セキュリティチームの可視性

セキュリティ・オペレーション・センターは、進行中の攻撃全体を把握しているか？

前例のないサイバー犯罪が証明しているように、従来のセキュリティ防御はその有効性を失っている。脅威は、暗号化されたトラフィックの中に隠れたり、トンネルの中に隠れたりしながら、長期間にわたって活動するステルス性を持っています。このようにますます巧妙化する脅威に対して、セキュリティチームは環境全体にわたる迅速な脅威の可視化を必要としています。

2019 年 3 月 18 日に発行された Gartner の調査レポート「脅威の検知とレスポンスのためのネットワーク中心のアプローチの適用」(ID: G00373460) で、Augusto Barros、Anton Chuvakin、Anna Belak が SOC 可視性トライアドの概念を紹介しました。

このレポートの中でガートナーはこうアドバイスしています。

「脅威の高度化が進むにつれ、組織は脅威検知とレスポンスのために複数の技術データソースを活用する必要が生じています。ネットワークベースのテクノロジーにより、専門家はエージェントを介さずに環境全体にわたる脅威を迅速に可視化できます。」

なぜSOCは「可視性の3要素」を必要とするのか？

調査によると、「現代のセキュリティオペレーションツールは、冷戦時代の主要概念である『核の三本柱』に例えることができます。この三本柱は、戦略爆撃機、大陸間弾道ミサイル（ICBM）、ミサイル搭載潜水艦で構成されていました。上の図に示すように、現代のSOCには独自の核の三本柱があり、具体的には以下のようになります。

1. SIEM/UEBAは、ITインフラ、アプリケーション、その他のセキュリティ・ツールによって生成されたログを収集・分析する機能を提供する。
2. エンドポイントの検出と応答は、エンドポイントからの実行、ローカル接続、システム変更、メモリ・アクティビティ、その他の操作をキャプチャする機能を提供する。
3. ネットワーク中心の検知とレスポンス (NTA、NFT、IDPS)は、この研究で取り上げたように、ネットワーク・トラフィックのキャプチャや分析に重点を置いたツールによって提供される。

この三本柱のアプローチにより、SOCは脅威の可視化、検知、レスポンス 、調査、修復の能力を高めることができます。

ネットワークの検知とレスポンスの役割

ネットワークのメタデータは、脅威を発見するための最も信頼できる情報源です。ワイヤ上のトラフィックのみが、完全な忠実性と独立性で隠れた脅威を明らかにします。分析ログのような低解像度の情報源は、あなたが見たものしか示しませんが、攻撃者がスパイ、拡散、窃盗を行う際に避けることのできない基本的な脅威行動は示しません。

NDRソリューションは、主要なネットワーク・メタデータを収集・保存し、機械学習と高度な分析でそれを補強して、企業ネットワーク上の疑わしい活動を検知 。NDRは、正常な動作を反映するモデルを構築し、リアルタイムと履歴の両方のメタデータでモデルを強化します。

NDRは、ネットワーク上のすべてのデバイス間の相互作用を俯瞰します。進行中の攻撃は検知され、優先順位が付けられ、侵害されたホスト・デバイスに関連付けられます。

NDRは、パブリッククラウド、プライベートデータセンターのワークロードから、ユーザーやインターネット・オブ・シングスのデバイスまで、360度の企業全体のビューを提供します。

Vectra AIのネットワーク検知とレスポンスソリューションについてもっと読む

エンドポイント検知とレスポンスの役割

エンドポイントの侵害は、マルウェア、未修正の脆弱性、あるいは不注意なユーザーなど、様々な要因によって頻繁に発生しています。モバイルデバイスはパブリックネットワーク上で簡単に侵害され、その後企業ネットワークに再接続され、感染が拡大する可能性があります。モノのインターネット（IoT）デバイスは、セキュリティの脆弱性が極めて高いことで知られています。

EDRソリューションは、従来のウイルス対策よりも高度な機能を備え、エンドポイントまたはホストデバイス上の悪意のあるアクティビティを詳細に追跡します。EDRは、ホストまたはデバイス上で実行されているプロセスとそれらの間の相互作用をリアルタイムかつ詳細なレベルで可視化します。

EDRは、実行、メモリアクティビティ、システムの変更、アクティビティ、修正をキャプチャします。この可視性により、セキュリティアナリストはパターン、行動、侵害の兆候、その他の隠れた手がかりを特定できます。これらのデータは、他のセキュリティインテリジェンスフィードとマッピングすることで、ホスト内部からしか確認できない脅威を検出できます。

Vectra AIEDRとの連携

エンタープライズSIEMの役割

何十年もの間、セキュリティ・チームはIT環境全体のセキュリティ活動のダッシュボードとしてSIEMに依存してきました。SIEM は、他のシステムからイベント・ログ情報を収集し、データ分析、イベント相関、集計、およびレポートを提供します。

EDRとNDRからの脅威検出を統合することで、SIEMはさらに強力なツールとなり、セキュリティアナリストは攻撃を迅速に阻止できるようになります。インシデントが発生すると、アナリストは影響を受けたホスト・デバイスを迅速に特定できます。アナリストは、攻撃の性質とそれが成功したかどうかを判断するための調査をより簡単に行うことができます。

SIEMはまた、ファイアウォールやNACなどの他のネットワーク・セキュリティ・コントロールと通信し、悪意のあるアクティビティをブロックするよう指示することもできます。脅威インテリジェンスのフィードにより、SIEM は攻撃をプロアクティブに防止することもできます。

Vectra AISIEMとの連携

SOC Visibility Triad：サイバー攻撃を発見し阻止するための統合アプローチ

NDR、EDR、SIEMの3つを統合したセキュリティチームは、インシデント対応や脅威ハンティングにおいて、より幅広い質問に答えることができます。例えば、以下のような疑問に答えることができます。

• 危険にさらされた可能性のあるアセットと通信した後、別のアセットが奇妙な行動を取り始めたか？
• どのようなサービスとプロトコルを使用しましたか？
• 他にどのような資産や口座が関係している可能性があるか？
• 他のアセットが同じ外部コマンド＆コントロールIPアドレスにコンタクトしていないか？
• そのユーザーアカウントは、他のデバイスで予期せぬ方法で使用されていないか？

これらを組み合わせることで、すべてのリソースにわたって迅速かつ適切に調整された対応が可能になり、セキュリティ運用の効率が向上し、最終的にビジネスのリスクにつながる滞留時間が短縮されます。

国家や犯罪者は国境のないデジタル世界を悪用していますが、SOC は可視性の核となる 3 要素を採用することで、組織の機密データと重要な業務を保護することができます。

今すぐお問い合わせください。効果的な SOC 可視性トライアド戦略の実装と組織のサイバー防御の強化を当社がどのように支援できるかをご案内します。