エンタープライズ向けのマルチクラウドセキュリティプラットフォームであるMVISION Cloudの最新のイノベーションは、SOCアナリストがクラウドの脅威を調査するためのワークフローにMITER ATT&CKを導入し、セキュリティマネージャーが将来の攻撃から正確に防御するためのものです。
ほとんどの企業は1,500を超えるクラウドサービスを使用しており、ログインからファイル共有、ダウンロードまで、数百万のイベントを生成し、生産性を高めるために無数のアクションを実行していますが、攻撃者はこれを利用しています。今までのところ、膨大な量の敵対的な活動を探すのは骨の折れる作業であり、非常に多くのノイズがあるため、手遅れになるまで多くのデータ侵害が見過ごされてきました。
MVISION Cloudはクラウド脅威調査に多層的なアプローチを採用しており、クラウドサービスでの悪意のあるアクティビティの検出、ギャップの特定、ポリシーと構成へのターゲット変更の実装にかかる時間を短縮できます。
最初に、膨大な量のイベントは、既知の正常な動作のベースラインに対して継続的に処理され、ユーザーとエンティティの動作分析(UEBA)によって環境内の異常と実際の脅威を識別し、複数のサービスとアカウントにわたる動作を評価します。
これにより、調査プロセスを管理可能な数のインシデントにまで削減できます。 今回の導入により各クラウドセキュリティインシデントはATT&CKの戦術と手法にマップされ、現在環境で実行されている敵対的な戦術を提供します。
MVISION Cloud内には3つのビューを持っています。
Retrospective:環境ですでに発生しているすべての敵対的な手法を表示
Proactive:進行中の攻撃を表示し、阻止するためのアクションを実行可能
Full kill-chain:インシデント、異常、脅威、および脆弱性の組み合わせを総合的な違反の列に表示
またMVISION Cloudへの今回の統合から組織内の複数のチームが次のような恩恵を受けることが考えられます。
リアクティブからプロアクティブに進化:McAfee MVISION Cloudにより、アナリストはATT&CKフレームワークで実行された脅威だけでなく、複数のSaaS、PaaS、IaaS環境全体で阻止できる潜在的な攻撃を視覚化が可能になります。
サイロを打破:SecOpsチームは、フィルタリングされたクラウドセキュリティインシデントを、APIを介してセキュリティ情報イベント管理(SIEM)/セキュリティオーケストレーション、自動化および応答(SOAR)プラットフォームに取り込み、エンドポイントとネットワークの脅威の調査に使用するのと同じATT&CKフレームワークにマッピングすることが可能になります。
より精度の高い防御: McAfee MVISION Cloudはクラウドセキュリティポスチャ管理(CSPM)を新たなレベルに引き上げ、特定のATT&CK敵対技術に対処するSaaS、PaaS、IaaS環境向けのクラウドサービス構成の推奨事項をセキュリティマネージャーに提供します。
当社製品は、脅威の調査は1つの環境だけでなく、クラウドからエンドポイント、分析プラットフォームまで、すべての環境を対象としています。MVISION Cloud、MVISION EDR、およびMVISION Insightsを使用することは、企業は現在直面している異種攻撃に対しExternal Data Representation(XDR)プラットフォームの利用が可能になることを意味しています。
原文:Introducing MITRE ATT&CK in MVISION Cloud: Defend with Precision
著者:Thyaga Vasudevan