私は、SOCの可視化を実現するために、エンドポイント検知とレスポンス (EDR) 、ネットワーク検知とレスポンス (NDR)、セキュリティ情報とイベント管理 (SIEM)を組み合わせるというガートナーのアプローチを早くから支持してきた。しかし、セキュリティ・オペレーション・センター (SOC) の可視化への凸凹道には、攻撃者検知ツールの導入という点で課題が多い。
SOCの可視性の3要素に関する1つの見解として、従来のSIEMでは大量のイベントや特定の種類のデータ、その他さまざまな課題に対応できない可能性があるというものがありました。これは、企業と仕事をする際に私が何度も見てきたことだ。セキュリティチームは、SIEMのユースケースを構築したり、管理可能なデータ・セット・サイズで完璧に機能する場合でも、それを維持するのに苦労している。
複雑なSIEMのユースケースを選択、構築、維持するために必要な技術的、人的リソースは膨大です。SIEM を使用してセキュリティ運用を実行するために必要なリソースを考慮する前に、かなりの運用コストがかかります。
Vectra の顧客であるサンゴバンは、数年前にこうした問題に直面し、次のような結論に達した:
- NDRとEDRを使用して攻撃者の検知を自動化する。MITRE ATT&CK フレームワークを参照し、IP アドレスの増加に合わせて拡張可能な完全な脅威カバレッジを確保する。
- お客様のビジネスに関連する特定のユースケースに基づいて、カスタム脅威検知モデルを作成することを検討してください。NDR、EDR、SIEMに対する画一的なアプローチではうまくいきません。
- SIEM による検知では、自社のビジネスに関連し、他のセキュリティ・ベンダーがカバーしていないユースケースを作成します。これにより、長期間にわたって検知の品質に一貫性を持たせることができます。
SOCへの投資の優先順位付けという点では、明確な傾向が見られます:SIEMについて考えていた人々は、EDRファーストのアプローチに移行しています。しかし、EDRは企業内のすべてのデバイスやワークロードをカバーすることはできませんし、その導入場所はファイルやプロセスのローカルビューを提供するだけです。別の、しかし補完的なアプローチが必要である。
このニーズが、今日のNDRの急速な普及を後押ししている。NDRは、クラウド、データセンターのワークフローからユーザーやIoTデバイスまで、ネットワーク内部の完全な可視性を提供し、EDRとSIEMのワークフローを明確にすることで、セキュリティ運用に計り知れない価値をもたらします。
NDRのエージェントレスアプローチは、上空からの視点を提供し、異なるホストやアカウント間の相互作用に焦点を当てる。これは、クラウド、データセンター、IoT、および企業ネットワーク全体で達成され、NDRは隠れた攻撃者の不変の行動を特定します。
NDRがSOCにもたらす自動化のレベルや作業負荷の大幅な削減とともに、このような可視性が浸透していることは、先進的なセキュリティチームがNDRファーストのアプローチを採用している理由であることは明らかです:
- 一貫性を確保し、調査を容易にするために、マルチベンダー統合は必須である。
- より多くの検知コンテキストを得ることで、攻撃の全容が明らかになり、より迅速で、より良い情報に基づいたレスポンス 。
セキュリティチームは今、検知への投資にどのように優先順位をつけ、バランスをとるかという問いに対する答えを変えつつある:
- EDR:精度は高いが、カバー率は低い(エージェントを持つマシンは最大でも40%程度と思われる。)
- NDR:カバー範囲は広いが、悪意のある活動をマシンレベルで見ることはできない。
さらに詳しく知りたい方は、SOCの可視性の3要素、そして予防から検知への移行を可能にする方法をご覧ください。