- 2021/12/16
- XDR
XDRはいかにしてセキュリティを強くするのか?
Post by : Anthony M. Freed
XDR(Extended Detection and Response)の未来は明るく見えます。MarketResearch.comによると、市場調査会社のFrost & Sullivanは、XDRの世界市場は今後3桁の成長を遂げると予測しているとのことです。この楽観的な予測には、XDRが企業とその継続的なセキュリティ対策にもたらす多くのメリットが反映されています。
以下では、そのうちの4つのメリットについて説明します。
XDRのメリット – その1:可視性
1つ目のメリットとして、XDRは、複数のセキュリティレイヤーを貫き、レイヤーの奥深くまで可視化することが挙げられます。この点においてEDR(Endpoint Detection and Response)の進化版と言えます。Dark Readingで説明されているように、EDRは継続的な監視と脅威の検知、そして自動応答の機能に重点を置いています。
しかし、これらの機能をエンドポイントレベルでしか実行できないという制限があります。そこで登場したのがXDRです。XDRは、EDRと同じく検知と応答に重点を置き、それらをエンドポイントだけでなく、企業のクラウドワークロード、アプリケーション、ユーザーアイデンティティ、さらにはネットワーク全体にまで拡大します。
組織のインフラのさまざまな部分からテレメトリデータを収集し、各所の状況をセキュリティチームが把握できるようにします。また、SIEMやSOARソリューションのように、関連性のないネットワークアクティビティに対してアラートを挙げるだけでなく、判断に必要なコンテキストや相関関係を提供することで、そのテレメトリから適切なアクションを導き出せるようにします。
XDRのメリット – その2:サイロ化の解消
二つ目のメリットとして、XDRは、検知と応答に包括的なアプローチをとることで、情報のサイロ化を解消できます。多くの組織おいて、関連するセキュリティ情報の関連付けが困難になっている状況を踏まえると、メリットとして際立っています。たとえば、2021年2月、Dark Reading社は、脅威の検知と応答に関する課題をセキュリティ専門家に尋ねた調査結果を公開しています。
回答者の約4分の1(23%)が、異なるツールからのセキュリティアラートを相関させるのが難しいと回答しており、この問題を解決すると約束しながら実際には実現できていない、評価の高いSIEMやSOARソリューションの欠点が浮き彫りにされました。
一方、XDRは、EDR、ファイアウォール、アンチウイルス、その他のセキュリティ機能をツールセットに統合しており、さまざまなアラートを相関させて、SOCアナリストが活用できる情報に変えることができます。その結果、セキュリティチームは、大量のアラートを手作業で分別するトリアージや調査から解放されるので、迅速な検知と自動化対応によって、キルチェーンの早い段階で攻撃を修正することができます。
XDRのメリット – その3:セキュリティへの運用重視のアプローチ
3つ目のメリットとして、XDRの優れた相関分析により、現在はアラート疲れに陥っている組織もセキュリティに対して運用重視のアプローチをとることができます。XDRは、急激に展開する脅威の状況に柔軟に対応できないアラート重視の体制から組織を解放します。
あるキャンペーンの攻撃チェーンが過去に誰かに目撃されたという保証はありません。このため、痕跡情報(IoC:Indicators of Compromise)に依存することは、新しい複雑な攻撃にさらされる恐れがあるリスクが伴い、この場合、より微妙な行動指標(IoB:Indicators of Behavior)を活用すれば未知の攻撃もすばやく発見できます。
これは、ファイルレスマルウェアやLOTL(Living Off the Land)技術を理解しているにもかかわらず、シグネチャベースのツールだけに頼っているようなものです。これでは不完全な防御です。その意味で、全く新しい脅威であっても、MalOp(悪意のある操作)の全体像を視覚化することができます。
XDRのメリット – その4:自動応答
4つ目のメリットは、アラートの相関分析によって迅速なインシデント対応が可能になることです。XDRがなければ、セキュリティチームは、アクティブな攻撃を発見するのに役立つかどうかわからない、際限なく流れてくるアラートに翻弄されることになります。セキュリティインシデントの兆候があるかどうか、アラートを1つずつ調査する必要があるからです。
その調査では、実際に懸念されるセキュリティ問題ではなく、誤検知を調べることに時間を費やすことになりかねません。また、アラートが示すセキュリティインシデントが本物だったとしても、悪意ある活動全体の把握につながるような他の攻撃活動を見つけられるかどうかはわかりません。可視性がないと、セキュリティインシデントを隅々まで迅速に修復することができなくなる恐れがあります。
すでに述べたように、XDRを導入することで攻撃チェーン全体を可視化できます。そして知り得た情報を使ってプレイブックを作成し、挙動に基づいて複雑な脅威を緩和するために考案された重要な手順を自動化することができます。これにより、自動分析と早期発見が可能になります。
Google Cloudと協力してXDRイノベーションを推進
サイバーリーズンは先日、Cybereason XDR Platformが「Forrester New Wave™: Extended Detection and Response (XDR) Providers, Q4 2021」で「有望ベンダー」に選ばれたことを発表しました。また、サイバーリーズンは、今年初めにGartner Magic Quadrant for Endpoint Platformsにデビューし、エンドポイント保護分野における「ビジョンの完全性(Completeness of Vision)」を表す「Visionary Quadrant」で、最も右側に位置付けられました。
また、サイバーリーズンは、セキュリティアナリティクス企業であるempowを買収することで、XDR分野における同社の勢いを継続させています。
なお、2021年10月12日、サイバーリーズンとGoogle Cloudは、エンドポイント、ネットワーク、クラウド、ワークスペースにわたるXDR(Extended Detection and Response)ソリューションを迅速に構築し、迅速に市場に投入するために共同で取り組んでいくと発表しました。詳しくはこちらのブログ記事をご覧ください。
XDRの基礎知識についてはこちらのブログ記事で紹介しています。
XDR(Extended Detection and Response)とは何か?〜XDRの基礎知識とAdvanced XDR
【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜
ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。
本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/
