Blogランサムウェアは、2020年には3億5,000万ドル以上のビジネスとなり、2021年にもさらなる成長が見込まれています。ランサムウェアのギャングは、被害者からさらに多額の支払いを引き出すために、従来のランサムウェアの暗号化スキームに加えて、データを流出させ、それを公開すると脅す、二重搾取法の使用が増加していることがわかりました。
その上、巧妙なサプライチェーン攻撃は何千もの企業に影響を与え、大企業や国家だけでなく、すべての企業が世界の最も高度な攻撃グループから身を守る必要があることを示しています。
REvil、DarkSide、SUNBURSTのような高度な脅威に対抗するために、企業のSecOpsチームはあらゆる機会を利用して、攻撃を早期に検知する能力、特に未知の脅威を検知する能力を高め、次にその範囲を正確に調査・理解し、迅速に対応する必要があります。
これらの目標を達成するために多くのSOCが取ることのできる最良のステップの1つは、ネットワークの検知および対応(NDR)ソリューションをセキュリティ情報およびイベント管理(SIEM)ソリューションと統合することです。多くのSOCにとって、SIEMは主要なコンソールです。SIEMは脅威を調査したり対応したりする際に最初に目にするコンソールですが、SIEMの性能はユーザーが提供するデータに依存します。
残念ながら、SIEMのデータは完全なものではありません。検知を回避するために、ログファイルを改ざんしたり、アクティビティロギングを無効にしたり、監視エージェントが設置されたエンドポイントを回避したりするなど、攻撃者はますます巧妙になっています。SIEMと密接に統合されたパッシブに解析するNDRツールの重要性はますます高まっています。
より多くの隠れた、そして未知の脅威を検出
2020年に行われたESGの調査によると、ほとんどのセキュリティ運用チームは、自社のSIEMが既知の脅威の検出に優れていると感じていることがわかりました。これは素晴らしいニュースですが、回答者の約30%が未知の脅威を検知するためのSIEMの効果が低いと感じているという注意点があります。
NDRソリューションは、未知の脅威の検出に優れています。これにはいくつかの理由があります。まず、NDR は環境内のすべてのネットワークトラフィックを隠密に観測します。攻撃者は、コマンド&コントロール、横移動、データ流出など、一連の攻撃連鎖の重要なステップのためにネットワークを通過しなければなりません。NDRは、機械学習を用いた振る舞い分析により、たとえ攻撃者がアクティビティログやEDRに触れることがなくても、これらの微妙な行動を検出することができます。
第二に、トラフィックを復号化して分析できるNDRベンダーは、通常暗号通信音の中に隠れてしまう悪意のある行動を検知することができます。攻撃者は、目的を達成するために暗号化されたプロトコルを利用することができますが、その動きを見ることができないセキュリティツールには捕まりません。これにより、攻撃者はお客様の環境に何ヶ月も滞在し、持続性を確立し、内部を詳細に偵察し、機密データや脆弱なシステムを特定して、最終的に攻撃する際に最大のダメージを与えることができます。
注:すべてのNDRベンダーがラインレートのトラフィックを解析用に復号化できるわけではありません。NDRベンダーを検討する際は、この機能があるかどうかを確認してください。
NDRをSIEMと統合することで、強力なグランドトゥルースビューを得ることができ、未知の脅威をより迅速かつ正確に検知することができます。
相関的な検知とフォレンジックで対応時間を短縮
セキュリティ・インシデントを調査する際、スピードは非常に重要です。異なるセキュリティツールからデータを収集して相関させることは、時間のかかるプロセスであり、しばしば複数のチームの連携が必須です。これには、ネットワーク・オペレーション、アプリケーション、データベース、クラウド・オペレーションなど、セキュリティ組織以外のチームも含まれます。
調査に時間がかかればかかるほど、攻撃者が与えるダメージは大きくなります。多くのSecOpsチームは、重要なパフォーマンス指標として、平均検出時間(MTTD)と平均対応時間(MTTR)を記録しています。これらの数値を下げることは、今まで以上に重要なことです。
すべてのNDRソリューションが同じように作られているわけではありませんが、ExtraHop Reveal(x)によってセキュリティチームがインシデントを84%速く解決できるようになったことは、自信を持って(Forresterの調査でも裏付けられたデータがあります)言えることです。NDRの検知結果をSIEMに送信することで、迅速な検知とデータの相関関係を把握することができ、脅威への対応を加速させ、インシデントがニュースになるような侵害になるのを食い止める可能性を高めることができます。
インベントリとアンマネージドデバイスの保護
CIS セキュリティコントロールのトップ20では、ネットワークに接続しているすべてのハードウェアおよびソフトウェア資産のインベントリを作成することが、より良いセキュリティ態勢への第一歩であることが示されています。SIEMの導入を成功させるためには、ネットワーク上にどのようなデバイスがあるかを知り、それらを設定してアクティビティ・ログを収集する必要があります。しかし、すべてのデバイスを的確に把握することは困難です。管理されていないIoTデバイスやBYODデバイスがあなたの環境に入ってくるかもしれません。Kaseyaのようなサードパーティのコントラクタやサービスプロバイダがお客様の環境に接続されているかもしれませんが、お客様はそのセキュリティを完全には監査できないかもしれません。
NDR ソリューションは、ネットワークを通過するすべてのトラフィックを監視するため、すべてのデバイスを見て識別することができます。さらに高度なNDRソリューションでは、デバイスを行き来するネットワークトラフィックを見るだけで、そのデバイスがどのようなハードウェア、オペレーティングシステム、EDRエージェント、ロギングアクティビティを示しているかを知ることができます。つまり、NDRを導入するだけで、例えSIEMと統合されていなくても、SIEMソリューションではまったく見えない脅威を検出し、対応することができるのです。
セキュリティのエコシステムにおいてNDRとSIEMは重要な要件である
すべてのセキュリティチームは複数のツールを持っていますが、その数はしばしば多すぎます。これらのツールを適切な方法で統合することで、セキュリティの有効性が大幅に向上し、セキュリティチームは増大する高度な脅威を食い止めることができます。
SIEMとNDRは、セキュリティオペレーションのエコシステムを成功させるための重要な種です。これらがうまく連携することで、SOCはサイバー攻撃者から優位性を取り戻すことができます。NDRとSIEMの統合による対応時間の短縮については、ソリューション・ブリーフィングをダウンロードしてご覧ください。
