは、サイバーセキュリティのパラダイム全体に関するセキュリティアナリストの自信の危機をも物語っている。セキュリティツールの有効性を測定する方法を再定義しなければ、アラート量が増加し、アナリストがこの業界から大量に退出し続けるにつれて、IT環境の完全性は悪化し続けるでしょう。

よりスマートなアプローチがここにある

当社の調査によると、SOC チームは、分析を妨げ、作業負荷を増大させるだけのツールを避けることで、状況を改善できる可能性があります。さらに、脅威の可視性、検知精度、およびアナリストの効果について、ツールの使用状況を評価する方法を見つける必要性も残っています。  

まず、アナリストが有効性を測定する方法を変えることが賢明な第一歩である。現在、多くのアナリストは、ダウンタイムの削減(65%)、検知 、調査および対応にかかる時間(61%)、防止した侵害(61%)、対処したチケットの数(60%)などの要素によってSOCの成熟度を測定している。  

しかし、目に見えない攻撃や侵害が常態化し続けるのであれば、そのような指標は本当に有用なのだろうか?

コントロールできることに集中する

業界として、ツールの普及と失敗という同じ道を歩み続けることは、前進への道ではない。  

成功への第二のステップは、コントロールできないことではなく、コントロールできることに集中することだ。例えば、組織のアタックサーフェスをコントロールすることはできない。攻撃対象はデジタル投資によって拡大し、変化し続ける。また、攻撃者がいつ、どこで、どのように防御を突破しようとするかもコントロールできない。  

しかし、SOCアナリストに毎日影響を与えているシグナルや燃え尽き症候群の問題は、自分でコントロールすることができる。  

これらの重要な目標を達成するにはどうすればいいのか?

シグナルの明瞭性がもたらす比類なき利点

効果的なセキュリティとは何か、そしてそうでないものは何かを再定義することから始めます。何千もの可能性のある脅威を検知しても、緊急のものと良性のものを見分けることができなければ何の役にも立たない。  

しかし、アタックサーフェス全体にわたって最も緊急性の高い攻撃を明確にする統合シグナルによって、攻撃を迅速に特定し、優先順位をつけることができるでしょうか。  

これは画期的なことだ。  

このようにシグナルが明確であることの利点は否定できない。攻撃シグナルが効果的であればあるほど、SOCはよりサイバーに強く、効率的かつ効果的になり、組織をよりよく守ることができる。さらに、成功率が向上すれば、業界からのアナリストの流出を食い止めることができる。  

シグナルを明確にすることは、技術スタックのツールから始まります。セキュリティ・ベンダーは、生成するアラート量だけでなく、シグナルの有効性についても責任を負うべきだと考えている。また、攻撃対象の可視化や検知精度の不足、そしてそれらの失敗がアナリストの生産性に与える悪影響についても責任を負うべきである。  

Vectraと統合されたシグナルの明瞭さについてもっとお知りになりたい方は、ぜひお立ち寄りください。