- 2022/10/04
- サイバー攻撃
SOCの再構築:9.11における軍隊の行動から学んだ教訓
Post by : Dan Verton
今日のSOCの現状とは?
サイバースペースにおける分散化したグローバルな攻撃者との戦いを維持するために、モダンなセキュリティオペレーションセンター(SOC)は、よりアジリティを高め、自由に使えるツールとプロセスを再構築するための変更管理を導入する実験に取り組む必要があります。
常に戦っている現状を維持することは困難です。これには、攻撃者の一歩先を行くこと、ビジネスユニットの仲間との関係を維持すること、セキュリティ投資に対するリターンを示すこと、得難いスタッフを燃え尽きるまで酷使しないようにすることなどが含まれるからです。
今日のSOCは、2001年9月11日の朝、ペンタゴンが置かれていたのと同じ立場にあります。つまり、今日のSCOは、人員不足、特定のスキルの欠如、動きの遅さを特徴としており、産業プロセスがネックとなることにより、新しいタイプの戦争を仕掛ける攻撃者に後れずについて行くことができないのです。
2001年当時、米国軍は対テロ戦争に必要な組織構造を欠いていただけでなく、過去の戦争のために設計されたプロセスやツールにより防衛が妨げられていました。適切なツールやワークフローを備えた適切な部隊編成を実現するには、数年にわたる徹底した変更管理が必要でした。
Samuel Liles氏は、Ultimate Kronos Group(UKG)のセキュリティ部門のバイスプレジデントであり、2015年から2018年まで、国土安全保障省の情報分析局サイバー部門の局長代理を務めていました。彼は最近のインタビューで、従来のSOCの構造やワークフローを見直す必要があると述べています。
Liles氏は次のように述べています。「SOCの作り方に関する教科書を手に取り、そこでワークフローがどのように構成されているかを見てください。それは、入力と出力のある工業プロセスです。私は、SOCの効率と効果を工業プロセスにおける入力と出力の側面からだけ見ているのではありません。
私は「SOCがどのようにセキュリティを強化しているか?」という観点で見ているのです。もし、アウトプットが企業のセキュリティ向上に寄与していないのであれば、それは効果的とは言えません。フィッシングのように、今後も絶え間なく変化し続ける課題があります。しかし、防ぐことができるものについては、そのようなことが二度と起こらないようにするという結果が必要なのです」。
SOCのパフォーマンスを向上させるには
米国海兵隊の元情報将校として、私は混沌とした環境の中でシームレスに移動し、攻撃し、コミュニケートすることの重要性を理解しています。すべてのエリート戦闘組織は、多大なストレスの中、理想的とはいえない人員、装備、資源の中で、これら3つの活動をいかに実行すればよいかを理解しています。
軍隊では、OODAループ(Observe(観察)、Orient(状況判断)、Decide(意思決定)、Act(行動))と呼ばれるロジックが活用されています。これは意思決定のための4つのステップからなるアプローチであり、入手可能な情報を収集し、それをコンテキストに照らし合わせ、最も適切な判断を迅速に下し、さらにデータが入手可能になれば変更できるように準備しておくことに重点を置くものです。
SOCは、この運用モデルの独自のバージョンを採用することで、アラート管理、無秩序に増殖するセキュリティツールへの対応、テレメトリの管理などを行う必要があります。
アラート疲れ
Liles氏は次のように述べています。「誤検知率は、アナリストを埃まみれにします。その結果、できるだけ早くチケットをクローズするために働くアナリストの層が形成されます。我々は彼らをSOCアナリストと呼んでいますが、彼らは実際に分析を行っているわけではありません。彼らは確認できるよう訓練されたパターンを探しているだけであり、新しいパターンが現れた場合、彼らがそれを検知できるかどうかは不確定なのです」。
単純なことですが、警告の疲労は、アナリストが物事を見落とす原因となります。Liles氏は次のように述べています。「私はさまざまな業界の複数のチームと話をしましたが、彼らは皆、同じことを行っていました。彼らは実際の攻撃を無視していたのです。つまり、彼らはアラートを使って常に攻撃者を追いかけているのです。これは、彼らが常に敵の後をついて行くだけであり、決して主導権を取ることはないことを意味します」。
ツールの無秩序な増殖と失われる労力
最近の調査によると、アタックサーフェスの急速な拡大により、ほとんどの組織がセキュリティツールの数を増やしていることが判明しています。平均的な中堅および大企業は数十種類のセキュリティツールを保有していますが、そのほとんどは統合性に欠けており、操作に専門的な知識が必要であるため、多くの場合、それらは使われないままになっています。
しかし、もう1つ大きな問題があります。それは、コンテキストの欠如です。ほとんどの企業は、セキュリティツールから送られてくるデータにアクセスするために、セキュリティ情報およびイベント管理(SIEM)プラットフォームを利用しています。しかし、彼らが得るものは「システム内におけるエントロピー」だけだとLiles氏は言います。
彼は次のように述べています。「あなたの会社がGCP(Google Cloud Platform)を運用しており、かつSecurity Command Centerをインストールしているとしましょう。Security Command Centerは、クラウド環境に関連するすべての詳細を知ることができる、コンテキストに応じて利用可能なSIEMです。そのアラートを別のSIEMであるSplunkのようなシステムにフィードすると、あなたはSIEMの損失を得ることになります。私はこれを何と呼べばいいのか分かりません。それはシステム内におけるエントロピーとでも言うべきものです。今やあなたは、アナリストが一連のダッシュボードを巡回し、常に次のチケットを探すのを見ることになるのですが、多くの場合、それもまたエントロピーの一種なのです」。
アナリストがコンテキストを切り替える(データにアクセスするために異なるツールのダッシュボードや画面へと移動する)ことを余儀なくされると、労力が失われることになります。Liles氏は次のように述べています。「大規模なSOCでは、コンテキストの切り替えだけで、フルタイム従業員の数人分に相当する労力が失われる可能性があります。SOCにおける従業員の増員が必要な場合、コンテキストの切り替え回数を減らすことを検討する必要があります」。
テレメトリに関する議論
Liles氏は次のように述べています。「あまりにも長い間、多くの人々が、サイバーセキュリティがデータの問題であることを認識していませんでした。人々は、これを在庫の問題にしようとしてきました。しかし、それは在庫の問題ではなく、データの問題なのです。人々はそれをシステムの問題にしようとしました。しかし、それはシステムの問題ではなく、データの問題なのです」。
彼は続けます。「私たちは、それをクラウドの問題にしようとしています。しかし、それはクラウドの問題ではありません。それはデータの問題であり、データがどこに流れ、どのように移動するかを理解することが、データを保護する唯一の方法なのです」。
サイバーセキュリティがデータの問題であるならば、それは利用可能なすべてのテレメトリを収集する必要があることを意味します。問題は、すべてのソリューションプロバイダーが、組織のインフラから送られてくるすべてのテレメトリを収集し、処理する能力を持っているわけではないことです。
これらのベンダーは通常、「データフィルタリング」を利用することで、収集したデータを解析のためにクラウドに送信する前にテレメトリを排除しています。しかし、これらのデータはタイムリーな検知に役立つ可能性があるものです。これらのデータが考慮されない場合、組織のセキュリティ体制の不完全なスナップショットしか生成されないことになります。
しかし、多くの企業にとって、自らのセキュリティテレメトリを収集することは困難です。Liles氏は次のように述べています。「多くの組織は、そのような会話をする準備ができていません。もったいないことに、彼らは、外部ファイアウォールのログなどのデータを常に破棄しているのです」。
変革はサイバーリーズンから始まる
アラート中心のセキュリティモデルからオペレーション中心のモデルに移行することで、SOCチームの運用効果と効率は大幅に向上します。小規模なチームであっても大規模なチームと同様の作業を行うことが可能となり、経験の浅いチームでも即座に効果を発揮できるようになります。これにより、SOCのリスク軽減能力は飛躍的に向上します。
Cybereason Defense プラットフォームは、人工知能と機械学習を利用することで、データのフィルタリングを行うことなく、利用可能なすべてのテレメトリを使用して、攻撃のストーリーの全体像を構築します。Cybereason Defense プラットフォームが悪意ある活動を検知し、その検知結果をアナリストに提示する場合、それは高精度の高いアラートとなります。
アナリストがトリアージ、調査、対応ワークフローに参加するのは、検証済みのアラートが環境内でアクティブになっている場合だけです。これにより、問題の再発を防ぎ、人間の目で確認する必要がある「真陽性」の検知のみを扱うことで、調査時間を大幅に短縮できます。
Cybereason Defense プラットフォームの主な差別化要因として、アラートを単一の悪意ある操作(これをサイバーリーズンではMalOp™と呼んでいます)へと統合する機能が挙げられます。他のベンダーが1つの侵入に対して何十回も警告を発するのに対し、CybereasonのMalOp検知エンジンは、すべてのユーザー、デバイス、アイデンティティ、ネットワーク接続を含む攻撃の個別のコンポーネントをつなぎ合わせることで、コンテキストに沿った包括的な攻撃ストーリーを生成します。
Cybereason Defense プラットフォームは、攻撃の全容を理解しているため、外部のSOARソリューションを使用することなく、カスタマイズされた対応プレイブックを通じて、影響を受けたすべてのエンドポイントおよびユーザーへの対応のオーケストレーションと自動化を実現できます。
チームがより多くの帯域幅を持つようになると、余分なサイクルが生まれます。オペレーション中心のアプローチでは、追加された帯域幅を、これまで手が届かなかったプロジェクト(脅威ハンティングなど)に使うことができるため、セキュリティチームは、最終的に攻撃者の一歩先を行くことが可能となります。
サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。
加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
【グローバル調査結果】2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、2021年に続いて2022年もランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、ランサムウェアがビジネスにどのような影響を与え続けているかなどについての調査結果とランサムウェア攻撃に対する効果的な対策について解説しています。
https://www.cybereason.co.jp/product-documents/survey-report/8548/
