目次
脅威検知、調査、対応とは何か?
脅威の検知と対応は、しばしば TDR と略され、セキュリティ脅威の特定、分析、対応を目的としたサイバーセキュリティのプロセスとソリューションの集合体を指す。一般的になりつつある「調査」を意味する「I」を頭文字に加えると、最新の頭字語であるTDIRとなる。いずれの場合も、単に脅威を発見するだけでなく、脅威を理解し、その影響を軽減する効果的な方法を考案することが重要である。
TDIRの主な目的は、組織のデジタル資産を潜在的なサイバー脅威から保護することである。この目標は、脅威を検知、調査、無力化するために設計されたテクノロジーと手法を組み合わせて展開することで達成される。TDIRフレームワークは、サイバー攻撃者の一歩先を行くために必要なツールと手順を組織に提供します。
また、TDIRは1回限りのプロセスではないということも重要である。検知、対応、改善の継続的なサイクルである。このダイナミックなアプローチにより、組織は進化し続ける脅威の状況に防御を適応させることができる。
このコンテンツはNew-Scale SIEM.
脅威検知、調査、対応のプロセス
プロアクティブな脅威ハンティング
TDIRプロセスの最初の段階は、プロアクティブな脅威ハンティングである。これは、組織のデジタル資産を危険にさらす可能性のある潜在的な脅威を積極的に探すことである。脅威に対応する従来のセキュリティ対策とは異なり、プロアクティブな脅威ハンティングでは、被害が発生する前に脅威を特定することを目指します。
脅威ハンティングには、組織のインフラ、システム、典型的なネットワーク動作を深く理解し、維持することが必要です。何が正常かを知ることで、セキュリティ・チームは潜在的な脅威を示す可能性のある異常を迅速に発見することができます。また、新しいタイプの攻撃を予測するために、特に業界や地域に特化した外部の最新の脅威インテリジェンスを常に把握する必要があります。TDIRソリューションは、脅威ハンティングを自動化し、セキュリティ・チームが関連するセキュリティ・イベントを検索するのに役立ちます。
脅威と異常の検出
このステップでは、人工知能(AI)や機械学習(ML)のような先進テクノロジーが活躍する。これらのテクノロジーを利用することで、企業は検知プロセスを自動化し、脅威を大規模に特定することができる。
検知とは、既知の脅威を特定することだけでなく、ゼロデイ・エクスプロイトを含む未知の脅威を示す可能性のある異常を発見することも含まれる。このような未知の脅威を検知する能力が、TDIR戦略を成功させる鍵である。これは、パターンマッチングやシグネチャベースの検知によって脅威を検知するAIを採用したセキュリティ・ツール(AIという大きな括りの中では別個のものだが重要なエッセンスである)や、異常や新しいパターンや変化を判断するMLアナリティクスを採用したベンダーによって達成される。
調査脅威の優先順位付けと分析
脅威や異常が検出されたら、次のステップは優先順位をつけて分析することである。すべての脅威が、組織への影響やインパクトという点で、同じレベルのリスクをもたらすわけではないので、どの脅威に早急な注意が必要かを判断することが重要である。
優先順位付けには、脅威が組織の業務やデータに与える潜在的な影響の評価が含まれる。分析には、脅威の性質、発生源、現在の範囲、潜在的な軌跡を理解することが含まれる。このステップは、効果的な対応戦略を立案するために極めて重要である。IPアドレス、ユーザー、システム名、機能をマッピングする情報を持つことは、重要な部分であり、調査段階をスピードアップすることができる。
対応と修復
脅威が分析され理解されたら、緩和または無力化によって対応する時が来た。対応には、MFAチェックの強制、クレデンシャルのシャットダウン、影響を受けるシステムの隔離、悪意のあるIPアドレスのブロック、ネットワークからのマルウェアの除去などが含まれる。
修復には、脅威によって引き起こされた損害を修復し、システムを正常な状態に戻すことが含まれる。これには、パスワードの変更、脆弱性へのパッチ適用、失われたデータの回復、侵害されたソフトウェアの再インストールなどの作業が含まれる。重大な侵害が発生した可能性がある状況では、アナリストは上層部とのコミュニケーションにおいて明確かつ正確である必要があり、監査目的のために攻撃のすべてのステップと取られた行動について説明する必要がある。
回復と学習
当面の脅威に対処した後は、その経験から学び、組織の防御を改善する時である。これには、新しいセキュリティ・ログやシステム・ログを導入してユースケースをより広く把握したり、可視性やルール・セット、異常検知のカバレッジを向上させて将来的に同様のインシデントを防止したりすることも含まれる。
リカバリーには、業務を正常に戻し、脅威の残存影響に対処することが含まれる。一方、学習とは、何が問題だったのかを理解し、プロセス、テクノロジー、ツール、手順の改善を通じて、今後同様のインシデントを防止する方法を理解するために、インシデント後の分析を行うことである。
パブリック・クラウド向けTDIRについての詳細ブログをお読みください。
脅威検知、調査、対応に使用されるツールと技術
現代の組織でTDIRを達成するために使われている主なツールをいくつか紹介しよう。
セキュリティ情報・イベント管理(SIEM)
SIEMソリューションは、サイバーセキュリティの専門家にとって重要なツールです。SIEM ソリューションは、IT 環境全体で生成されたログ・データを収集して集約し、標準からの逸脱を特定して、セキュリティ・チームが脅威を軽減するために適切な行動を取るのを支援します。SIEM ソリューションは通常、セキュリティ・アラートをほぼリアルタイムで分析できるため、脅威検出プロセスにおいて不可欠なコンポーネントとなります。市場で最も優れたSIEMソリューションは、セキュリティ・ログ管理、ユーザとエンティティの行動分析(UEBA)、自動化/オーケストレーション機能を兼ね備えています。
また、SIEM システムは関連するイベントを相関させることができるため、セキュリティ・チームが攻撃の全容を把握するのに役立ちます。さらに、SIEM ツールによって特定の種類の脅威への対応を自動化できるため、セキュリティ担当者はより複雑な問題に集中できるようになります。
エンドポイント検出と応答(EDR)と拡張検出と応答(XDR)
EDRツールは、エンドポイントデータのリアルタイムの監視と収集を行い、セキュリティチームが潜在的な脅威を検出、調査、防止できるようにします。EDRツールは、ラップトップ、ワークステーション、モバイル・デバイスなどのエンドポイントにおける不審な活動を特定し、分析することができます。
一方、XDR は、複数のセキュリティ製品を統合して、まとまりのあるセキュリティ・インシデント検出・対応プラットフォームにすることで、これらの機能を拡張します。ネイティブXDRは、特に同じベンダーのネットワーク・トラフィック分析およびその他のセキュリティ・ツールと組み合わせた EDR の機能を組み合わせて、組織のセキュリティ・ポスチャの全体的なビューを提供します。この包括的な可視性は、組織のネットワーク全体にわたる脅威の検出と修復に大いに役立ちます。
侵入検知・防御システム(IDS/IPS)
侵入検知・防御システムは、強固な脅威検知・対応戦略の重要なコンポーネントです。これらのシステムは、ネットワーク・トラフィックを監視し、不審なアクティビティやポリシー違反を検出します。侵入検知システム(IDS)は、ネットワーク・トラフィックを分析して潜在的な脅威を検知し、セキュリティ・チームに警告を発します。一方、侵入防御システム(IPS)は、検知された脅威を自動的にブロックまたは軽減するために、ファイアウォール/プロキシに信号を送信することで、さらに一歩進めます。
次世代ファイアウォール(NGFW)とウェブアプリケーションファイアウォール(WAF)
NGFWは、従来のファイアウォールの洗練されたバージョンで、ディープ・パケット・インスペクション、侵入防御システム、一部のアンチウィルス・ハッシュ・マッチング、外部脅威インテリジェンスを組み込む機能などの高度な機能を備えている。NGFWは、ネットワーク・トラフィックの可視性と制御を強化し、組織が脅威をより的確に検知して対応できるよう支援する。
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションとインターネット間のHTTPトラフィックを監視・フィルタリングすることで、Webアプリケーションを保護します。WAFは、クロスサイト・スクリプティング(XSS)、SQLインジェクション、およびOWASP Top 10に記載されているようなその他の脅威など、Webベースの攻撃を検出し、防止するのに役立ちます。
クラウド検知・対応ツール
クラウド検知・対応(CDR)ツールは、脅威検知・対応機能をクラウド環境に拡張する。CDRツールは、様々なクラウド・サービスやインフラストラクチャにおけるアクセスやその他のアクティビティを監視・分析し、潜在的なセキュリティ脅威を検知する。CDRツールは、クラウド環境に特有の設定ミス、不正アクセス、その他の脅威を検出するのに役立ち、多くの場合、クラウドサービスの認証と認可の一部となる。
CDRは、他のセキュリティ・ツールと統合することで、オンプレミス環境とクラウド環境の両方にわたって、組織のセキュリティ・ステータスの統一されたビューを提供します。
人工知能と機械学習
人工知能(AI)と機械学習(ML)は、脅威の検知と対応のあり方を大きく変えつつある。これらのテクノロジーは、膨大な量のデータを高速で分析し、サイバー脅威を示す可能性のあるパターンや異常を検出することができる。パターンマッチング、ファクトベースの検出、その他のシグネチャ指向のツールは、何十年もの間、セキュリティの武器庫の一部でしたが、この分野のAIは、MLや自然言語処理(NLP)のタスクと組み合わせることで、脅威の分析と対応のスピードアップに貢献し始めています。
AIとMLは、脅威を特定するプロセスを自動化し、攻撃を検知するまでの時間を短縮し、対応の効率を高めることができる。また、過去のパターンに基づいて将来の攻撃を予測し、セキュリティ・スタックとレスポンス・ツールの両方において、カバレッジ、ルール、ユースケースの可視化、セキュリティ・データの新しいソースの改善を提案することで、組織のプロアクティブ化を支援することもできる。
脅威インテリジェンスプラットフォーム
脅威インテリジェンス・プラットフォーム(TIP)は、脅威の検知と対応におけるもう一つの重要なテクノロジーである。TIPは、さまざまなソースからデータを収集、集約、分析し、現在および潜在的な脅威に関する実用的なインテリジェンスを提供します。TIPは、組織が脅威の状況を理解し、傾向を把握し、セキュリティ対策に優先順位をつけるのに役立ちます。
これらのプラットフォームは、組織間の情報共有を促進し、サイバーセキュリティに対する協調的なアプローチを促進することもできます。TIP を使用することで、組織はサイバー犯罪者の一歩先を行くことができ、被害をもたらす前に脅威をプロアクティブに緩和することができます。最高のSIEMソリューションには、攻撃やイベントのコンテキストデータを充実させるTIPフィードがすでに搭載されており、既知の悪質なドメイン、IP、パターンの優先順位付けに役立ちます。
効果的な脅威検知およびレスポンスまたはTDIRのためのベストプラクティス
定期的な脆弱性評価と侵入テストの実施
定期的な脆弱性評価を実施することで、組織は、脅威要因に悪用される前にセキュリティ体制の弱点を特定することができる。このような評価は、組織のシステム、アプリケーション、ネットワークのあらゆる側面を網羅する包括的なものでなければならない。
同様に、侵入テスト(倫理的ハッキングとも呼ばれる)とアプリケーションセキュリティテスト(ソフトウェア構成分析ツールと同様)は、脆弱性評価では見えないかもしれない脆弱性を発見するのに役立つ。侵入テストは、実際の攻撃をシミュレートし、組織の防御をテストし、実際の攻撃にどの程度耐えることができるかについての洞察を提供する。ソフトウェアとハードウェアのいずれにおいても、重要で高い発見を管理することは、組織にとって多くのリソースを消費し、セキュリティ担当者を、組織がまだ効果的なパッチを迅速に適用できない領域で監視する仕事に従事させることになる。
包括的なインシデント対応計画の実施
インシデント対応計画とは、組織がセキュリティ・インシデントに迅速かつ効果的に対応するための一連の手順である。この計画では、チームメンバ全員の役割と責任を概説し、インシデントの取り込みとトラブルシューティング、各種インシデントへの対応手順を詳述する。この計画では、インシデント発生中および発生後の利害関係者とのコミュニケーションに関するガイドラインを示す。
包括的なインシデント対応計画を策定することで、セキュリティ・インシデントへの対応に要する時間を大幅に短縮し、インシデントがもたらす損害や混乱を最小限に抑えることができます。また、チームメンバー全員が攻撃発生時に何をすべきかを確実に把握できるため、組織全体のセキュリティ態勢を強化することができます。
明確なエスカレーションパスを決定する
効率的な脅威対応には、明確なエスカレーション経路を確立することが重要である。潜在的な脅威が検出された場合、関連する情報を適切な担当者またはチームに迅速にエスカレーションし、さらなる分析と修復を行う必要がある。エスカレーション・パスは、脅威の深刻度、潜在的な影響、およびその対処に必要なスキルによって異なる場合がある。脅威の種類によっては、メディアや社外に知られる可能性があり、その影響度が高い場合は、迅速に情報を伝えるために、経営陣のスポンサーや連絡先を設けるべきである。
エスカレーションとコミュニケーションの経路を明確かつ文書化することで、対応プロセスを迅速化し、脅威が適切な専門家によって処理されるようにすることができる。
脅威対応の自動化
脅威対応を自動化することで、組織は迅速かつ効果的に脅威を無力化することができます。これには、自動化スクリプトを使用して悪意のあるIPアドレスをブロックしたり、影響を受けたシステムを隔離したり、その他の事前定義された対応アクションを実行したりすることが含まれる。自動化は、既知の脆弱性に自動的にパッチを適用するなどの修復プロセスにも拡張できます。
次世代SIEM、New-Scale SIEM TM、XDRシステムなどの高度なツールは、UEBAやセキュリティ・オーケストレーション・オートメーション・レスポンス(SOAR)のような他のセキュリティ・システムと統合し、特定した脅威や異常に自動的に対応することができる。例えば、電子メール・セキュリティ・システムがスパムメールの送信に使用されている悪意のあるIPを検出した場合、そのIPを発着するトラフィックをブロックするようにファイアウォールのルールを自動的に変更することができる。
継続的モニタリングの実施
継続的な監視は、効果的な脅威の検知と対応に不可欠である。組織はシステムやネットワークを24時間365日監視し、SIEMやEDRのようなツールを使用して、不審な活動が発生したらすぐに検出する必要がある。
さらに、組織は、進化する脅威の状況を考慮して、セキュリティ対策を定期的に見直し、更新する必要がある。また、セキュリティ態勢の定期的な監査を実施し、改善すべき領域を特定し、必要な変更を実施すべきである。
従業員の訓練とセキュリティ意識の向上
最後になるが、効果的な脅威の検知と対応には、従業員のトレーニングと意識が不可欠である。従業員は組織のセキュリティ・チェーンの中で最も弱いリンクであることが多く、認識不足は不注意による侵害につながる可能性がある。
組織は、従業員に対して定期的なトレーニングを実施し、最新の脅威について教育し、その認識と対応方法を教えるべきである。このようなトレーニングは、セキュリティ・インシデントのリスクを大幅に低減し、組織の全体的なセキュリティ態勢を強化することができる。
脅威検知Exabeam による調査および対応
Exabeam は、脅威の検知と対応に加え、セキュリティ運用ワークフローの重要な要素であり、リソ ースと時間を最も浪費する可能性のある調査を追加します。Exabeam Fusionまたは Exabeam Security Investigationを使用することで、TDIR ワークフロー全体を自動化および近代化し、脅威の全体像を把握し、手作業を減らし、複雑な作業を簡素化することができます。
Exabeam Security Investigationは、SIEM ツールやデータレイクを強化することで、高度な脅威検知と結果に焦点を当てた TDIR を可能にします。Exabeam Security Investigationは、サードパーティのセキュリティ・ツールとの事前構築された統合を使用した処方的脅威調査、および複数の製品からの弱いシグナルを組み合わせた自動化と市場をリードする行動分析を提供し、他のツールで見過ごされた複雑な脅威を検出、調査、対応します。
Exabeam Security Investigationは、すべてのユーザーとエンティティの通常活動のベースラインを確立する UEBA をベースに構築されており、すべての注目すべきイベントを、文脈に応じて自動化された中で可視化します。スマートタイムラインTM.アナリストは、ユーザーとエンティティのコンテキスト・データを確認することで、悪意のある行動を特定し、環境内での攻撃者の滞留時間を短縮することができます。セキュリティ・オペレーション・センター(SOC)の自動化により、一貫した再現可能な結果を保証し、オペレーションを拡張し、応答時間を短縮しながら調査を加速します。
Exabeam Security Investigationには、漏洩した内部関係者、悪意のある内部関係者、外部からの脅威などのユースケースに沿った検出コンテンツがあらかじめパッケージ化されており、漏洩した認証情報、特権アクセス、フィッシングなどの所定のワークフローには、TDIR の成果を達成するために特定の脅威タイプに対応するためのガイダンスを提供するチェックリストが含まれています。アナリストは、アラートのトリアージ、インシデント調査、SOAR操作を含むインシデント対応などの手動タスクを自動化する単一のコントロールプレーンからワークフローを実行できます。
Exabeam Fusion Security Investigation Exabeam Fusionは、UEBA と何百もの統合済みの最新検索を組み合わせ、複雑な質問に数秒で回答します。 は、複数の製品からの弱いシグナルを分析し、他のツールでは見逃されがちなクレデンシャルベースの攻撃のような複雑な脅威を発見し、チームが異常の優先順位を付けて全体像を迅速に把握できるようにします。Exabeam Fusion
Exabeam Fusionと Exabeam は、TDIR をより成功に導くために、所定のワークフローや特定の脅威タイプに特化したプリパッケージ・コンテンツなど、ベストプラクティスの標準化を支援することで、アナリストによるセキュリティ運用の加速と合理化を実現します。これにより、セキュリティオペレーションは、各フェーズで発生する手動タスクの自動化を実行する単一のコントロールパネルから、エンドツーエンドのTDIRワークフローを実行できるようになります。Security Investigation
その他のNew-Scale SIEM説明者
