- 2019/09/19
- セキュリティ
インシデントの事後レビューとビッグデータの問題
Post by : hackerxbella
侵害の真の根本原因を把握する
所属する業界や組織の規模、チームの成熟度にかかわらず、どのセキュリティチームも例外なく目指している必須の事柄があります。それは、リスクの管理です。
リスクの管理が意味するところは、サイバーセキュリティの問題を一度きりで完全に解決することと同じではありません。そもそもそのように問題を完全に解決できる方法など全く存在しないからです。攻撃者は攻撃の内容を常に進化させて新しい手法を生み出し、脆弱性を新たに探し続けています。
侵害は避けられないものと想定して行動しているセキュリティチームは、サイバーセキュリティの活動が決着のつかないチェスの試合を続けるようなものであることを理解しており、汎用的な単一のソリューションを探す代わりに、可視性の向上や自動化の推進を通じてできるだけリスクを抑えようと取り組んでいます。
リスクを効果的に抑制するうえでインシデントレスポンスの果たす役割は重要です。セキュリティ侵害によりデータが消失したり盗難にあったりすると、平均してデータごとに148ドルのコストが発生しており、インシデントレスポンスチームが存在する場合、このコストはほぼ10%削減されます。
問題対応や問題の解決と密接に関係する重要な思考の領域に人的要素が存在する以上、インシデントレスポンスを完全に自動化することは不可能です。しかし、そうだとしても、侵害の発生時にインシデントレスポンスが絶対に必要になるという事実が変わることはありません。
にもかかわらず77%のITプロフェッショナルが、自身の組織にはサイバーインシデントへの正式な対応プランが用意されていないと述べています。代わりにその場しのぎのやり方で脅威に対応するだけで、インシデントの根本原因を突き止めて問題点を解決しようとはしないのです。インシデントレスポンスには、利用率の低い資産と同じ性質があります。得られるメリットは、組織的、受動的かつ、直接的、長期的なメリットです。
インシデントレスポンスチームは、インシデントレスポンスプランの策定と実行の責任を負います。また、ダメージの緩和や、インシデントの根本原因の特定、適切なチャネルとのコミュニケーションができるように備えます。しかしインシデントレスポンスチームはインシデントレスポンスにおける別の重要な役割も担います。インシデントの事後レビューです。
攻撃の全容を把握する
インシデントの事後レビューとは、インシデントのあらゆる側面を把握してインシデントの真の根本原因を突き止めることを意味し、攻撃の最中や攻撃の前後に何が起こったかといったような重要な問いに答えを出していきます。これらの問いの答えを得られれば、同じ攻撃を再度受けることがなくなります。攻撃の内容を入念に調べ、攻撃者が利用した防御の穴をすべて特定して塞ぐのです。
ただし現状のままでは、インシデントの事後レビューには大きな課題が残っています。
データ侵害の内容を把握するのに、平均で191日もの期間がかかっているのです。これは、相当の注意を払ってインシデントの事後レビューを実施し、根本原因を特定する場合に、少なくとも191日分のデータすべてを過去に遡って確認しなければならなくなることを意味します。191日間のあいだに環境内を行き交うすべてのデータがどのくらいあるのかを考えてみてください。この期間のデータを分析する場合、アナリストは一体どれだけの調査を行っているのでしょうか。
客観的な数字を見ると、ITプロフェッショナルの27%が、1日に100万を超える脅威に遭遇していると報告しており、同じく10万を超える数字を報告しているITプロフェッショナルの割合は55%に上ります。Fortune 500企業のインフラストラクチャでは、月あたり10テラバイト規模のプレーンテキストログデータが生成される可能性があります。このような状況で6か月超の期間のログを分類して確認しインシデント調査を実施しなければならないというのは、想像しただけでも大変な作業です。
インシデントの事後レビューではビッグデータの問題を抱えており、その解決にはビッグデータソリューションが必要です。インシデントレスポンスチームは1か月分のデータを簡単に照会できる方法を必要としていますが、現時点ではまだ業界はそのようなソリューションを提供できる段階にありません。ネットワークフォレンジックの場合、扱えるRawデータの量が2週間分から3週間分に限られ、一方、ログ管理ソリューションでは大量のデータセットを評価して相互に関連付けることは困難です。
業界全体として、セキュリティソリューションには、ビッグデータの観点を取り入れていく必要があります。従来のソリューションでは現状のドエルタイムには対応できません。攻撃のあらゆるフェーズを適切なかたちで相互に関連付ける必要があるのにそれが不可能なのです。これでは、セキュリティアナリストは、重要なデータを見逃してしまいます。重要になるのは次の点です。
まず、セキュリティ企業であれば、製品やサービスの開発にデータサイエンスの考え方を取り入れる必要があります。また、セキュリティオペレーションセンター(SOC)の業務に携わっている場合は、インシデントレスポンスそのものに気を配るだけでなく、膨大な量のデータを既存のツールでいかに処理して利用しやすくできるかを考える必要があります。
ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」
インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。
しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。
本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/
