- 2022/03/29
- XDR
Cybereason XDRは誤検知を減らすことができる
Post by : Dan Verton
今やセキュリティオペレーションセンター(SOC)チームは、その規模や洗練度にかかわらず、自らの限界に達しています。アラートの過負荷と「インシデントを見逃す恐れ」が原因で、SOCのアナリストたちのストレスは溜まっていく一方です。さらに事態を悪化させているのが、これらのアラートの半数以上は誤検知であるという事実です。その結果、アナリストたちは、プランニング、トレーニング、そしてセキュリティプログラムなどの業務を改善するための時間を奪われています。
SIEMツール、侵入検知システム(IDS)、メール保護ツール、ファイアウォールなどは、「うるさい」ことで知られています。なぜなら、これらのツールは、根本原因、インシデント範囲、攻撃の優先順位などに関する限定的なコンテキストに基づいて、大量のアラートを発行するからです。アラートの意味を理解し、影響を受けたユーザーや資産を追跡し、それが本当に悪意ある活動であるかどうかを判断するのは、人間のアナリストに任されています。
長い間誤検知が続いてしまうと、チームは本当の脅威に対して次第に鈍感になります。大量の偽のアラートに直面した場合、チームはアラートのしきい値を低く設定するか、または保護を完全にオフにすることがあります。人間によるプロセスは迅速なスケーリングが行えないため、増え続ける大量の誤検知と真の脅威を適切に処理できません。
Cybereason XDR〜IT環境全体のログを解析し、サイバー攻撃の全体像を可視化し、攻撃を阻止〜
では、Cybereason XDRが、いかに無害な行動と悪意ある行動を区別し、資産やIDを通じてそれらの行動をリンクさせることで、より迅速な根本原因分析やインシデントスコーピングを実現しているかを詳しく見ていきましょう。
Cybereason XDR Platformの持つ真に優れた機能が、MalOp™(悪意のある操作)検知エンジンです。MalOpは、あらゆるデバイス、ユーザーID、アプリケーション、クラウド環境を通じて、攻撃の全容を明らかにします。競合ソリューションでは、すべてのエンドポイント、ワークスペース、アイデンティティ、ネットワーク、クラウド資産から必要なテレメトリを収集するために、何十または何百ものセキュリティツールとの複雑な統合が必要となります。一方、サイバーリーズンのAI搭載型XDRは、MalOp検知エンジンを使用してこれらのデータすべてを取り込み、相互に関連付けることにより、極めて高い信頼度で悪意ある行動を特定できます。
収集したデータを基に、MalOp検知エンジンによる解析と相互関連付けを行うことで、Cybereason XDRは、MalOpを明らかにするための「証拠(Evidence)」と「疑い(Suspicion)」を生成します。
これらの検知は、重要度レベルが異なっています。たとえば、「証拠」は、悪質である可能性が最も低く、環境で発生している特定の動作や活動(無害および悪質の両方)を警告するものだと見なされます。例として、プロセス要素がRDPポートに接続すると、MalOpエンジンは「Connected to RDP Port(RDPポートに接続)」という証拠を生成します。
これとは対照的に、「疑い」は悪質である可能性が高いために注意が必要です。しかしこれは、MalOpによりカプセル化された動作の反復チェーンを表すものではありません。検知エンジンは、個々の動作が悪質である可能性がある場合、または、いくつかの証拠が一緒になって悪意ある動作を表す可能性がある場合に、同エンジンは「疑い」を生成します。通常、「証拠」が「疑い」となるしきい値は、検知を見落とす可能性を最小化するために意図的に低く設定されています。
MalOpとは、セキュリティインシデントの一部である可能性が非常に高い、関連する疑わしいアクティビティの集合体です。すべてのMalOpには、関連するいくつかの「疑い」と「証拠」があり、それらはMalOpの詳細にリストされています。「証拠」および/または「疑い」が悪意ある行動の確認されたパターンを反映している場合、CybereasonプラットフォームはそのアクティビティをMalOpと見なします。
Cybereason XDRは、ネットワーク全体(すべてのコンピューター、サーバー、モバイルデバイス、クラウドワークロード)におけるイベントを1つずつ調査します。行動アナリティクスは、これらのイベントに対して、リアルタイムで次のように質問します(調査するイベントの数は毎秒最大8000万件であり、これは市場に出回っている他社のXDRまたはEDRプラットフォームがサポートしている数を上回っています)
- そのアクティビティは過去に悪意あるものとして特定されたことがあるか?
- それは、組織、ユーザー、アプリケーション、システムにとって一般的なアクティビティであるか?
- 誰がそのプロセスを実行したか?
- そのプロセスを実行したユーザーはどのような権限を持っていたか?
アナリストは、攻撃の全容を把握し、攻撃者が次に実行しそうなことを知ることができます。それと同時に、アナリストは、ネットワーク上で起きている最も重要な事象だけに集中できるようになります。
【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜
サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。
昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。
このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/