インシデントレスポンス 自動化のタイミングを見極める

2020年10月28日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
インシデントレスポンス 自動化のタイミングを見極める

レスポンス の総時間を測定し改善することは、言うは易く行うは難しである。現実には、多くの組織が、サイバーセキュリティインシデントに迅速かつ効果的に対応できるようにするための現在の準備状況を把握していない。そして、ほとんどの組織は、自分たちのリスク認識レベルをどの程度にする必要があるのか、また、適切なレベル(レスポンス )を把握していない。前回のブログで述べたように、リスクの分類は、組織に必要な成熟度レベルを決定する原動力となる。

さらに重要なことは、リスクがわかっていても、要員が不足していたり、要員の効率が悪かったりすると、効果的なプログラムにはならないということである。セキュリティアナリストの時間の大部分は、既存のプロセスでは対応できない予期せぬ事象への対応に費やされる。セキュリティアナリストは、アラートのトリアージ、関連付け、優先順位付けのために、膨大な量の退屈な手作業を行う。このような作業に何時間も費やしているうちに、そのアラートが実際には優先事項ではないことが判明することも多い。

さらに、面倒な手作業はヒューマンエラーを引き起こす。人が得意とするのは批判的思考や分析であって、繰り返しの手作業ではない。組織は、人員を増やすか、作業量を減らすか、あるいはその両方を行うしかない。高レベルの脅威認識に対する望ましいレスポンス時間を達成するには、どのような作業を自動化すべきか、そしてより重要なことは、いつ自動化すべきでないかを徹底的に理解する必要がある。

効率的なインシデントレスポンス プロセスは、マシンのすべてのキーを与えることなく、人々をループに維持する。その代わりに、セキュリティアナリストの時間を解放し、クリティカルシンキングを必要とする、より価値の高い作業に集中できるようにすることが目標である。

検出の自動化とレスポンス


上記のモデルには3つの段階があり、検知とレスポンスプロセスに自動化を適用する方法を示している。その内訳は以下の通りである:

  1. エンドポイントおよびネットワークからの攻撃インジケータの可視化、検知、優先順位付け。
  2. 他の主要なデータソースと相関するエンドポイントおよびネットワークデータの分析。
  3. エンドポイント、ネットワーク、ユーザー、アプリケーションにまたがる連携攻撃レスポンス 。

ステージ1:可視化、検知、優先順位付け

ネットワークとそのエンドポイントは、可視性と検知機能を提供する。可視性と検知データを基に、インシデントの初期優先順位付けと即時アラートを提供する。この段階での検知とトリアージプロセスの自動化により、多数のアラートをロールアップして単一のインシデントを作成し、それを調査することで、報告されるイベントの総数が削減されます。インシデントの中心となる資産とアカウントは、文脈化され、脅威と確実性の優先順位が付けられる。この情報は次の段階に引き継がれます。

ステージ2:相関と分析

この段階では、ネットワークとエンドポイントのデータを、ユーザー、脆弱性、アプリケーション管理システムからのデータ、および脅威インテリジェンス・フィードのような他のセキュリティ情報と関連付ける。目標は、ネットワークとエンドポイントのデータから優先順位付けされたものを検証し、重大性と優先順位に基づいて正しいレスポンス を処方することである。この段階では、環境コンテキストとビジネスリスクに基づいて意思決定を行うための人的分析が必要となる。高度に洗練され、検証されたアラートは、ステージ3に引き継がれます。

ステージ3:調整とレスポンス

この段階では、プレイブックの自動化が優先順位を付けられたレスポンスを受信する。これには、ネットワーク検知とレスポンス (NDR) とエンドポイント検知とレスポンス (EDR) ツールがそれぞれの分析能力に基づいて生成したエンドポイントとネットワークのアラートが含まれます。自動化とオーケストレーションのプレイブックは、相関と分析から提供されるデータを活用します。これらのプレイブックは、エンドポイント、ネットワーク、ユーザー、アプリケーション管理システムにわたる攻撃対応を調整します。また、自動化のレベルを状況に応じて適切なレベルに調整するための人間の判断ポイントを含めることもできます。

これらのプラットフォーム間の高度な統合と相互運用性により、企業は非常に実用的で管理しやすい構成で検知と対応を実施することができる。これにより、検知、決定、対応のセキュリティ・サイクル全体に対応するために必要なセキュリティツールやアプリケーションの数を最小限に抑えることができる。また、この実装は、現在ほとんどの組織が達成しているよりも高いレベルの成熟度を提供する。

このアプローチは理論的にうまくいくだけではない。NDRを使用した現実の世界でも機能します。Vectra 、Cognito Platformを導入した既存組織のメトリクスを見ることで、Tier-1セキュリティアナリストによるイベントの検知、トリアージ、優先順位付けにかかる平均作業負荷の削減を確認することができる。

イベントのトリアージ、関連付け、インシデントへの優先順位付けによる作業負荷の軽減

1カ月間に監視された1万台のデバイスとワークロードごとに、ホストの重大度の平均ピークカウントでは、27件の重大な検知と57件の高リスクの検知のフラグが立てられました。これらのデバイスとワークロードは組織にとって最大の脅威であり、セキュリティアナリストが直ちに注意を払う必要がある。これは、30 日間で、1 日あたり約 1 件の重大な検知と 2 件の高リスクの検知が緊急の注意を必要とすることを意味する。その他の事象が発生することもあるが、実際に関心のある事象はほとんどないため、上級アナリストまたはビジネス部門にエスカレーションして、より深く調査してもらう必要がある。

振る舞いベースの機械学習アルゴリズムは、人間が24時間、ミスなく達成できるスピードよりも速いスピードで反復作業を行う上で、非常に有用である。機械学習は、進行中のサイバー攻撃に関する深い洞察と詳細なコンテキストを提供し、セキュリティアナリストがクリティカル・シンキングを行って検証し、インシデントに迅速に対応することを可能にする。これは、誤検知につながるノイズをフィルタリングする高忠実度のシグナルを使用することで達成される。

その結果、若手アナリストのスキル格差やセキュリティ業務への参入障壁が小さくなり、高いスキルを持つ上級アナリストは、脅威の発見や事業部門のリスクアドバイザーとしての活動に専念できるようになる。

収穫

覚えておくべき3つのポイントを紹介しよう。

被害が発生する前に攻撃を検知し対応するためには、時間が最も重要な指標となる。

持続的攻撃や標的型攻撃を阻止するには、迅速な検知とレスポンス が必要だ。

脅威に対する認識が高まり、レスポンス 機敏性が高まることは、成熟したインシデントレスポンス プロセスの成果である。

適切なレベルの脅威認識とレスポンス 敏捷性に関連するリスクを理解することは極めて重要である。

機械学習は、特定のタスクに適用したときに最も効果を発揮する。

クリティカルシンキングや複雑な分析を人に任せ、面倒な反復作業を自動化するのに適している。

セキュリティ・オペレーションを改善し、インシデントレスポンス 対応能力を強化する必要がある場合は、 Vectra アドバイザリー・サービスをご利用ください。お客様の組織固有のニーズに合わせたさまざまなサービスを提供しています。

よくあるご質問(FAQ)