セキュリティオペレーションセンター(SecOps)チームは、サイバーセキュリティの戦場の最前線にいます。SecOpsチームは、貴重で限られたリソースを使用して24時間体制で作業し、法人組織のシステムを監視し、サイバーセキュリティの脅威を特定して調査し、セキュリティ侵害から防御します。
SecOpsの重要な目標の1つは、セキュリティに関係するすべての担当者間のより迅速で効果的なコラボレーションです。チームは、セキュリティトリアージプロセスを合理化して、セキュリティインシデントを効率的かつ効果的に解決しようとしています。このプロセスを最適化するには、アラート応答とトリアージのすべてのレベルで冷静な優先順位付けが重要です。この優先順位付けでは、プロセスとサポートする技術プラットフォームの両方が、予測的で、正確で、タイムリーで、関係するすべての人にわかりやすく、理想的には自動化されている必要があります。しかしこれは簡単なことではありません。
目次
SecOpsチームを悩ますアラートの増加
多くのSecOpsチームは、年々増加するアラートに襲われています。最近のIBMレポートでは、対応の複雑さがインシデント対応に悪影響を及ぼしていることがわかりました。調査対象者は、組織が平均して45を超えるさまざまなセキュリティツールを使用しており、各インシデントへの対応を平均約19のセキュリティツールを用いて調整にあたったと回答しています。
企業の規模と業界によっては、これらのツールは数時間から数日までの期間に何千ものアラートを生成する可能性があり、それらの多くは冗長であるか、価値がない可能性があります。あるベンダーは、2018年のRSAカンファレンスでITプロフェッショナルを調査しました。調査結果によると、ITプロフェッショナルの27%が毎日100万を超えるセキュリティアラートを受信しています[1]。
これらすべてのアラートを確認するためのコストと労力は、ほとんどの組織にとって法外なものであるため、多くの組織は事実上優先順位が下げられ、すぐに無視されます。調査対象の回答者の中には、アラートの特定のカテゴリを無視することを認めている人もいれば、アラートトラフィックの多くを生成するセキュリティ制御に関連するセキュリティアラートをオフにしている人もいます。しかし無視したたった1つのアラートが、組織に重大なデータ侵害を発生させる可能性があります。
Tier 1 SecOpsアナリストは、この一連のアラートを管理する必要があります。彼らは、企業のネットワーク内の多くのアクティビティを追跡するコンソールとモニターに囲まれています。インシデント対応者が処理できないほど多くのデータがありますが、それは一部です。アラートは毎分流れ込み、1日を通して活動レベルとそれに伴うストレスを徐々に増加させます。
Tier 1 SecOpsアナリストは、迅速なレビューとトリアージを必要とする1日に最大数百のアラートを処理します。アラートがログに記録されると、Tier 1 SecOpsアナリストは通常、チェックリストを調べて、さらに優先順位を決定し、さらにエスカレーションが必要かどうかを判断します。これは、彼らの努力をサポートする自動化とツールに応じて大幅に異なる可能性があります。
アラートが潜在的に悪意があると判断され、フォローアップが必要になると、Tier 2 SOCアナリストにエスカレーションされます。Tier 2 SOCアナリストは、主にセキュリティ調査員です。おそらく、詳細な調査のためにTier 2 SOCアナリストにエスカレーションされるのは1%以下です。繰り返しになりますが、その数は組織や業界によって大幅に異なる可能性があります。
セキュリティ調査担当者は、多数のデータ、脅威インテリジェンス、ログファイル、DNSアクティビティなどを使用して、潜在的な侵害の正確な性質を特定し、使用する最適な対応プレイブックを決定します。深刻な脅威の場合、この対応とその後の修復は可能な限り短い時間で実行する必要があります。理想的には、数時間ではなく、ほんの数分で測定します。
サイバー犯罪者がゼロデイ攻撃と判断される攻撃を実行した最も危険なシナリオでは、SOCチームはIT、運用、およびビジネスユニットと協力して、企業を保護するために重要なサーバーを保護、分離し、さらにはオフラインにします 。ゼロデイ攻撃はSOCを戦争の基盤に引き上げます。これは、チームのプレイブックに対して適切かつ迅速に実行された場合、これまで知られていなかった攻撃手法によるさらなる被害を軽減するのに役立ちます。これらには、進行中の複雑なサイバー攻撃の評価と軽減を支援するために、高度なセキュリティアナリストのスキルと専門知識が必要です。
アラートの集中を考えると、優先順位主導のプロセスに対してチームの能力を最もよく適合させる戦略を採用することが不可欠です。これにより、アラートへの対応を最適化し、SecOpsチームのリソースを最適に管理し、危険な違反イベントのリスクを軽減できます。
SOCのリーダーシップが、優先順位付けに最善のアプローチ方法について取ることができるいくつかの戦略的な見解があります。これらには、DLPなどのツールを使用したデータ駆動型戦略、防御を強化し、業界や地域でアクティブな脅威ベクトルへの反応時間を短縮する脅威駆動型戦略、および特定の資産が強化された保護とアラートの優先度駆動型エスカレーションに値する資産駆動型戦略が含まれます。ほとんどの組織は、これらの戦略を統合して組み合わせることで、全体的なニーズに対応できると考えています。
データ駆動型アプローチ
ゼロトラストの方針と一致する優先順位付けへの最初のアプローチは、データ駆動型アプローチを採用することです。多くの場合、顧客データと知的財産は、すべての組織で最も保護されている資産の中心にあります。これをSecOps内でフォーカスする1つの方法は、データ損失防止(DLP)を実装することです。Gartnerによると、データ損失防止(DLP)は、ネットワーク上で移動している電子メールやインスタントメッセージングなどのメッセージングアプリケーションを介して送信されたデータのコンテンツ検査とコンテキスト分析の両方を実行するテクノロジーとして定義できます。管理対象エンドポイントデバイスとオンプレミスファイルサーバー、またはクラウドアプリケーションとクラウドストレージで使用されています。
これらのソリューションは、不注意または偶発的なリーク、または許可されたチャネル外への機密データの漏洩のリスクに対処するために定義されたポリシーとルールに基づいて応答を実行します。
エンタープライズDLPソリューションは包括的であり、デスクトップとサーバー用のエージェントソフトウェア、ネットワークと電子メールトラフィックを監視するための物理アプライアンスと仮想アプライアンス、またはデータ検出用のソフトアプライアンスにパッケージ化されています。統合DLPは、セキュア Web ゲートウェイ(SWG)、セキュア電子メールゲートウェイ(SEG)、電子メール暗号化製品、エンタープライズコンテンツ管理(ECM)プラットフォーム、データ分類ツール、データ検出ツール、およびクラウドアクセスセキュリティブローカー(CASB)と連携します。
脅威主導型アプローチ
脅威インテリジェンスは、データから外部の脅威アクターへの防御とトリアージの優先順位、およびそれらが利用する可能性が最も高い手法に焦点を当てています。脅威インテリジェンスは、SOCに、脅威アクターを予測するために必要なデータと、これらの脅威アクターが使用する可能性のある戦術、技術、手順(TTP)を提供できます。さらに、脅威インテリジェンスは、サイバー攻撃の種類とそれを使用する脅威アクターを一意に識別できる、しばしば一意の侵入の痕跡(IOC)を認識するためのパスを提供できます。もちろん、目標は、これらの最も可能性の高い攻撃を発生前に特定して防止するか、検出時に迅速に阻止することです。
攻撃を防ぐことができない場合は、展開している脅威を特定できる必要があります。攻撃を特定し、攻撃者のキルチェーンを解除してから、攻撃を停止する必要があります。脅威インテリジェンスは、環境を評価し、特定のキルチェーンの実行をサポートする脆弱性を理解し、これらの脅威を軽減するために迅速に行動するのにも役立ちます。
2020年8月、オランダとドイツの大学の研究者[2]が、実施した調査について第29回Usenix会議で共同発表しました。調査では、脅威インテリジェンスソース間の重複が多くの人々が予想するよりも少ないことが示されました。これには、オープン(無料)および有料の脅威インテリジェンスソースの両方が含まれます。この話の教訓は、大規模な組織は、脅威アクターやそれらが使用する可能性のある攻撃ベクトルよりも優位に立つために、複数のソースからの脅威インテリジェンスデータの幅広いセットを必要とする可能性が高いということです。また、これらのソースは、SecOpsの脅威調査担当者が迅速に活用できる共通のダッシュボードに統合する必要があります。
資産主導のアプローチ
機密性が高く重要な情報を含む資産には、特に注意が必要です。これは、所有者が一意に保持している可能性のあるデータ、所有者が頻繁に使用するネットワーク、アプリケーション、情報リソースへのアクセス、または資産の重要度に関わる情報の可能性があります。たとえば、最高財務責任者のラップトップは、最も機密性の高いデータ、手術中の医療機器モニター、または製造生産用のコマンドコントローラーを含んでいると見なされる場合があります。したがって、保護の観点から、より高い優先順位に値する可能性があります。
優先順位付けの戦略の最適化に有効なMVISION XDR
MVISION XDRは、データ駆動型、脅威駆動型、および資産駆動型のこれらすべての優先順位付け戦略を活用する機能を提供します。このMVISION XDRに加えて、組織をターゲットにする可能性のあるグローバルな脅威に基づく予測評価と、環境が脅威に対抗する方法のローカル評価を提供します。この「攻撃前」の実用的な評価は、SOCのよりプロアクティブな防御を可能にする、MVISION Insightsによって強化されています。MVISION Insightsのトップ10の脅威キャンペーンのプレビューをご覧ください。
MVISION XDRで提供されるいくつかの主要な優先順位付けの例を次に示します。
MVISIONXDRの主要な優先順位付けの例
| 優先戦略(ies) | 機能の説明 | メリットと価値 |
| データ駆動型 | データの機密性に基づくアラート | 重大な影響を及ぼす活動にフォーカス |
| 脅威主導型 | 可能性のある次のステップで導き出す自動相関脅威手法 | 誤検知の減少 |
| 脅威駆動型 | 組織をターゲットにしているトレンドと脅威アクターを表示 | 脅威と攻撃者の活動を察知し威力を低減 |
| 資産主導型 | 自動優先順位付けのため重要な資産にタグ付け | 重要な資産への脅威に迅速に対処 |
優先順位付けにより、SecOpsチームのビジネス価値が向上
MVISION XDRは、優先順位付けの戦略の実装と最適化に役立ちます。SecOpsチームは、優先順位付けされた脅威、予測評価、プロアクティブな対応、およびより適切で迅速な意思決定を行うためのデータ認識により、必要なトリアージ時間を改善できます。詳細については、Evolve with XDRのWebページ(英語)をご確認いただくか、弊社の御社担当の営業チームへご連絡ください。
[1] https://www.imperva.com/blog/27-percent-of-it-professionals-receive-more-than-1-million-security-alerts-daily/
[2] https://www.usenix.org/system/files/sec20_slides_bouwman.pdf
※本ページの内容は2021年9月29日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:The Art of Ruthless Prioritization and Why it Matters for SecOps
著者:Randy Kersey