2019年3月18日に発行されたガートナーの調査レポート「Applying Network-Centric Approaches for Threat Detection and Response」(ID:G00373460)の中で、Augusto Barros、Anton Chuvakin、Anna Belakは、SOC Visibility Triadのコンセプトを紹介した。このノートの中で、ガートナーは次のようにアドバイスしている:
"脅威の高度化に伴い、組織は脅威の検知とレスポンス に複数のデータソースを使用する必要がある。ネットワークベースの技術により、技術専門家はエージェントを使用することなく、環境全体にわたる迅速な脅威の可視性を得ることができる。"
出典:Gartner, Applying Network-Centric Approaches for Threat Detection and Response, Augusto Barros et al., March 18, 2019, ID G0037346
調査によれば、「現代の安全保障作戦ツールは、冷戦時代の重要な概念であった『核の三位一体』になぞらえて表現することもできる」。三位一体は、戦略爆撃機、大陸間弾道ミサイル(ICBM)、ミサイル潜水艦で構成されていた。
SOCの3要素
図1に示すように、現代のSOCは独自の可視性の核三要素を持っている:
1.SIEM/UEBAは、ITインフラ、アプリケーション、その他のセキュリティ・ツールによって生成されたログを収集・分析する機能を提供する。
2.エンドポイントの検出とレスポンス、エンドポイントからの実行、ローカル接続、システム変更、メモリ・アクティビティ、その他の操作をキャプチャする機能を提供する。
3.Network-centric detection and Response(NTA、NFT、IDPS)は、本研究で取り上げた、ネットワーク・トラフィックのキャプチャおよび/または分析に焦点を当てたツールによって提供される。"
この三本柱のアプローチにより、SOCは脅威の可視化、検知、レスポンス 、調査、修復の能力を高めることができます。
ネットワークの検知とレスポンス
ネットワークのメタデータは、脅威を発見するための最も信頼できる情報源です。ワイヤ上のトラフィックのみが、完全な忠実性と独立性で隠れた脅威を明らかにします。分析ログのような低解像度の情報源は、あなたが見たものしか示しませんが、攻撃者がスパイ、拡散、窃盗を行う際に避けることのできない基本的な脅威行動は示しません。
NDRソリューションは、主要なネットワーク・メタデータを収集・保存し、機械学習と高度な分析でそれを補強して、企業ネットワーク上の疑わしい活動を検知 。NDRは、正常な動作を反映するモデルを構築し、リアルタイムと履歴の両方のメタデータでモデルを強化します。
NDRは、ネットワーク上のすべてのデバイス間の相互作用を俯瞰します。進行中の攻撃は検知され、優先順位が付けられ、侵害されたホスト・デバイスに関連付けられます。
NDRは、パブリッククラウド、プライベートデータセンターのワークロードから、ユーザーやインターネット・オブ・シングスのデバイスまで、360度の企業全体のビューを提供します。
エンドポイントの検出とレスポンス
エンドポイントの侵害は、マルウェア、未修正の脆弱性、あるいは不注意なユーザーなど、様々な要因によって頻繁に発生しています。モバイルデバイスはパブリックネットワーク上で簡単に侵害され、その後企業ネットワークに再接続され、感染が拡大する可能性があります。モノのインターネット(IoT)デバイスは、セキュリティの脆弱性が極めて高いことで知られています。
EDRソリューションは、従来のウイルス対策よりも高度な機能を備え、エンドポイントまたはホストデバイス上の悪意のあるアクティビティを詳細に追跡します。EDRは、ホストまたはデバイス上で実行されているプロセスとそれらの間の相互作用をリアルタイムかつ詳細なレベルで可視化します。
EDRは、実行、メモリアクティビティ、システムの変更、アクティビティ、修正をキャプチャします。この可視性により、セキュリティアナリストはパターン、行動、侵害の兆候、その他の隠れた手がかりを特定できます。これらのデータは、他のセキュリティインテリジェンスフィードとマッピングすることで、ホスト内部からしか確認できない脅威を検出できます。
エンタープライズSIEM
何十年もの間、セキュリティ・チームはIT環境全体のセキュリティ活動のダッシュボードとしてSIEMに依存してきました。SIEM は、他のシステムからイベント・ログ情報を収集し、データ分析、イベント相関、集計、およびレポートを提供します。
EDRとNDRからの脅威検知を統合することで、SIEMはさらに強力なツールとなり、セキュリティアナリストは攻撃を迅速に阻止できるようになります。インシデントが発生すると、アナリストは影響を受けたホスト・デバイスを迅速に特定できます。アナリストは、攻撃の性質とそれが成功したかどうかを判断するための調査をより簡単に行うことができます。
SIEMはまた、ファイアウォールやNACなどの他のネットワーク・セキュリティ・コントロールと通信し、悪意のあるアクティビティをブロックするよう指示することもできます。脅威インテリジェンスのフィードにより、SIEM は攻撃をプロアクティブに防止することもできます。
サイバー攻撃を発見し阻止するための統合的アプローチ
NDR、EDR、SIEMの3つを統合したセキュリティチームは、インシデント対応や脅威ハンティングにおいて、より幅広い質問に答えることができます。例えば、以下のような疑問に答えることができます。
- 危険にさらされた可能性のあるアセットと通信した後、別のアセットが奇妙な行動を取り始めたか?
- どのようなサービスとプロトコルを使用しましたか?
- 他にどのような資産や口座が関係している可能性があるか?
- 他のアセットが同じ外部コマンド&コントロールIPアドレスにコンタクトしていないか?
- ユーザ・アカウントが他のデバイスで予期せぬ方法で使用されていないか?これらを組み合わせることで、すべてのリソースが迅速かつ適切に連携して対応できるようになり、セキュリティ運用の効率が向上し、最終的にビジネスのリスクを高める滞留時間が短縮される。
世界経済フォーラムによると、サイバー犯罪による経済損失は2020年までに3兆ドルに達すると予測されています。国家や犯罪者は国境のないデジタル世界を悪用していますが、SOCは可視性の核となる三本柱を採用することで、組織の機密データと重要な業務を保護することができます。
世界中の専門家や企業から信頼されています
