最初に5月12日に「国家のサイバーセキュリティ向上のための大統領令(EO)」が発表されて以降、7月下旬にかけては各省庁が潜在的なセキュリティギャップをどのように理解し、対処するか、最善策に向けて慌ただしく活動を続けています。この分析により、要求事項を満たす計画が一歩前進し、各省庁のサイバーセキュリティに関する態勢を改善するための既存の予防措置がより強化されることになります。今回の大統領令では、昨年発生した数多くのサイバーセキュリティ侵害を受けて、各省庁のネットワーク全体で脆弱性を検出してサイバーセキュリティインシデントを防止する、連邦政府の能力を一層高めることを主眼としています。エンドポイント検出・応答(EDR)ソリューションを組織の環境に導入することで、政府は各省庁のSOCチームに積極的なサイバー・ハンティング、封じ込め、修復、インシデント対処を、より広範囲に行う権限を与えることが可能です。
目次
マカフィーのMVISION EDRは、政府機関のセキュリティ体制をどのように改善するか
サイバー攻撃による潜在的な損失や影響は、もはや機関のネットワーク内の一つのサイロやデバイスの小規模なサブセットに限定されていません。サイバー攻撃は数秒でエスカレートし、組織のミッションに影響を与える可能性があります。そのため、この大統領令では、悪意のある攻撃者に先んじて攻撃を未然に防ぐための包括的なセキュリティ戦略を策定するには、政府全体で取り組むことが重要だとしています。
多くのサイバー脅威は複数の攻撃メカニズムを使用しており、悪意のあるアクターから組織を守るためには、さまざまなアプローチが必要です。エンドポイント・プロテクション・プラットフォームは、組織の資産を守るために重要な役割を果たしていますが、それは強固なサイバーセキュリティ戦略のための多層的なアプローチの一要素に過ぎません。我々のエンドポイント・プロテクション・プラットフォームは、次世代ソリューションであるEDRを組み込むことで、潜在的な脅威が第1層目の防御や対策を突破した場合でも、それを追跡することができる脅威検出の機能を備えています。
EDR(Endpoint Detection and Response)を導入することで、企業はエンドポイントを細分化して制御、可視化することにより不審な活動を検知することができます。クラウドサービスとして、EDRは他のソリューションよりもはるかにアジャイルな方法で新機能やサービスを組み込むことが可能です。MVISION EDR は、実行前の段階で脅威を検出してブロックし、分析を通じて脅威を調査し、インシデント対応プランの提供を支援します。さらに、AIと機械学習を活用して調査プロセスの手順を自動化することで、経験豊富な脅威ハンターは高度な攻撃を詳細に分析することに集中でき、SOC チームの他のメンバーは潜在的な脅威をより迅速かつ少ない経験でトリアージする主要な調査結果を発見できます。これらの新機能は、組織のベースライン動作を学習し、その他のさまざまな脅威インテリジェンスのソースとあわせてこの情報を使用し、調査結果を解釈できます。
エンドポイントの検出と応答 (EDR)だけで十分だといえるのか
攻撃面が進化し続ける中で、検出に対してより包括的なアプローチが必要になります。EDR は、ワークステーション、サーバー、およびクラウドワークロードに対する異常な脅威や悪意のある動作を表面化するために重要ですが、影響する範囲はエンドポイントが提供するテレメトリに限定されます。EDRはネットワークに、SIEMはエンドポイントに対しての影響を持たないということを認識し、調査の強化のためMcAfee Enterprise EDRとSIEM技術を統合しました。それでもなお、企業が遭遇する可能性のある脅威ベクトルをすべて明らかにするには、より多くのテレメトリソースが必要です。そこで、エンドポイントだけでなく、より多くのギャップを埋めることができるXDR(Extended Detection and Response)が必要となります。
組織がXDR戦略を重視するべき理由とは
XDRとは、単一の製品やソリューションではなく、複数のセキュリティ製品や技術を統合してプラットフォームを構成することを指します。XDRのアプローチは、プロセスを移行し、SOC アナリスト、ハンター、インシデントの対応者、ITアドミニストレーターなどが担っている、それぞれ異なる機能を統合して緊密な連携を促進します。
SIEMは主にデータ駆動型(data-driven)であり、つまり取り込んだデータに基づいてコンテキストをレトロスペクティブに提供するには、データ定義、カスタム解析ルール、事前に構築されたコンテンツパックを必要とします。これに対し、XDRは仮説主導型(hypothesis-driven)であり、機械学習と人工知能エンジンの力を利用して環境全体の多岐にわたるソースから得た、確実性の高い脅威データを分析し、MITRE ATT&CKフレームワークにマッピングされた特定の調査ラインをサポートします。
XDRは、共通のタクソノミーと統一言語を活用した統合プラットフォームです。効果的なXDRは、多数の異種信号を収集し、均質な視覚的・分析的な表現を返さなくてはなりません。XDRは、SOCが注目すべき潜在的なセキュリティ相関関係を明確に示す必要があります。このようなソリューションは、情報の重複を排除する一方で、本当に危険度の高い攻撃を強調し、大量なノイズを排除します。何度も手作業を繰り返すことなく望ましい成果を得ることができるため、SOCチームは主要な調査の指揮と、攻撃による影響を軽減することに集中できます。XDRによるデータの表示はコンテキストとコンテンツを認識し、高度な技術を駆使していると同時にシンプルで、アナリストの理解と行動を助けます。
多くの組織がXDRを採用しはじめていますが、EDRソリューションがゼロトラストのアーキテクチャに移行する方法について考慮する必要があります。エンドポイント、アクセスしているネットワーク、および使用するクラウド サービスだけでなく、脅威テレメトリを取り込むことができるプラットフォームが利用可能な多くの情報によって、確実に優位性を生み出します。これにより、エンタープライズリソースへのアクセスを許可し、信頼度をに応じてアプリケーション内で許可するアクセス権の量を決定するポリシーエンジンの粒度、柔軟性、精度が大幅に向上します。
理想的なソリューションでは、エンドポイント、ネットワーク、クラウド インフラストラクチャ全体にわたる検出機能と応答機能を強化する必要があります。攻撃の前に、重大な被害を与える脅威を優先的に予測し、組織が環境をプロアクティブに強化するための施策が必要です。理想的なソリューションにはゼロトラストも組み込む必要があり、オープンなセキュリティエコシステムの上に構築する必要があります。
我々はマルチベンダーのセキュリティエコシステムが、多層セキュリティの実践を構築する上で重要な要件であることを早い段階で認識していました。重要な構成要素の 1 つはDXL (データ交換層) であり、その後、コミュニティが革新的なユースケースをより発展させるため、OpenDXLとして利用できるようにしました。これにより、脅威インテリジェンスプラットフォームからオーケストレーションツールまで、多様なパートナーエコシステムで、共通のトランスポートメカニズムと information exchange protocolを使用できるようになっており、重要な脅威の詳細を伝達するだけでなく、すべての接続されたセキュリティ ソリューションが実行すべきアクションをベンダーに通知するようにしました。
XDRとオープンなセキュリティエコシステムにXDR機能に組み合わせれば、組織はサイバーインフラストラクチャ全体にわたって可視性と検出機能を向上させる、強固な基盤を持つことになります。
※本ページの内容は2021年8月6日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:White House Executive Order – Improving Detection of Cybersecurity Vulnerabilities
著者:John Amorosi