MVISION CloudへのMITRE ATT&CKの統合 より精度の高い防御へ

エンタープライズ向けのマルチクラウドセキュリティプラットフォームであるMVISION Cloudの最新のイノベーションは、SOCアナリストがクラウドの脅威を調査するためのワークフローにMITER ATT&CKを導入し、セキュリティマネージャーが将来の攻撃から正確に防御するためのものです。

ほとんどの企業は1,500を超えるクラウドサービスを使用しており、ログインからファイル共有、ダウンロードまで、数百万のイベントを生成し、生産性を高めるために無数のアクションを実行していますが、攻撃者はこれを利用しています。今までのところ、膨大な量の敵対的な活動を探すのは骨の折れる作業であり、非常に多くのノイズがあるため、手遅れになるまで多くのデータ侵害が見過ごされてきました。

MVISION Cloudはクラウド脅威調査に多層的なアプローチを採用しており、クラウドサービスでの悪意のあるアクティビティの検出、ギャップの特定、ポリシーと構成へのターゲット変更の実装にかかる時間を短縮できます。

最初に、膨大な量のイベントは、既知の正常な動作のベースラインに対して継続的に処理され、ユーザーとエンティティの動作分析(UEBA)によって環境内の異常と実際の脅威を識別し、複数のサービスとアカウントにわたる動作を評価します。

不正使用されたアカウントであると判断されたUEBAによって処理されたイベント

これにより、調査プロセスを管理可能な数のインシデントにまで削減できます。 今回の導入により各クラウドセキュリティインシデントはATT&CKの戦術と手法にマップされ、現在環境で実行されている敵対的な戦術を提供します。

MVISION Cloudでの敵の活動のマルチクラウドMITER ATT&CKビュー

MVISION Cloud内には3つのビューを持っています。

Retrospective:環境ですでに発生しているすべての敵対的な手法を表示
Proactive:進行中の攻撃を表示し、阻止するためのアクションを実行可能
Full kill-chain:インシデント、異常、脅威、および脆弱性の組み合わせを総合的な違反の列に表示   

またMVISION Cloudへの今回の統合から組織内の複数のチームが次のような恩恵を受けることが考えられます。

リアクティブからプロアクティブに進化:McAfee MVISION Cloudにより、アナリストはATT&CKフレームワークで実行された脅威だけでなく、複数のSaaS、PaaS、IaaS環境全体で阻止できる潜在的な攻撃を視覚化が可能になります。

サイロを打破:SecOpsチームは、フィルタリングされたクラウドセキュリティインシデントを、APIを介してセキュリティ情報イベント管理(SIEM)/セキュリティオーケストレーション、自動化および応答(SOAR)プラットフォームに取り込み、エンドポイントとネットワークの脅威の調査に使用するのと同じATT&CKフレームワークにマッピングすることが可能になります。

より精度の高い防御: McAfee MVISION Cloudはクラウドセキュリティポスチャ管理(CSPM)を新たなレベルに引き上げ、特定のATT&CK敵対技術に対処するSaaS、PaaS、IaaS環境向けのクラウドサービス構成の推奨事項をセキュリティマネージャーに提供します

当社製品は、脅威の調査は1つの環境だけでなく、クラウドからエンドポイント、分析プラットフォームまで、すべての環境を対象としています。MVISION CloudMVISION EDRおよびMVISION Insightsを使用することは、企業は現在直面している異種攻撃に対しExternal Data Representation(XDR)プラットフォームの利用が可能になることを意味しています。

※本ページの内容は2020年7月27日(US時間)更新の以下のMcAfee Blogの内容です。

原文:Introducing MITRE ATT&CK in MVISION Cloud: Defend with Precision
著者: