2019年3月18日に発行されたガートナーの調査レポート「Applying Network-Centric Approaches for Threat Detection and Response」(ID:G00373460)の中で、Augusto Barros、Anton Chuvakin、Anna Belakは、SOC Visibility Triadのコンセプトを紹介した。このノートの中で、ガートナーは次のようにアドバイスしている:
"脅威の高度化に伴い、組織は脅威の検知とレスポンス に複数のデータソースを使用する必要がある。ネットワークベースの技術により、技術専門家はエージェントを使用することなく、環境全体にわたる迅速な脅威の可視性を得ることができる。"
出典:Gartner, Applying Network-Centric Approaches for Threat Detection and Response, Augusto Barros et al., March 18, 2019, ID G0037346
調査によれば、「現代の安全保障作戦ツールは、冷戦時代の重要な概念であった『核の三位一体』になぞらえて表現することもできる」。三位一体は、戦略爆撃機、大陸間弾道ミサイル(ICBM)、ミサイル潜水艦で構成されていた。
SOCの3要素
図1に示すように、現代のSOCは独自の可視性の核三要素を持っている:
1.SIEM/UEBAは、ITインフラ、アプリケーション、その他のセキュリティ・ツールによって生成されたログを収集・分析する機能を提供する。
2.エンドポイントの検出とレスポンス、エンドポイントからの実行、ローカル接続、システム変更、メモリ・アクティビティ、その他の操作をキャプチャする機能を提供する。
3.Network-centric detection and Response(NTA、NFT、IDPS)は、本研究で取り上げた、ネットワーク・トラフィックのキャプチャおよび/または分析に焦点を当てたツールによって提供される。"
この3本柱のアプローチにより、SOCは脅威の可視化、検知、レスポンス 、調査、修復の能力を高めることができる。
ネットワークの検知とレスポンス
ネットワークのメタデータは、脅威を発見するための最も信頼できる情報源です。ワイヤ上のトラフィックのみが、完全な忠実性と独立性で隠れた脅威を明らかにします。分析ログのような低解像度の情報源は、あなたが見たものしか示しませんが、攻撃者がスパイ、拡散、窃盗を行う際に避けることのできない基本的な脅威行動は示しません。
NDRソリューションは、主要なネットワーク・メタデータを収集・保存し、機械学習と高度な分析でそれを補強して、企業ネットワーク上の疑わしい活動を検知 。NDRは、正常な動作を反映するモデルを構築し、リアルタイムと履歴の両方のメタデータでモデルを強化します。
NDRは、ネットワーク上のすべてのデバイス間の相互作用を俯瞰します。進行中の攻撃は検出され、優先順位が付けられ、侵害されたホスト・デバイスに関連付けられます。
NDRは、パブリッククラウド、プライベートデータセンターのワークロードから、ユーザーやインターネット・オブ・シングスのデバイスまで、360度の企業全体のビューを提供します。
エンドポイントの検出とレスポンス
malware 、パッチが適用されていない脆弱性や不注意なユーザーなど、エンドポイントの侵害はあまりにも一般的です。モバイル・デバイスは、公衆ネットワーク上で簡単に侵害され、企業ネットワークに再接続され、感染が広がる可能性があります。モノのインターネット(IoT)デバイスは、安全でないことで有名です。
EDR ソリューションは、エンドポイントまたはホストデバイス上の悪意のあるアクティビティを詳細に追跡することで、従来のアンチウイルスよりも高度な機能を提供します。EDRは、ホストやデバイス上で実行されているプロセスや、それらの間の相互作用について、リアルタイムのグランドレベルのビューを提供します。
EDRは、実行、メモリ・アクティビティ、システムの変更、アクティビティ、修正をキャプチャします。この可視性は、セキュリティアナリストがパターン、行動、侵害の指標、その他の隠れた手がかりを発見するのに役立ちます。このデータは、他のセキュリティ・インテリジェンス・フィードと照合して、検知 、ホスト内部からしか見えない脅威を発見することができます。
エンタープライズSIEM
何十年もの間、セキュリティ・チームはIT環境全体のセキュリティ活動のダッシュボードとしてSIEMに依存してきました。SIEM は、他のシステムからイベント・ログ情報を収集し、データ分析、イベント相関、集計、およびレポートを提供します。
EDRとNDRからの脅威検知を統合することで、SIEMはさらに強力なツールとなり、セキュリティアナリストは攻撃を迅速に阻止できるようになります。インシデントが発生すると、アナリストは影響を受けたホスト・デバイスを迅速に特定できます。アナリストは、攻撃の性質とそれが成功したかどうかを判断するための調査をより簡単に行うことができます。
SIEMはまた、ファイアウォールやNACなどの他のネットワーク・セキュリティ・コントロールと通信し、悪意のあるアクティビティをブロックするよう指示することもできます。脅威インテリジェンスのフィードにより、SIEM は攻撃をプロアクティブに防止することもできます。
サイバー攻撃を発見し阻止するための統合的アプローチ
NDR、EDR、SIEMの三位一体を導入したセキュリティチームは、インシデントに対応する際や脅威を探索する際に、より幅広い質問に答えることができるようになります。例えば、次のような質問に答えることができる:
- 危険にさらされた可能性のあるアセットと通信した後、別のアセットが奇妙な行動を取り始めたか?
- どのようなサービスとプロトコルを使用しましたか?
- 他にどのような資産や口座が関係している可能性があるか?
- 他のアセットが同じ外部コマンド&コントロールIPアドレスにコンタクトしていないか?
- ユーザ・アカウントが他のデバイスで予期せぬ方法で使用されていないか?これらを組み合わせることで、すべてのリソースが迅速かつ適切に連携して対応できるようになり、セキュリティ運用の効率が向上し、最終的にビジネスのリスクを高める滞留時間が短縮される。
世界経済フォーラムによると、サイバー犯罪による経済損失は2020年までに3兆ドルに達すると予測されている。国家や犯罪者はボーダーレスなデジタル世界を利用しているが、SOCは可視性の核となる3要素を採用することで、組織の機密データや重要な業務を守ることができる。
世界中の専門家や企業から信頼されています
