「 2024 State of Threat Detection and Response: Defenders’ Dilemma Report (2024年の脅威検知とレスポンスの現状:防御側のジレンマ)」レポート (英語) をダウンロードする
昨年の今頃、Vectra AIは初の脅威検知レポートを発表しました。そのレポートは、セキュリティの専門家が、自社のセキュリティ脅威の検知と対応能力についてどのように考えているかをより深く理解することを目的としていました。そしてレポートでは、ハイブリッド環境全体で脅威を検出する際に直面する日常的な課題について包み隠さず回答した2,000人のセキュリティ専門家の意見が使用されました。 技術的な限界、スキル不足、過度なストレスに関する感情、さらには、セキュリティ担当者が、自分たちが知らないうちに組織が侵害されている可能性があると考えているかどうかについても、率直な意見が得られました。 ネタバレとなりますが、当時71%のセキュリティ担当者が、自分たちが知らないうちに組織が侵害されている可能性があることを認めていました。
この学びから、私たちは何を結論づけたのでしょうか?
「脅威検知は基本的に機能していない」
検知 、脅威に対応するためにSOCがいかに多くのセキュリティ「ソリューション」を導入しているかを考えれば、大胆な宣言かもしれません。しかし、「2024 State of Threat Detection and Response Report: The Defenders’ Dilemma」レポートでもそれを裏付ける結果となっています。レポートの詳細はリンク先でご確認いただければと思いますが、今年のレポートではどのようなことが明らかになったのでしょうか?
2024年版のレポートで独自の洞察が加わったと感じたのは、前年比データとSOCにおけるAIの導入に対する実務担当者の意見と採用状況の2つの分野です。アラート数や、現実的に対処されたアラート数の割合など、表面的にはほとんど変化が見られない分野もありますが、問題領域をより深く掘り下げて調査することができました。例えば、実質的な脅威の検知と優先順位付けにおいて、戦いに負けたと感じている実務担当者が、1年前よりも大幅に増えている理由があります。また、実質的な攻撃の発見において、ツールが助けになるよりも妨げになっていると感じているSOCが増加しています。
前年比のデータを見ると、セキュリティ担当者が日々直面している「防衛側のジレンマ」という考え方がさらに裏付けられます。つまり、インシデントがどのように発生したかに関わらず、何か問題が起こると防衛側が責任を問われるということです。脆弱性が悪用され、従業員や契約業者がサイバーセキュリティの知識を持たず、新たな脆弱性や攻撃方法が出現し、攻撃が大量の警告の中に埋もれてしまいます。防衛側は、こうした質問に答えなければならないのです。これはおそらく仕事の本質的な性質であるため、今後も変わらないでしょう。セキュリティの専門家たちは、検出ツールを売り込むことに力を入れるだけでなく、より大きな責任を担うべきだとベンダーに対して不満を表明しています。
「2024 State of Threat Detection and Response」レポートは、SOCの実務者とセキュリティベンダーの間の断絶が拡大していることを浮き彫りにし、長い間脅威検知を悩ませてきた疲弊した課題を解決するために、事態がどこに向かっているのかを示しています。脅威検知はまだ壊れているのか、それともSOCは脅威検知の問題を抱えているのか、もしかしたら実際は別の問題なのかもしれません。英語版レポートはこちらからダウンロードできます: レポートのダウンロード