インシデントレスポンス 成熟度と成功へのロードマップ

2020年10月14日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
インシデントレスポンス 成熟度と成功へのロードマップ

前回のブログで述べたように、インシデントレスポンス の中核的な目標は、リスク軽減の一形態として攻撃者の滞留時間を短縮することであるが、組織はまず、軽減すべきリスクのレベルを定義する必要がある。インシデントレスポンス の成熟度と能力を、ビジネスに関連する脅威と、これらの脅威が引き起こす可能性のある影響の範囲に関連して検討することが重要である。ビジネスリスク認識要件は、適切なレスポンス 時間を達成するための指標とセキュリティ支出を定義する。

2013年、アパラチアン州立大学のCISOであるジェームズ・ウェッブは、時間軸を軸としたインシデントレスポンス 成熟度モデルを提案した。Vectra は、これを採用し、当社のアドバイザリー・セキュリティ実践の一環として進化させてきた。

インシデントレスポンス 成熟度モデルを時間軸で見る


このモデルは、インシデントレスポンス の成功に不可欠な2つの中核的能力を考慮する:

脅威の認識/可視性

脅威アクターの存在、その意図、過去の活動、防御がそれらとどのように関係するかについて、正確で信頼できる情報を得る能力。Time-to-検知 と Time-to-know が重要である。

レスポンス アジリティ/パフォーマンス

事業を迅速かつ十分に隔離、根絶し、通常業務に戻す能力。これには対応に要する時間が含まれる。

ほとんどのセキュリティ成熟度フレームワークは、階層的なセキュリティアプローチとして、直線的な機能を提供するツールの採用を示唆している。この方法論は、重複や冗長性を招く可能性があり、多くの場合、脅威の認識やレスポンス 敏捷性に悪影響を及ぼす。また、どの成熟度レベルでも発生する、検知とレスポンス 機能間のトレードオフを浮き彫りにする。

これら2つの属性をインシデントレスポンス プロセスに関連付けることで、成熟度と能力を定義し、望ましいリスク認識のレベルに基づいて、成熟度モデルの5つの段階にわたって測定することができる。

インシデントのレベルレスポンス 成熟度

1.リアクティブ/アドホック

これはモグラたたき的なアプローチであり、脅威が顕在化して初めて組織が対応する。内部脅威の検知は通常、外部ソースから行われる。残念なことに、侵害された資産を発見したとき、レスポンス 、いまだにこの方法に頼っている組織があまりにも多い。バックアップからシステムを復元することで、機敏に対応し、迅速にビジネス機能を取り戻すことが容易になる。しかし、脅威に対する意識は低く、システムがどのように侵害されたのか、なぜ侵害されたのか、そして侵害後に何に使われたのかについて、本当の知識は得られない。

2.ツール駆動/署名ベース‍。

この段階で、組織は、環境内の潜在的な侵害を探すツールを採用する。これらは、ウイルス対策ソフトウェアや侵入検知・防御システム (IDPS) のようなシグネチャ主導のツールであることが多く、既知の脅威による潜在的な侵害について、何らかの自動アラートを提供する。これらの侵害されたシステムの修復もまた、侵害されたシステムを除去するように設計されたツールによって推進される。アジリティは低下し始め、アドホックなレスポンス アプローチにつながる。

3.プロセスドリブン

このフェーズでは、組織は正式なインシデントレスポンス の役割、プロセス、およびガバナンス構造を採用する。多くの場合、攻撃ライフサイクルのフェーズにマッピングされた脅威検知とアラートの相関関係の複数のソースが含まれる。多くの組織にとって、これは理想的な運用状態です。攻撃は、費用対効果が高く、再現可能な方法で検知、分析、対処される。形式化されたプロセスは俊敏性を低下させるが、攻撃の量は少ない傾向にあり、ほとんどのインシデントは良性の内部ユーザーエラーやポリシー違反であるため、これは無関係である。このモデルの主な欠点は、標的型攻撃に対処するには、優れたプロセス以上のものが必要で あるということである。
‍ このモデルの主な欠点は、標的型攻撃に対処するには、優れたプロセス以上のものが必要であるというこ とである。

4.インテリジェンス主導︓200D

多くの大規模組織にとって、標的型攻撃が蔓延しているため、インテリジェンス主導のインシデントレスポンス は大きな目標である。このインシデントレスポンス レベルでは、攻撃者の目的や動機、ツール、戦術、手順(TTP)プロフィールを含むcybercriminels について、より詳細かつ最新の理解を持つ必要がある。この目標を達成するためには、MITRE ATT&CK フレームワークのような外部の知識ベースと相関させることが望ましい。そして、敵対者の気質に関する知識は、敵対者がその目的に到達する能力を混乱させ、低下させ、拒否するための個別の行動を取ることができるような方法で、セキュリティ防御と検知制御を構築するために使用される。
↪CF_200D↩

5.予知防衛⑭。

アクティブ・ディフェンスとしても知られるこの段階は、インシデント(レスポンス )のプロセスと、敵対者が保護された環境内に侵入し、活動し、移動する際にウェイレイするために使用できる適応型防御アーキテクチャの収束を意味する。このモデルの重要な特徴のひとつは、敵の欺瞞と作戦拒否を可能にする能力である。脅威ハンティングは、プロアクティブな防御の究極の表現である。

インシデントレスポンス 計画の調整

インシデント(レスポンス )において最も重要な要素は時間であるが、時間はお金でもある。ビジネスリスクを軽減するために、どれだけの経費をかけ、どれだけの脅威認識や俊敏性が必要かは、組織独自のニーズによって異なる。これらのニーズは、規模、業界、およびコンプライアンス要件によって異なる。

インシデントの処理に優先順位をつけることは、インシデントレスポンス のプロセスにおいて、おそらく最も重要な決定ポイントである。優先順位付けには、組織にとっての脅威とリスクを理解することが必要である。そのリスクの分類によって、組織に必要な成熟度レベルが決定される。

適切なレベルの選択

インシデントレスポンス のために組織が到達すべき成熟度は、そのような能力の要件に基づいている。業界特有の脅威、リスク、およびコンプライアンス要件が、組織のニーズを決定する。同じ業界の他の組織のニーズを見ることは、目標とする成熟度レベ ルの良い出発点を特定するのに役立つ。

例えば、ロジスティクス・ビジネスを展開する小規模な企業では、金融セクターや政府機関などの大手企業組織と同じようにサイバーセキュリティインシデントに対応する必要性や能力はないだろう。対照的に、認知度の高いブランドや貴重な知的財産を持つ組織は、発見した脅威に迅速に対応するために必要な俊敏性を維持しながら、攻撃者を積極的に探し出すことによって脅威に対する認識を高めなければならない。これは、整備された計画、具体的な役割と責任、連絡系統、レスポンス 手順を超えるものである。標的型攻撃のリスクに対処するには、正式なセキュリティ・オペレーション・センター (SOC) の計画とプロセスだけでは不十分である。

セキュリティ・オペレーションを改善し、インシデントレスポンス 対応能力を強化する必要がある場合は、Vectra アドバイザリー・サービスをご利用ください。お客様の組織固有のニーズに合わせたさまざまなサービスを提供しています。

よくあるご質問(FAQ)