セキュリティ・チームの可視性

セキュリティ・オペレーション・センターは、進行中の攻撃全体を把握しているか？

【英・仏・独語版レポート】前例のないサイバー犯罪が証明しているように、従来のセキュリティ防御はその有効性を失っている。脅威は、暗号化されたトラフィックの中に隠れたり、トンネルの中に隠れたりしながら、長期間にわたって活動するステルス性を持っています。このようにますます巧妙化する脅威に対して、セキュリティチームは環境全体にわたる迅速な脅威の可視化を必要としています。

2019年3月18日に発行されたガートナーの調査レポート「Applying Network-Centric Approaches for Threat Detection and Response」（ID：G00373460）では、Augusto Barros氏、Anton Chuvakin氏、Anna Belak氏がSOC Visibility Triadのコンセプトを紹介している。

このメモの中で、ガートナーはこうアドバイスしている：

「脅威の高度化に伴い、企業は脅威の検知と対応に複数のデータソースを使用する必要があります。ネットワークベースの技術により、技術専門家はエージェントを使用することなく、環境全体の脅威を迅速に可視化することができます。"

なぜSOCは「可視性の3要素」を必要とするのか？

調査によれば、「現代の安全保障作戦ツールは、冷戦時代の重要な概念である『核の三位一体』になぞらえて表すこともできる」。この三位一体は、戦略爆撃機、大陸間弾道ミサイル（ICBM）、ミサイル潜水艦で構成されていた。上の画像に示すように、現代のSOCは独自の核の三位一体を持っている：

1. SIEM/UEBAは、ITインフラ、アプリケーション、その他のセキュリティ・ツールによって生成されたログを収集・分析する機能を提供する。
2. エンドポイントの検出と応答は、エンドポイントからの実行、ローカル接続、システム変更、メモリ・アクティビティ、その他の操作をキャプチャする機能を提供する。
3. ネットワーク中心の検知と対応 （NTA、NFT、IDPS）は、この研究で取り上げたように、ネットワーク・トラフィックのキャプチャや分析に重点を置いたツールによって提供される。

この3本柱のアプローチにより、SOCは脅威の可視化、検知、レスポンス 、調査、修復の能力を高めることができる。

ネットワークの検知と対応の役割

ネットワークのメタデータは、脅威を発見するための最も信頼できる情報源です。ワイヤ上のトラフィックのみが、完全な忠実性と独立性で隠れた脅威を明らかにします。分析ログのような低解像度の情報源は、あなたが見たものしか示しませんが、攻撃者がスパイ、拡散、窃盗を行う際に避けることのできない基本的な脅威行動は示しません。

NDRソリューションは、主要なネットワーク・メタデータを収集・保存し、機械学習と高度な分析でそれを補強して、企業ネットワーク上の疑わしい活動を検知 。NDRは、正常な動作を反映するモデルを構築し、リアルタイムと履歴の両方のメタデータでモデルを強化します。

NDRは、ネットワーク上のすべてのデバイス間の相互作用を俯瞰します。進行中の攻撃は検出され、優先順位が付けられ、侵害されたホスト・デバイスに関連付けられます。

NDRは、パブリッククラウド、プライベートデータセンターのワークロードから、ユーザーやインターネット・オブ・シングスのデバイスまで、360度の企業全体のビューを提供します。

Vectra AIのネットワーク検知・応答ソリューションについてもっと読む

エンドポイント検出と応答の役割

malware 、パッチが適用されていない脆弱性や不注意なユーザーなど、エンドポイントの侵害はあまりにも一般的です。モバイル・デバイスは、公衆ネットワーク上で簡単に侵害され、企業ネットワークに再接続され、感染が広がる可能性があります。モノのインターネット（IoT）デバイスは、安全でないことで有名です。

EDR ソリューションは、エンドポイントまたはホストデバイス上の悪意のあるアクティビティを詳細に追跡することで、従来のアンチウイルスよりも高度な機能を提供します。EDRは、ホストやデバイス上で実行されているプロセスや、それらの間の相互作用について、リアルタイムのグランドレベルのビューを提供します。

EDRは、実行、メモリ・アクティビティ、システムの変更、アクティビティ、修正をキャプチャします。この可視性は、セキュリティアナリストがパターン、行動、侵害の指標、その他の隠れた手がかりを発見するのに役立ちます。このデータは、他のセキュリティ・インテリジェンス・フィードと照合して、検知 、ホスト内部からしか見えない脅威を発見することができます。

Vectra AIのEDRとの統合

エンタープライズSIEMの役割

何十年もの間、セキュリティ・チームはIT環境全体のセキュリティ活動のダッシュボードとしてSIEMに依存してきました。SIEM は、他のシステムからイベント・ログ情報を収集し、データ分析、イベント相関、集計、およびレポートを提供します。

EDRとNDRからの脅威検出を統合することで、SIEMはさらに強力なツールとなり、セキュリティアナリストは攻撃を迅速に阻止できるようになります。インシデントが発生すると、アナリストは影響を受けたホスト・デバイスを迅速に特定できます。アナリストは、攻撃の性質とそれが成功したかどうかを判断するための調査をより簡単に行うことができます。

SIEMはまた、ファイアウォールやNACなどの他のネットワーク・セキュリティ・コントロールと通信し、悪意のあるアクティビティをブロックするよう指示することもできます。脅威インテリジェンスのフィードにより、SIEM は攻撃をプロアクティブに防止することもできます。

Vectra AIのSIEMとの統合

SOC Visibility Triad：サイバー攻撃を発見し阻止するための統合アプローチ

NDR、EDR、SIEMの三位一体を導入したセキュリティチームは、インシデントに対応する際や脅威を探索する際に、より幅広い質問に答えることができるようになります。例えば、次のような質問に答えることができる：

• 危険にさらされた可能性のあるアセットと通信した後、別のアセットが奇妙な行動を取り始めたか？
• どのようなサービスとプロトコルを使用しましたか？
• 他にどのような資産や口座が関係している可能性があるか？
• 他のアセットが同じ外部コマンド＆コントロールIPアドレスにコンタクトしていないか？
• そのユーザーアカウントは、他のデバイスで予期せぬ方法で使用されていませんか？

これらを組み合わせることで、すべてのリソースが迅速かつ適切に連携して対応し、セキュリティ運用の効率を高め、最終的にビジネスのリスクを高める滞留時間を短縮することができる。

国家や犯罪者はボーダーレスなデジタル世界を利用しているが、SOCは可視性の核となる3要素を採用することで、組織の機密データや重要な業務を守ることができる。

効果的な SOC Visibility Triad 戦略を導入し、組織のサイバー防御を強化するために、弊社がどのようなお手伝いができるか、今すぐ お問い合わせください。