サイバーセキュリティの検出はいわば犯罪捜査であり、サイバー犯罪捜査官はまだ数少ない専門人材です。彼らのハンティングは侵入の進行中に始まることもありますが、多くの場合、攻撃され、犯罪が発生した後に行うことになります。調査は根気が必要で、大変な労力を伴い、不正を特定するのに平均228日かかる可能性があることも知られています。[i]。
攻撃されたことを確認した時点で、敵が何を見たり盗んだりしたのかを調べようとするでしょう。またハッキングを可能にした穴を塞ぎ、敵を追い出すか完全に排除する必要があります。侵害を解決して封じ込めるまで、平均80日かかることを考えると、その間、敵はあなたの環境で壮大な滞在時間を過ごし、次のターゲットに移る前にさらにトラフィックと行動を監視していることが予測されます。
そう考えると、限られた予算の範囲で効率よく効果的なセキュリティを担保するには、検出よりも予防に焦点を当てることが有効だと結論付けることができます。検出を排除することは実用的ではないかもしれませんが、少なくとも予算を再調整し、強化された実用的なインテリジェンスを用いて防御対策を強化することができます。
このシフトを可能にするいくつかの背景があります。まず、検出は現在、多くの場合自動化されており、生産性が高くなっています。第二に、事前アラートはこれまで以上に優れています。予測分析を適用して、詳細な脅威インテリジェンスソースを活用し、デバイスからクラウドまでのセキュリティポスチャリスクのリアルタイムの自動評価を生成できます。
プロアクティブな脅威ハンティング
ベルギーのワロン地域のフランス語圏政府の行政部門であるService public de Wallonie(SPW)にとって、検出から予防への移行はそれなりに時間がかかるものでした。SPWのエンドポイントセキュリティチームは、8,000人以上の従業員が使用する9,000台のデスクトップ、1,300台のサーバー、および1,000台のアプリケーションを監視しています。
SPWがMVISION Insightsを実装したとき、セキュリティチームは、機関の境界外に潜む潜在的な脅威を特定しようとしました。MVISION Insightsは、世界中の10億のセンサーから収集され、人工知能と人間の専門家によって抽出および分析されたデータを使用して、特定の業界および地域向けにフィルタリングされた包括的なリスク情報を提供します。これは、SPWのセキュリティチームが、どの脅威とキャンペーンが彼らを標的にする可能性が最も高いかを優先するのに役立ちます。
このシフトを行う前に、SPWのチームは、最新の脅威キャンペーンを追跡するために、多くの時間を費やしさまざまなセキュリティサイト、ラボレポート、およびニュース記事を定期的にチェックしていました。MVISION Insightsを展開した後、同じ結果が数秒または数分で得られるようになりました。現在、彼らは予測評価を利用し、それに応じて対策を調整することにより、より積極的な脅威のハンティングと攻撃の防止に取り組んでいます。
状態の変化
SPWなどの組織は、検出までの時間と滞留時間を短縮するために、守りと攻めの両方を実行することが必要になることを示しています。特に、高度で持続的な脅威(APT)で溢れかえっている中、検出は困難な場合があります。また、サイバーセキュリティの専門家不足を考えると、脅威ハンティングの人材のコストも悩ましいものです。
最近では、膨大な量のセキュリティデータがデータレイクに流れ込んでいるため、データレイクを手動で集計して分析し、何かを理解するには、かなりの量の脅威に関する専門知識が必要です。さらに、攻撃を阻止するためにトリアージして次の手順を決定するにも時間がかかります。このデータを分析するときまでに、せいぜい、ローカル環境の可視性と理解が制限された反応状態にあります。
このプロセスを合理化する効果的な方法の1つは、実績のあるMITRE ATT&CK®フレームワークを適用することです。このフレームワークは、脅威ハンティングと検出に役立つ優れた知識ベースを提供します。たとえば、このフレームワークを使用して、MVISION Insightsを搭載したMVISION XDRに情報を提供します。3月にお伝えした記事のように、XDRをMITREと連携させて、調査、脅威の検出、および防止機能の深さを大幅に拡大し、関連する洞察で攻撃チェーンを防止します。
より予防的になるために
サイバーセキュリティコミュニティでの主導的な役割では、多くのインテリジェンスを収集し、コンテンツのキュレーションにかなりの時間を費やして、共有するものがタイムリーで正確、そして価値があることを確認します。これは、1000を超える脅威キャンペーンプロファイルを持つMVISION Insightsに反映されています。MVISION Insightsを環境に配置すると、脅威インテリジェンスを超えます。また、自分を標的にしている可能性のある攻撃、ギャップがどこにあるか、何ができるかについて、優先順位を付けた脅威の洞察を得ることができます。LinkedIn Liveディスカッション、ブログ投稿、およびMVISION Insightsの力を強調するサイバーセキュリティの専門家からのその他のインテリジェンスを使用して、予防と保護を強化する方法に関する定期的な情報を入手するための新しいプロアクティブエボリューションシリーズをご紹介します。
この新しいプロアクティブエボリューションシリーズは、セキュリティ運用をより効果的かつ予防的に管理または構築すること、または変化するベストプラクティスを常に把握したいCISOを対象とした役立つコンテンツを備えています。
多くの場合、検出は攻撃または迫り来る脅威に対応して行われます。すべての組織が検出と防止の両方を同等にうまく実行できるわけではありません。これは通常、専用または経験豊富な脅威ハンターや適切な検出テクノロジーが不足しているためです。予防的な防御対策に取り組みをシフトすることで、攻撃の前にシステムを強化する可能性が高まります。
McAfee Enterpriseの新しいプロアクティブエボリューションシリーズのコンテンツは、こちらから、ご覧いただけます。
※本ページの内容は2021年10月25日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:Why an Ounce of Cybersecurity Prevention is Worth a Pound of Detection
著者:Kathy Trahan