Shifting from legacy PCAP to AI-driven threat detection

今日の脅威に対して昨日のPCAPに頼ることはできない。

The State of Threat Detection 2023によると、セキュリティアナリストの97%が関連するセキュリティ・イベントを見逃すことを心配している1。ハイブリッドクラウド環境を保護するサイバーセキュリティ・チームにとって、脅威の検出とレスポンス は最優先事項である。実際、アナリストの3分の2近くが、過去3年間で攻撃対象の規模が拡大したと回答しています。

パケット・キャプチャ (PCAP) ソリューションを活用している企業は、主にネットワーク・パーミッタ・モニタリング・ソリューションに依存しています。このソリューションは必要以上のスペースを取り、データセンター、アイデンティティ、SaaS、パブリッククラウドインフラストラクチャにまたがるリアルタイムで発生するハイブリッド攻撃に対処できません。

オンプレミスとクラウドインフラストラクチャの両方を含む、進化するハイブリッドクラウドの世界では、PCAPは役に立ちません。PCAPの強みは、主にオンプレミス環境のネットワーク監視に依存しているため、悪意ある行為者が悪用するための大きなギャップと脆弱性が残されている。

PCAPの課題

1.業務の非効率性

膨大なストレージ・ボリュームを常に維持・管理することで、パフォーマンスに影響を与え、SOCチームを遅らせる。さらに、PCAPソリューションは非常に限られたメタデータのサブセットしか利用しません。

2.暗号化を見破る

インターネットトラフィックの97%は暗号化されている。PCAPから真価を引き出すには、南北のトラフィックを完全に復号化する必要があり、それにはさまざまなリソースと時間が必要となる。

3.最新の脅威検知

AI主導の検出の欠如 - 脅威検知モデルは主に既知の攻撃に基づいており、最新のライブ・オフ・ザ・ランド攻撃を正確に検知 。PCAP は主にネットワーク監視およびレスポンス システムとして実装されており、リアルタイムでは機能しない。

4.調査の課題

PCAPソリューションは、今日のハイブリッドクラウドの脅威に対する調査を可能にするものではなく、リアクティブ・モデルに基づいている。また、今日のハイブリッドクラウド攻撃に対する即時調査や高度な調査はできません。

5.コスト制約

ペタバイトのPCAPデータを保存することは非常に高価であり、リソースを有効に活用できないことが多い。PCAP ソリューションはmalware 分析を提供しますが、エンドポイント検出およびレスポンス (EDR) などの他のサイバーセキュリティ・ソリューションよりも効果的ではありません。

6.統合の制限

PCAPシステムはSIEMなどの他のソリューションとうまく統合できないため、SOCチームは通信できないさまざまなソリューションを常に切り替えなければならず、ツールの乱立やアナリストの燃え尽き症候群を引き起こしています。

7.プライバシーに関する懸念

組織のすべての機密データを収集することで、PCAPソリューションは、SOCにフォレンジックを提供するためにデータ上で暗号化方法を実行しなければならず、プライバシー侵害につながる可能性がある。

考慮すべき主な基準

ハイブリッド・アタッカーのように考える

SOCチームは攻撃者の思考回路を身につけ、ハイブリッド攻撃者がどこをターゲットにし、どこに侵入するかを評価する必要があります。今日、SOCチームは、主にネットワーク境界に焦点を当てたIDSやPCAPソリューションのような様々な検出およびレスポンス テクノロジーに依存しており、脅威検知を複雑な課題にしています。SOCアナリストに多くの脅威検知シグナルを送るサイロ化されたソリューションが多すぎるのです。セキュリティ・チームは、特定の攻撃サーフェスからフォーカスを移し、1つの巨大な攻撃サーフェスを見ている攻撃者のように考え始める必要がある。攻撃シグナルがサイロ化され、分離されればされるほど、マルウェアの実行やデータ侵害の成功を狙うハイブリッド攻撃を検知する際の遅延が増大する。

ハイブリッド・アタッカーのスピードで動く

レガシーPCAPソリューションを迂回しようとするハイブリッド攻撃者は、特定のインスタンスでは解析されないかもしれないメタデータに注目します。攻撃者はまた、横方向の移動の試みとして、お客様の環境を東西南北に移動することを狙っています。攻撃者がお客様の環境に侵入した場合、ハイブリッドクラウド内での攻撃の進行を評価するためには、攻撃者のすべての動きに関する相関関係とコンテキストが極めて重要です。膨大な量のメタデータを解析し、インシデントを本格的に調査する前に暗号化に頼ってしまうと、調査とレスポンス のプロセスが大幅に遅くなってしまいます。攻撃者のスピードで動くには、検知プロセスの初期段階でレイテンシをできるだけ取り除き、その上でトリアージ、優先順位付け、調査、レスポンス 。検出の遅延は、攻撃者が攻撃のキルチェーン全体を高速で移動するための優位性を与えるものです。

成功の鍵

今日の進化するハイブリッド攻撃に対応するために、SOCチームは3つの重要な分野に焦点を当てることで、リアルタイムで攻撃の優先順位付けに集中することができます：

アタック・サーフェス・カバレッジ

アイデンティティ、パブリッククラウド、SaaS、データセンター・ネットワークにまたがる包括的な可視性を提供する、ハイブリッド攻撃サーフェス全体にわたる統合された攻撃遠隔測定。さらに、統合されたシグネチャベースの検知、AI主導の振る舞いベースの検知、ハイブリッド全体にわたる脅威インテリジェンスクラウド、あらゆるハイブリッド攻撃手法を完全にカバーします。

アタック信号の明瞭度

統合されたリアルタイムのAI主導の攻撃シグナル。AIを活用し、クラウドハイブリッド環境全体の脅威検知、トリアージ、優先順位付けをリアルタイムで自動化。イベント中心の脅威検知から、エンティティ中心の攻撃シグナルにフォーカスを移します。エンティティ中心の攻撃シグナルは、任意の瞬間に攻撃を受けているホストとアカウントに関する忠実度の高いアラートを提供します。そうすることで、アナリストの疲労を大幅に軽減し、全体的な生産性を向上させることができます。エンティティ中心のアプローチに移行することで、ハイブリッド攻撃の優先順位付けの待ち時間が短縮されます。

統合制御

ハイブリッド攻撃者のスピードと規模に対応した、統合され、自動化され、共同管理された調査およびレスポンス 機能を SOC アナリストに提供します。すべてのコンテキストとコントロールを24時間365日、アナリストの指先で操作できるようにすることで、アナリストのワークフローから調査とレスポンス の待ち時間をできるだけなくします。さらに、人材リソースが不足し、スキルセットが不足している場合には、共同管理サービスを活用してSOCチームを補強します。ハイブリッド攻撃のコンテキスト、コントロール、および共同管理リソースのすべてを統合して集約することにより、ハイブリッド攻撃の調査とレスポンス の待ち時間を短縮することができます。

統合されたハイブリッド攻撃シグナルのためにPCAPを引退させ、ハイブリッド攻撃の検出、調査、レスポンス レイテンシーを削減する場合、Vectra AI がお役に立ちます。Vectra AI Platformは、パブリッククラウド、アイデンティティ、SaaS、およびデータセンターネットワーク全体の攻撃対象範囲を提供することにより、拡張検出およびレスポンス (XDR) を強化する統合シグナルを提供します。特許取得済みのAttack Signal IntelligenceTMは、攻撃を受けているエンティティに優先順位を付け、統合された自動化および共同管理（レスポンス ）により、攻撃が侵害になるのを阻止します。