準備からフォローアップに至るまで、組織はインシデントレスポンス への合理的なアプローチの開発に取り組み続けている。サイバーセキュリティインシデントに効果的に対応し、これを阻止するには、人、プロセス、ツール、およびデータが調和して連携する必要があります。残念ながら、現代のセキュリティ・オペレーション・センター (SOC) では、このようなレベルの調和は稀です。そこで、最新のセキュリティ運用チームがリソースを効果的に活用し、インシデントに効率的に対応するためのワークフロー統合の重要性を探ってみましょう。
インシデントに関する現在の問題点レスポンス プロセス
以下の3つの統計だけでも、インシデントの現状を痛烈に物語っているレスポンス :
- データ漏洩を封じ込めるまでの平均期間は80日である。
- インシデント対応に関する2021年のレポートによると、セキュリティチームの最大54パーセントが、インシデント対応プロセスを遅らせる低レベルのアラートの調査に貴重な時間を浪費している。
- 企業のネットワークには平均45のサイバーセキュリティツールが導入されており、テクノロジースタックの連携がより難しくなっているほか、サイバーセキュリティインシデントを検知して封じ込める能力にも支障をきたしている。
これらの統計は、セキュリティ運用チームが異種のツールやプロセスを統合する方法について、根本的な統合不足があることを示している。
国家や営利団体が組織を標的にする脅威の数は劇的に増加している。ハイブリッド・インフラ(クラウド)とリモート・ワークフォースを特徴とする現代のIT環境は、アタックサーフェスを拡大しています。インシデントに迅速に対応するために、セキュリティチームが最新の攻撃の流入に備えるには、構造化された統合ワークフローが不可欠です。
ワークフロー統合は、セキュリティインシデントに効果的に対応するという観点だけでなく、ビジネスの観点からも重要です。SOCアナリストのような熟練したセキュリティ専門家が、インシデントのコンテキストを理解するためだけに異なるアプリケーション間を行き来することに多くの時間を費やしている場合、組織は貴重なリソースを浪費してしまいます。最近の調査によると、回答者の51パーセントがSOCのROIが悪化していると回答し、80パーセントがSOCの複雑性が非常に高いと評価しています。
インシデントを改善するソリューションレスポンス
金融サービス業界だけでも、企業は従業員1人当たり最大3,000ドルをサイバーセキュリティに費やしているが、銀行やその他の金融機関は、こうした投資にもかかわらず、依然としてインシデントに適切に対応できていない。より優れた戦略的アプローチが必要なのは明らかだ。今日の状況における効果的なインシデントレスポンス には、構造化された体系的なワークフローの一環として、システム間の自動化と統合が必要である。
統合オートメーション
自動化によって、反復的なタスクを実行する必要性がなくなるため、セキュリティ専門家はより生産的な時間を確保できるようになります。インシデントレスポンス のすべての側面を自動化することは賢明でも現実的でもありませんが、アラートの生成やインシデントチケットを作成して SOC チームに通知するといったタスクを自動化することは理にかなっています。
ここでの重要なポイントは、異なるシステム間で自動化の努力を集中させることである。そうすることで、テクノロジースタックは、対応プロセスにおいてしばしばボトルネックを生み出す孤立した島ではなく、まとまりのあるユニットとして機能するようになる。つまり、自動化は、侵入またはエンドポイント検知レベルからSIEMシステム、発券システムまで統合されるべきである。システム間の統合を容易にするAPI駆動型ソリューションを模索することで、インシデント対応ワークフロー全体で必要な自動化レベルを強化することができる。
効率的なインシデントレスポンス 、自動化マシンのもう一つの重要な歯車は人工知能(AI)である。企業は、検知 インシデントにかかる時間を数日から数分に短縮する必要がある。機械学習モデルによって駆動されるソリューションは、振る舞い 分析を使用して脅威の検知を自動化することができます。このAI主導 自動化により、セキュリティ・インシデントの迅速なレスポンス と修復が可能になります。
構造化されたワークフロー
形式化され、構造化され、反復可能なインシデントレスポンス ワークフローは、セキュリティチームがアラートのトリアージに煩わされることなく対応できるようにするために不可欠です。SIEM ソリューションは、セキュリティデータの一元的なビューを提供しますが、非効率的なプロセスと相まって、膨大な量のデータが SOC のセキュリティイベントへの対応(レスポンス )を遅らせます。
自動化を取り入れた一連のタスクを中心とするワークフローによって、さまざまなセキュリティツールから得られた複数の調査結果を統合し、実行可能な項目に変換することができる。ワークフローは、ユーザ・アイデンティティの侵害などのセキュリティインシデントの調査を実行するために、チームが従うことができる論理的なフローを確立する。ワークフローは、誰に警告すべきか、ID 漏えいの可能性が指摘されたときに何をすべきか、ID 漏えいを示すデータとは何か、復旧に必要な手順とは何かを確立する。
構造化されたワークフローは、一貫性があり、予測可能で、スムーズなインシデントレスポンス プロセスを保証する。ワークフローの基本的な構成要素は、レスポンス のトリガーとなるイベントを開始すること、実行されるアクションと決定、および事前に定義された条件に基づいて望ましい結果を表すことによってループを閉じる終了状態である。以下のような一般的なセキュリティイベントに対するワークフローの作成を開始する:
- パスワードの漏洩
- 電子メールアカウントの乗っ取り
- Malware 発生
ワークフローを整備した上で、可能な限りタスクに自動化を適用し、システム内の自動化とシステム間の自動化の両方を実現する。これにより、SOCスタッフは面倒で時間のかかる作業から解放され、レスポンス 。例えば、新しいデバイスがネットワークに接続されると、自動脆弱性スキャンが実行され、SIEMの自動アラートがトリガーされる。
レスポンス malware 、自動化され統合されたインシデント ワークフローの簡単な例を示す:レスポンス
- 検知ソリューションは、マルウェアの発生を示す事前に定義されたしきい値に基づいて、マルウェアアラートをトリガーし、SIEMシステムに転送します。
- インシデントチケットは、SOCチーム用に自動的に作成されます。
- チケットは、マルウェアの発生に関するコンテキスト情報で自動的に更新され、セキュリティアナリストの迅速な調査を可能にします。
- インシデントの責任者が取るべき行動を決定すると、チケットは解決され、検知ソリューションの元のアラートを自動的に更新することでループが閉じられる。
SOCの生産性の向上、セキュリティツールのROIの向上、レスポンス 時間の短縮は、ワークフローの統合と自動化の最も重要なメリットです。SOCのための自動化され統合されたワークフローを本当に戦略化するためには、時間をかける価値があります。
インシデントレスポンス 、次のレベルに進みましょう。 セルフサービスデモ今すぐ!