私たちは時に、その概念の意味を十分に理解しないまま、その概念に言及することがあります。ここでは、セキュリティ・オペレーション・センター (SOC) の成熟度の文脈で、リアクティブ、プロアクティブ、脅威ハンティングが何を意味するのかを見てみましょう。
SOCオペレーティング・モデル
近年、セキュリティ・オペレーションは、組織のビジネス目標に沿った検知とレスポンス の責任を担うべき機能として重要性を増している。しかし、何百もの顧客と密接に仕事をする中で、私は、SOCがすべての人にとって同じ意味を持っているわけではないことを観察した。これは、セキュリティ・オペレーション・センターが組織でどのように開始されたかに依存しているようです。
場合によっては、非常に基本的なプロセスを持つ既存のテクノロジーを中心に、数人でグループを作ることもある。このような場合、時間超過の改善は技術面でしか行われない。また、セキュリティ運用がパートナーによって運営され、サービスとして提供され、社内のセキュリティ担当者がインシデントのフォローアップと是正のために利用するケースもある。
また、これら2つのモデルを組み合わせたハイブリッド型多層アプローチもある。ハイブリッド・アプローチでは、最初の検知とアラートのトリアージは外部組織が行い、より深い調査とレスポンス は内部チームが担当する。
どのアプローチがベストかを理解することは、この記事の範囲外であり、あなたにとって最も最適なアプローチは、あなたの特定の組織の文脈で検討されるべきである。
すべては成熟のため
どの組織にも共通し、普遍的に当てはまる点は、セキュリティ運用が時間とともにどのように成熟し、その成熟がビジネス目標によってどのように推進され、どのように追跡されるかである。ビジネス目標の整合は、組織のあらゆる支援機能にとって重要な側面である。ビジネスリスクを低減するための最前線に位置するセキュリティ運用については、なおさらそうである。
もうひとつの重要な側面は、人材、プロセス、テクノロジーの適切なバランスを達成することである。テクノロジーは一般的に最も簡単な部分だが、それは単にハードウェア、ソフトウェア、サービスを入手し、そのアウトプットを消費するだけの問題だからだ。
克服すべき最も困難な課題は人材であろう。知識豊富で十分な資質を備えたサイバーセキュリティの専門家が不足していることは周知の事実であり、アナリストの離職率が非常に高いことは、SOC の管理者にとって日常的な問題である。
プロセスは、すべてをまとめる接着剤である。ビジネスと完全に連携し、俊敏性と一貫性を提供することで、プラスの効果をもたらすことができる。プロセスには、SOC が主要業績評価指標とビジネス目標に対してどのような成果を上げているかをスコア化するための、適切で正確な評価指標が含まれていなければならない。
これら3つの要素のバランスを取ることが、良い成熟につながり、さらに重要なのは、より早く成熟する能力である。
リアクト対ハント
このプロセスでは、インシデントから学ぶことがほとんどない検知 ・リアクト・モデルを超えるプロアクティブな調査アプローチを定義し、実施することも必要である。
リアクティブなアプローチでは、より広範な考察に深入りすることなく、迅速に解決策を探す傾向がある。プロアクティブな調査は、隠された脅威の側面、複数のインシデントに共通する点、調査中のインシデントとは関係のない二次的な影響などを発見するために、より多くの質問をすることによって、より踏み込んだ調査を行う。
このアプローチが体系化され、特定のインシデントとはますます無関係になる傾向が強くなると、脅威ハンティングという特徴を持つようになる。脅威ハンティングでは、環境や過去のデータから脅威に関連する人工物を探し出す。
脅威ハンティングは、原子的な指標ではなく、TTP、攻撃手法、ツールといった形で攻撃者の振る舞いに焦点を当てるべきである。このアプローチは、脅威の網羅性と検知の耐久性の両方に有益な影響を与える。
ファイルハッシュやIPアドレス、ドメインが有用でないと言っているわけではない。それらは侵害の程度を把握するための素晴らしい方法となり得る。しかし、プロアクティブなアプローチは、脅威の探索により多くの時間を投資し、より耐久性のある結果をもたらす。
脅威ハンティングは、 MITREのATT&CK マトリックスと組み合わせて実行する必要がある。SANS Instituteのマット・ブロミリーは次のように述べている:「脅威探索を既知の脅威アクターの目的、テクニック、戦術と関連付けることで、脅威探索を単独の活動としてではなく、むしろ攻撃者があなたの環境内でどのように目的を達成する可能性があるかという文脈で考えるようになる。
科学的アプローチ
脅威ハンティングと脅威検知のもう1つの重要な違いは、それらを推進するプロセスにある。脅威検知は、アラートが生成され、トリアージされ、関連性があれば、レスポンス のフェーズに入るという直線的なプロセスである。
一方、脅威ハンティングは、仮説を立てることから始まる科学的な方法論に適している。そして、調査し、結果を評価し、結果が仮説を証明しない場合は、また調査に戻る。
リアクティブな方法、プロアクティブな方法、脅威ハンティングの方法、いずれも価値をもたらすが、そのレベルは異なる。
ビジネス・ドライバーに合致した成熟した SOC は、人、プロセス、テクノロジー・コンポーネントのバランスを取るという作業を経て、成功に至っている可能性が高い。同時に、SOCは、証拠となる可能性のある成果物ではなく、脅威の振る舞いや攻撃手法に基づく、リアクション・モードから真の脅威ハンティングへの移行を可能にします。
