アイデンティティ脅威検知とレスポンス

Identity Threat Detection and Response（ITDR）は、サイバーセキュリティにおける重要な進歩であり、サイバー攻撃の主な標的であることが多いアイデンティティとクレデンシャルの保護に重点を置いています。ユーザー ID に対する脅威を検出して対応することで、ITDR は組織のリソースへのアクセスを保護し、正当なユーザーだけがアクセスできるようにします。

アイデンティティとは何か、アイデンティティ攻撃に対する防御の課題は何か。

アイデンティティは現代の企業の中心である。SaaSアプリケーション、パブリック・クラウド、セキュア・ウェブ・ゲートウェイ、ADサービス、ローカル・サービスなど、クラウド・アイデンティティとネットワーク・アイデンティティ、マシン・アイデンティティとヒューマン・アイデンティティの両方が存在する。過去1年間で、98%の企業でアイデンティティが増加した¹。人間のID1つに対して、45のマシンやサービスのIDが存在する²。62%が機密データや^資産にアクセスする人間やマシンを可視化できていない2。

なぜITDRが必要なのか？

ランサムウェア・ギャング、国家攻撃者、プロのサイバー犯罪者など、さまざまなタイプの攻撃者が攻撃にIDを悪用しているため、IDは現代の攻撃の中心となっている。そのため、組織の90%が過去1年間にID攻撃を経験している¹。

さらに、ID攻撃が成功すると、組織には莫大なコストがかかる。例えば、Oktaは時価総額で20億ドルの損失を被り、すべてのカスタマー・サポート・ユーザーのデータを失った。MGMは1日あたり最大840万ドルの損失を被り、Caesars Palaceは1500万ドルの身代金を支払った。実際、企業の68％がID侵害による直接的なビジネス上の影響を受けている¹。

攻撃者がMFAと防御を回避するケースが増えているため、防御とアイデンティティ・ポスチャ管理を実施している組織は、依然としてアイデンティティ攻撃に対して脆弱である。ガートナー社によると、ITDRは予防が失敗した後の第2、第3の防御層として機能する。

アイデンティティ脅威の検知と対応（ITDR ）は、組織が貴重な資産を保護し、損害やビジネスへの影響が生じる前にアイデンティティの脅威を阻止するために極めて重要である。

ガートナーのITDRビジョン

Gartner Hype Cycle for Security Operations 2023 は、ITDR が高いベネフィット評価を得ていることを強調している。組織のアイデンティティ・インフラを確保することは、セキュリティ運用にとってミッション・クリティカルであると述べられている。

組織のアカウントが侵害されたり、パーミッションが誤って設定されたり、ID インフラ自体が侵害されたりすると、攻撃者はシステムをコントロールできるようになる。

したがって、ID インフラを保護し、ID 攻撃を防御することは最優先事項でなければならない。

アイデンティティ脅威の検知と対応はどのように機能するのか？

非常に効率的なITDRソリューションは、最先端の機械学習アルゴリズムとAIモデルを採用し、組織のネットワークとクラウド内のアイデンティティ（ネットワーク、クラウド、人間、機械、サービスのアイデンティティ）の挙動を分析します。

これらのソリューションは、ユーザーの行動、権限、アクセスパターンを追跡し、確立された規範からの逸脱を特定します。これらの行動を既知の脅威モデルにマッピングすることで、ITDRソリューションは潜在的な脅威を高い精度で突き止めることができます。  

ITDR ソリューションは、リアルタイムのアラートと洞察を提供し、セキュリティチームが潜在的な脅威に迅速に対応できるようにします。また、ID・アクセス管理（IAM）システムやセキュリティ情報・イベント管理（SIEM）プラットフォームなど、他のサイバーセキュリティツールやソリューションとシームレスに統合し、脅威の検出と対応への包括的なアプローチを提供します。

アイデンティティの脅威の検知と対応にはどのような利点があるのか？  

1. ハイブリッド攻撃サーフェス全体にわたるアイデンティティの継続的なモニタリング
   ITDRソリューションは、組織のネットワークとクラウド環境全体にわたって、ネットワーク、クラウド、人間と機械のアカウント、アクセス許可、および関連するアクティビティを含むすべてのアイデンティティの継続的な可視性を提供します。この可視性は、データセンターからクラウドまで、さまざまなユーザータイプ、場所、デバイスタイプ（IoTデバイスやプリンターを含む）に及びます。    
2. サービスアカウントと管理者アカウントの保護
   先進的なITDRソリューションは、AIを積極的に使用してサービスアカウントと管理者アカウントを検出および監視し、これらのアカウントが明確に定義されていない場合やラベル付けされていない場合でも、これらのアカウントの保護を提供します。      
3. 高度な脅威検知のためのアナリティクスとAI
   先進的な ITDR ソリューションは、異常な活動やアイデンティティに関連する脅威をモデル化し、検知 するために、解析と機械学習を振る舞い います。これらのソリューションは、シグネチャベースの検知に依存するのではなく、永続性、特権昇格、防御回避、クレデンシャルアクセス、発見、横移動、データ収集、コマンド＆コントロール（C2）活動、データ流出などの能動的な攻撃を特定することに重点を置いています。    
4. AI Enhance Security Operations Center (SOC) Efficiency
   By Cutting Down NoiseAI主導 ITDRソリューションは、特権を理解し、単純なUEBA異常では得られない明確なシグナルを提供します。脅威の検知と対応の多くの側面を自動化し、ノイズを削減することでセキュリティ・オペレーション・センター（SOC）の効率を大幅に改善します。サイバーセキュリティの専門家が不足し続けているにもかかわらず、これらのソリューションは自然言語で詳細な攻撃の再構築を提供し、アラートに迅速かつ包括的に対応するために必要な情報をアナリストに提供します。    
5. リアルタイムの自動応答
   ITDR ソリューションは、高度な攻撃や不審な動作を検知するだけでなく、自動的に応答し、攻撃をリアルタイムでシャットダウンする機能を提供します。また、EDR（Endpoint Detection and Response）などの他のサイバーセキュリティ製品とシームレスに統合し、セキュリティ対策を強化することもできます。  

効果的なアイデンティティ脅威の検知と対応ソリューションの価値とは？

効果的な ITDR ソリューションは、ネットワークやクラウドの検出と相関し、サイロではなく、他のツールの範囲内で動作します。このソリューションにより、組織は以下のことが可能になります：  

• ランサムウェアを早期に阻止する
• フィッシングによる侵害を阻止
• 安全なサービス・アカウント・スプロール  
• 特権的アイデンティティを守る  
• アイデンティティインフラを守る  
• アイデンティティに基づく横の動きを止める  
• 安全なZScaler接続  
• 内部脅威の監視  
• IDの使用状況をプロアクティブに監視

アイデンティティ脅威の検知と対応の進化  

ガートナー社によると、ITDRはIAMチームとセキュリティチーム間の調整を必要とする。組織は、PAM や IGA などの基礎的な IAM インフラストラクチャ・ハイジーンを ITDR と組み合わせ、IAM プログラムに統合することを推奨している。アイデンティティの攻撃手法を監視し、アイデンティティとアクセス制御を保護し、攻撃が発生したときに検知 し、迅速な修復を可能にするツールを使用して、アイデンティティ・インフラストラクチャの安全性 を確保することを優先することが重要である。MITRE ATT&CK フレームワークも使用して、ITDR 手法と攻撃シナリオを関連付け、少なくともよく知られた攻撃 ベクトルに対処していることを確認する。

アイデンティティはますます敵に狙われるようになっており、ITDRの導入は単なるオプションではなく、必要不可欠なものとなっています。Vectra AIは、セキュリティチームがアイデンティティの脅威をプロアクティブに検知 し、対応できるようにする高度なITDRソリューションを提供する最先端企業です。組織の最も重要な資産であるアイデンティティの安全確保をどのように支援できるかについては、弊社までお問い合わせください。

Vectra AI ITDRについて詳しくはこちら >Vectra AI ITDRについて詳しくはこちら