ネブラスカ州リンカーンに本社を置くBコーポレーションに認定されたアシュリティは、契約者が所有し、「困難な時期を乗り越える人々を支援する」ことに専心する相互生命・医療保険会社である。3つの異なる保険組織が合併した結果、アシュリティーは全米の独立系ブローカーに生命保険、障害保険、重大疾病保険、任意従業員福利厚生を提供している。高度に規制された保険業界で働くAssurity社は、コンプライアンスを達成し、従業員の福利厚生を維持するために、以下のプラットフォームを選択した。LogRhythm SIEMプラットフォームを選びました。
挑戦
迅速な検知と対応のための組み込み型SOARによるLogRhythm SIEMの活用
保険会社は、ライセンスモデルの規制から、保険契約や商品提供の標準化まで、政府の厳しい監督下にある。アシュアリティは、全国の独立系ブローカーにサービスを提供するブローカー・モデルに従っている。
そのため、同社は50の異なる州の保険法を遵守する任務を負っており、コンプライアンスは並大抵のことではありません。ログ管理に関して、アシュアリティはニューヨーク金融サービス局(NYDFS)のサイバーセキュリティ規制(23 NYCRR 500)を遵守する必要があります。NYDFS規制は、アシュアリティのような企業に厳格なサイバーセキュリティプログラムの採用と、あらゆる侵害に対する厳格な報告規則の遵守を求めています。他の州でも、NYDFSを多少参考にした要件であるNAICモデル規制を何らかの形で採用する日が近いと思われる。
3人という小規模なセキュリティ・チームであるAssurityは、堅牢なIT環境のセキュリティ維持とコンプライアンス確保の両方に役立つSIEMを探すと同時に、雑多なタスクを排除し、少ないリソースでより多くのことをこなせるようにチームを強化するSIEMを探しました。セキュリティ業界のトップベンダーを検討した結果、Assurity社はLogRhythmを選びました。
Gartner Magic Quadrant「最終的な評価では、2つのソリューションが僅差でしたが、各ソリューションのリファレンス・コールが決め手となりました。当社はサポート・スタッフが少ないため、強力なインシデント対応プロセスと自動化を備えたソリューションと質の高いサポート・サービスが非常に重要でした。
-
ケリー・マーフィー
ITセキュリティ・コンプライアンス・マネージャー|アシュアリティ
ソリューション
迅速な検知と対応のための組み込み型SOARによるLogRhythm SIEMの活用
LogRhythm SIEMを導入し、コンプライアンスへの取り組みに満足した Assurity Life は、プラットフォームの SOAR 機能にさらなる価値を見出し始めた。プラットフォームのネイティブなSOAR機能によって、セキュリティ・チームはその規模を問わず、セキュリティ・イベントに効果的に対応するために必要な異種のテクノロジーや必要なステップの数を減らすことができます。
統合されたケース管理とタスクの自動化により、インシデント対応プロセス全体を通じて一貫した調査ツールを提供します。ガイド付きワークフロー、組み込みのエスカレーションプロセス、ケースプレイブックは、アナリストの作業負荷を最適化し、効率的な脅威の修復を促進します。
LogRhythm SmartResponseTMによる迅速なインシデント管理の実現
SmartResponseは、脅威の検出と対応に必要な時間を短縮するために、カスタマイズ可能なタスク自動化をパッケージ化して提供します。エンドポイントの隔離からユーザの一時停止、追加的なコンテキスト・データの取得まで、SmartResponseのアクションはインシデント対応ワークフローを自動化し、より高い効率性と組織リスクの低減を可能にします。
Ultimate Windows Securityが提供するLogRhythm主催の無料トレーニング「Anatomy of a Hack Disrupted:アシュアリティのITセキュリティ・コンプライアンス・マネージャーであるケリー・マーフィーは、アナリティクスと自動化によってMicrosoftアクティブディレクトリドメイン管理の監視を改善する機会を認識しました。ケリーと彼のチームは、当社のプロフェッショナル・サービス・チームと協力して、SmartResponseとAI Engineを活用したユースケースを実装しました。SmartResponseは、さまざまな脅威シナリオをサポートする完全に統合されたLogRhythm SIEMコンポーネントです。
ユースケースの目標は、不正なドメインアカウントが機能しないようにすることです。AIエンジンのアナリティクスとSmartResponseのタスク自動化により、Assurityは以下を実現します。
不正なアカウントの使用を認識し、自動的に軽減することができます:
- AI Engineは、これらのアカウントを承認済みアカウントのホワイトリストと自動的に照合します。いずれの場合も、SmartResponseの自動化されたアクションが不正なアカウントを無効にします。ネットワーク管理者から新しいアカウントの作成が通知されると、AssurityのSecOpsはドメイン管理者のホワイトリストにアカウント名を追加し、アカウントを有効化または再有効化できるようにします。このステップは、LogRhythm SIEMダイナミックリストを使用して自動化することもできる。
- AIエンジンは、ユーザーがドメイン管理者グループに追加された場合、またはドメイン管理者グループのアカウントが有効になった場合に検出する
LogRhythm SOARをテストする
2018年3月、Assurityは侵入テストを含むセキュリティ評価を受けました。Assurityのシステムを侵害する試みが何度も失敗した後、ペンテスターは既知の脆弱性を使用して、新しいドメインアカウントの作成に成功しました。
テスト者は既知の脆弱性を利用して、新しいドメイン・アカウントの作成に成功した。一瞬、ケリー氏と彼のチームが導入したドメイン管理コントロールを回避したように見えた。しかし、AIエンジンが不正なアカウントを認識すると、SmartResponseが起動し、不正なアカウントを迅速に無効にするための対策を自動的に実行した。
「LogRhythmの前に多くのツールを導入していたにもかかわらず、LogRhythmをセキュリティ監視と修復の取り組みの中心に据えるという決断に自信を持っています。
結論
オーケストレーションと自動化によるセキュリティ成熟度とコンプライアンスの強化
ペンテスターがAI Engineによる自動認識を覆すことができず、SmartResponseが即座に実行されたことで、Kelly氏のチームはLogRhythm SIEM。さらに、セキュリティ評価によって、より広範な組織がソリューションの動作を確認することができました。
Assurityにとって、ドメイン管理のユースケースは、さらなるオーケストレーションと自動化によってインシデントレスポンスを改善するきっかけとなりました。ケリー氏と彼のチームは、ホワイトリストの構築を継続し、より多くのカスタムAI Engineルールを構築する予定であり、同様のSmartResponseユースケースを考案し、時間をかけて実装したいと考えている。
LogRhythm SIEMを利用することで、アシュアリティは、規制の厳しい業界におけるコンプライアンス管理への準拠を実証することができ、同時にセキュリティ態勢を改善し、脅威を検知して対応するまでの平均時間を短縮することができます。組み込みのオーケストレーションと自動化機能(LogRhythm SIEM)により、アシュアリティは熟練した限られたリソースを強化し、雑多なタスクを排除して、少ないリソースでより多くのことをこなせるようにチームを強化します。
website: www.assurity.com
主なメリット
- 50州にわたる保険法の遵守を達成。
- 規制当局のセキュリティおよびプライバシー監査に合格
- 組み込まれたオーケストレーションと自動化により、検出と対応までの時間を短縮。
- インシデント対応ワークフローの改善により、限られたリソースを最大限に活用。
産業
- 生命保険と医療保険
製品紹介
- LogRhythm SIEM
