脅威ハンティングにおけるクラウドの分離

2020年10月27日
Eric Hanselman
451リサーチ、プリンシパル・リサーチ・アナリスト
脅威ハンティングにおけるクラウドの分離

セキュリティ専門家にとって、ますますクラウド化が進んでいる。組織がより多くのアプリケーションでクラウドを使用するようになるにつれ、セキュリティチームは、環境を理解するために、より広範な遠隔測定セットを統合することを求められている。状況認識を構築することは、既存の環境では十分に難しい。しかし、より多くのクラウドを統合する動きは、チームがより生産的で効果的な分析ツールに踏み出すきっかけとなる。

S&P Global Market Intelligence傘下の451 Researchによる最近の調査では、57%がオンプレミスのシステムとオフプレミスのクラウドを融合させたハイブリッド環境 (クラウド) を導入済みか、導入中であると回答している。つまり、これらのシステムから吐き出される多くの新しいタイプの情報や、利用可能なデータ量の増加に、すでに対処しなければならなくなっているのだ。データが増えれば増えるほど、より良い洞察の機会が生まれる一方で、こうした新しい世界での運用に必要なスキルは不足しがちになる。

同時期に実施された 451リサーチ社の別の 調査によると、最も深刻なスキル不足が報告されているのは、クラウドプラットフォームの専門知識、クラウドネイティブの機能およびツールで、次いで情報セキュリティが僅差で続いている。この組み合わせは、情報セキュリティ実務者の長期的な不足が続いているだけでなく、クラウド対応可能なスキルを持つ人材の不足がそれを上回っている可能性があることを意味する。組織は、このような問題を解決する方法を採用することは期待できないことを理解しなければならない。

セキュリティにおけるアナリティクスの利用は、負担の大きいチームのために戦力となるものを見つけるという長期的なニーズに後押しされ、大きく伸びてきた。この需要により、人工知能(AI)や機械学習といった用語の使用が急増し、しばしばその有効性が劇的に主張されるようになった。これらの用語の使用は非常に広まっており、2019年後半に我々が行った別の 調査では、最も誇張されたセキュリティトレンドやバズワードとして、ブロックチェーンに次いで第2位にランクインしていた。これは、セキュリティの専門家にとって、市場に氾濫する主張の数々を理解することがいかに難しいかを示している。

では、このような状況下でCISOはどうすればいいのだろうか?誇大広告の認識にもかかわらず、アナリティクスは前進し、生産性と有効性の両方を向上させる方法である。(1)すべてのAIが同じように作られているわけではないこと、(2)特定の遠隔測定ソースは他のものよりも平等であること。

テレメトリの面では、より信頼できるデータソースが他を圧倒する。クラウドの世界でも、ネットワーク・ソースには多くの利点がある。それらは確かな真実のソースであり、攻撃者の検知に強い。多くのクラウド環境はネットワーク・タップを提供することができないので、セキュリティチームはフロー・ログとアクセス記録をインジェストし、それらを相関させることができるシステムを使わなければならない。

アナリティクスでは、どのようなモデルが使われ、どのように運用されているかを考えることが重要だ。教師なし学習技術は、わずかな管理で動作する能力を約束するが、成功したシステムは完全な教師なしではない。より成熟したアプローチは、異なるソースをターゲットとし、異なる遠隔測定データを相関させることができるモデルを構築し、チューニングする。複数のモデルを使用し、出力を評価することで、イベント発生を適切な信頼度のものに絞り込む。

適切なデータと適切なアナリティクスを組み合わせることで、セキュリティチームがクラウドを分割し、現代の企業にとって重要なリソースを確保するのに役立つ。

最新の振る舞いベースの ネットワーク検知とレスポンス(NDR)を活用して、セキュリティ運用チームがどのように脅威を発見し、攻撃者の先を行くかを学ぶには、デモをご予約ください。

よくあるご質問(FAQ)