前回の投稿では、当社が最近発表した「脅威検知の現状2023」からSOCチームが直面する課題を挙げ「防御者のジレンマ」についてお話ししました。私たちにとって、この結果は、過去数年にわたり顧客、同業者、セキュリティ専門家から聞いてきた共通のテーマを考慮すると、ある程度予想されたものでした。主に、私たちが真実であるとわかっていたこと、つまり、脅威検知とレスポンス に対する現在のアプローチのほとんどが破綻しており、その理由がここにあるということを裏付けるものでした。
- SOCチームは1日平均4,484件のアラートを受信するが、その3分の2(67%)は無視され、83%は誤検知である。
- アナリストのほぼ4分の3(71%)が、自分の所属する組織が情報漏えいしている可能性があり、まだそのことを知らないと認めている。
- アナリストの大半(97%)は、セキュリティ・アラートの洪水に埋もれてしまい、関連するセキュリティ・イベントを見逃すのではないかと心配している。
- しかし、SOCアナリストの90%は、自社の検出ツールとレスポンス 。
あなたのことはよく知らないが、なぜ効果的という定義がアラートを出す能力に帰結するのだろうか?SOCアナリストの90%は、自分たちがすでに危険にさらされていて、本当の攻撃を見逃すことを本当に心配しているにもかかわらず、それが物差しになっているようだ。不可解な質問だが、その答えを探るために、Vectra AI の製品担当SVPであるケビン・ケネディと、LimaCharlieのリード・ソリューション・エンジニアでありSANSのインストラクターでもあるマット・ブロマイリーは、SANSの最近のウェビナーに参加し「セキュリティ・ベンダーは、シグナルの有効性について責任を問われるときが来たのだ。
ベンダーの声を代表するケビンと、実務家の声を代表するマットに3つの簡単な質問をした:
- アタックサーフェスが増え、アラートが増え誤検知が増える。
- より多くの盲点、より多くの妥協、より多くの離職-我々はどこから問題に対処すべきなのか?
- より多くの可視性、より多くの検出、より多くのシグナル - SOCアナリストが最も効果的に仕事をするためには?
以下は会話のハイライトである。ケヴィンとマットの対談の全編はこちらからご覧いただけます。
Q1:アタックサーフェスが増え、アラートが増え、誤検知が増える。
マット:「まず、ツールやテクノロジーの観点から、いくつかのことが起きて、この問題が解決されたと思う。4、5年前にこの質問をしたら、結果はまったく違ったものになっていたと思います。アタックサーフェス(アタックサーフェス)については、ここ数年で理解が深まったと言うべきでしょう。私たちの環境に関する知識は増えたと思います。問題のひとつは、(アタックサーフェスの拡大が)単にアラートキューに多くのものを追加すれば解決するということにはならないことだ。 ここで起きていることは、アタックサーフェスとアラートが、一部の組織や一部のSOCアナリストにとって同義語になってしまっていることだと思います。
どのように分類するか(アラート)だ。私の脆弱なアプリケーションを、特権の昇格やミミカットの実行などに関するレポートとまったく同じキューで報告してほしくありません。私は、このキューを、実際の敵の活動のキューに対するセキュリティポスチャのキュー、あるいは、そのようなものとして見ています。このような分類をすることで、SOCの緊張が少し和らぐかもしれません。なぜなら、脆弱性に直面しているウェブ・アプリケーションを今すぐ修正しなければならない緊急事態と考える必要がなくなるからです。また、1日に4,500件ものアラートが発信されていると聞きますが、これは驚異的な数字で、私が見ているSOCの中には、かろうじて鼻の下を伸ばしているようなところもあります。誰がアラートを出しているのかも問題のひとつだ。実際に誰がそれを修正する責任があるのでしょうか?セキュリティの責任で解決するのか、セキュリティの責任でフォローアップするのか。多くの場合は後者ですが、私たちは前者と混同しているのです」。
ケビン:「問題はアプローチだと思う。これがどのように進化してきたかを見てみると、10年前にさかのぼれば、データを投入し、ルールを書き、シグナルを出すというものだった。それがうまくいった組織もあれば、うまくいかなかった組織もある。そして、アタックサーフェスが進化し、それぞれに特化したツールが(検知を目的として)登場し、レスポンス 。EDRがある。NDRがあり、IDがある。クラウド、レスポンス 。つまり、すべてがポイント・ソリューションであり、ほとんどすべてのツールがカバレッジを最適化し、多くの場合、低レベルのカバレッジを実現している。ノイズのことはあまり考えておらず、ベンダーの立場からすると、それがインセンティブになります。製品がテストされ評価される方法であるため、低レベルのカバレッジになるのです。それが原動力であり、現実なのです。また、低レベルのノイジーなカバレッジを開発する方が、実際にシングルを獲得するよりもはるかに安上がりです。アナリストが)アラートで溢れるだけで、カバレッジはある。誤検知もあれば、実際の悪意のある活動もある。すべてのリモートコード実行にフラグを立てれば、悪意のある行為を見つけることができます。また、すべての管理者が自分の仕事をし、それを安価に提供することができる。
実際に問題を解決しているわけではない。問題を助長しているのだ。これはテストなどにも通じることです。MITREを見ると、私たちはすべての検出をこれらのメソッドにマッピングしています。MITREでは、すべての検出をこれらのメソッドにマッピングしています。彼らが行っているテスト(主にEDRに焦点を当てたもの)を見ると、誤検出は全く考慮されていません。悪意のあるメソッドだけです。環境内で発火する。彼らは、これは検知 、そうでなかったか?
通常のものが何万ものアラートを発しているかどうかのチェックはない。もしそれがテストや評価の方法であり、インセンティブが設定された方法であるなら、それをサポートする製品を手に入れることになる。そうなれば、それをサポートする製品を手に入れることになる。セキュリティ・エンジニアリングは、どうすれば理にかなったものになるかを考えるのはあなた方の問題だ、と言うことになる。私たちはこのアプローチで人々を疲れさせようとしています。まず第一に、平均して4,500件ものアラートをアナリストに投げかけているのであれば、クリエイティブなスキルを発揮する時間すらあまりないと思います。それは絶対に間違っている。創造性が生まれない。一番大切なのは、アナリストが創造性を発揮できるようなスペースと時間を作ることだ。アナリストが適切な判断を迅速かつ効率的に下せるよう、関連性のあるもの、文脈、データを与えるのだ。もしそれが本当なら、攻撃を止める。それが、アナリストの能力を最大限に引き出す方法なのです"
Q2: 盲点が増え、妥協が増え、離職が増える。
ケビン:回転率は結果であって、問題の原因ではないと思う。この問題に対処するには、より正確な統合シグナルが必要だ。つまり、攻撃シグナルをどこから得るかをいかに統合するかということだ。常に、1枚のガラスがすべてを支配するという話がたくさんある。しかし、多くのポイント製品を使って一足飛びにそこに到達できる可能性は極めて低い。ですから、時間をかけてどのように統合していくかを考え、私たちベンダーが提供するシグナルの品質について本当に責任を負うべきです。誰が付加価値を提供しているのかを知りたいのであれば、脅威モデルと脅威の敵に基づいたレッドチームを実行し、それが起こったことをツールが示しているかどうか、そしてそれが起こっている間にあなたが知っていたかどうかを確認してください。統合された正確なシグナルを得ることができ、それに対して私たちに責任を持たせることができれば、これらの核心的な問題のいくつかに対処するための長い道のりになるでしょう。
マット:「そして、SOCに一歩下がって、私が見ている問題は、環境内の1つか2つのツールセットに起因している、と言う力を与えることに重点を置いているからです。どのツールに対処するのが一番ひどかったですか?座って、今あるスタックから必要な価値を引き出すことについて、チームと話し合ってみてください。そして、SOCチームの意見を聞きながら、タッチポイントとしてそれを扱うのだ。毎日アラートに溺れ、退職を考えているのであれば、これらの(苦痛の)いくつかはマネジメントの観点から対処することもできると私は考えている。あなたの環境には、あなたのチームだけが知っているユニークなニッチがあるのですから。組織としての弱点は何か?これらの懸念に対処するための素晴らしい方法です。
Q3: より多くの可視化、より多くの検出、より多くのシグナル - SOCアナリストが最も効果的に仕事をこなせる理由は何でしょうか?
マット:バーンアウト(燃え尽き症候群)という考えとともに、自分の声は重要ではないという考えも出てくる。SOCのアナリストが溺れるというのは、まさにそういうことなんだ。面白いことに、昨日か一昨日だったと思いますが、あるディスカッション・フォーラムでこのスレッドを読んでいたんです。もう疲れた。それで終わり。とか「転職を考えている。そして最初のレスポンス 。燃え尽きたら、どこに行くんですか?有効性を考えるとき、どこに最も価値と効率を見出すことができるだろうか?つまり、44%の人が「うちのベンダーはもっとうまくやれるはずだ。ベンダーが送ってくるシグナルに責任を持ち、それを前進の糧とするのだ。
もし私がSOCアナリストの有効性をランク付けしたいのであれば、クローズしたチケットの数はあまり見ていません。見るべきではない。私が見たいのは、昨日はこの作業に2時間かかっていたのに、今日は1時間50分で済んだということです。あなたは時間を節約した。生産性を節約したんだ。どうやったんだ?
もしあなたの目標が、ただできるだけ多くのチケットをクロージングすることだとしたら、そこにあなたのバイアスが生じます。細部への配慮が欠けているために、あなたが得意とする人間的な部分が活かされず、ただ、それがあなたのインセンティブだからという理由だけでチケットを締め切っているのです。この数字は、私たちが予想していたものとほぼ正反対だと感じている。私は、(報告書に)出ているよりももっと不満があると予想していた。
ケビン:SOCアナリストの有効性は、彼らに創造的であるためのスペースと時間を与えることにつながると思います。しかし、(ツールを)選択する際にも重要なことがあります。私たちは多くのSOCチームと仕事をしており、セキュリティ・エンジニアリングは、ツールの選択方法に関する基準についてライン上にいます。他のツールとどのように連動するかを見てください。品質を見てください。レッドチームを実施する。脅威モデルを理解する。
収穫
この1時間の会話の中で、私たちは解決すべき問題はアラートであり、単なるアラートノイズではないことを理解した。核心的な問題は、アラートに対するアプローチである。測定するためのアラートの使用。アラートのオーナーシップと、何がアラートとしてふさわしいかの定義。設定すべき優先順位の観点から、私たちは統合されたシグナルについて話した。シグナルの有効性を統合し、測定する能力。SOCアナリストが、経営陣やセキュリティ・エンジニアリングにシグナルの有効性を伝える発言権を持つようにすること。SOC リーダーは SOC アナリストの肩を叩いて意見を求める必要があるという話をしました。より良い仕事をするためにはどうすればよいのでしょうか?
ケヴィンとマットの話をもっと聞きたいですか?前回の対談「セキュリティにおける "もっと "のスパイラルからの脱却 - なぜセキュリティに必要な唯一の "もっと "は、もっとAttack Signal Intelligence 」はこちらから。