- 2022/02/09
- XDR
XDR戦略の「R(対応)」を自動化する
Post by : Anthony M. Freed
XDR(Extended Detection and Response)の出現は、高度な攻撃に対する優位性をもたらしますが、現在出回っているいわゆる「XDRアプローチ」の多くは、実際には現行のEDRソリューションをほんの少し拡張したものであり、それらは既知の痕跡情報(IOC)を利用して既知の脅威を発見しブロックするようなソリューションに過ぎません。
これらのソリューションは、ネットワーク資産全体における可視性を高めることはできますが、既知のIOCが利用できない新たな種類の攻撃を排除するために必要となる相関性を提供することはできません。
これに対して、Advanced XDRは、人工知能(AI)と機械学習(ML)を活用して、異なるネットワーク資産を通じて得られるテレメトリを自動的に相関させることで、未知の攻撃を明らかにします。さらに、潜在的な悪意ある動作のより微妙な連鎖に基づいて早期検知を行うことで、防御者によるより迅速な修正を実現します。これは、次の理由により可能となります。
Advanced XDRは、EDR(Endpoint Detection and Response)の2つの主要な優先事項である「継続的な監視と検知」および「自動化された脅威への対応」をエンドポイント全体に組み込んでいますが、さらにXDRは、ユーザーペルソナ、アプリケーションワークスイート、クラウドワークロードなどを含む組織のインフラストラクチャ全体を通じて脅威を監視します。XDRがしばしば「サイバーセキュリティの未来」と呼ばれる理由は、XDRがこのような重要な機能を備えているからです。
アナリストからなる調査および戦略会社であるESGは、2022年半ばまでに3分の2以上の組織がXDRに投資するであろうと予測しています。Grand View Researchによれば、このような投資により、現在から2028年までにおけるグローバルなXDR市場の複合年間成長率(CAGR)は、19.9%になると予測されています。
XDRは自動化が鍵となる
CompTIA(Computing Technology Industry Association)によれば、XDRの成長を後押ししている最も重要なメリットの1つとして、セキュリティオペレーションの自動化を通じて、データサイロを打破し、脅威への対応を迅速化できることが挙げられます。
Advanced XDRは、攻撃の発生源がどこであれ、攻撃チェーン全体に関する可視性を提供し、攻撃の進行状況に加えて、どの資産やユーザーが影響を受けたかを正確に明らかにします。さらに、自動化されたまたはガイド付きの対応オプションも提供しますが、このようなオプションは、SIEM(Security Information and Event Management)ソリューションでは提供できず、SOAR(Security Orchestration, Automation and Response)ソリューションでは提供が難しいものです。
Advanced XDRは、そのようなオプションを通じて、セキュリティアナリストやインシデント対応チームによる手動介入を必要とすることなく、大規模環境におけるサイバー脅威の検知と防御を実現します。
Advanced XDRソリューションの主な強みの1つとして、セキュリティチームがさまざまなポイントソリューションから寄せられる大量のアラートを個別に調査する必要がなくなり、「我々は攻撃を受けているか?」という疑問に素早く答えられるようになることが挙げられます。
Advanced XDRは、テレメトリを相関させ、攻撃のタイムラインを根本原因から明らかにすることで、これを自動的に行います。これにより、セキュリティチームが、より迅速かつより効率的に対応できるようになります。
データサイロの打破
今日、多くの企業のITインフラストラクチャはかつてないほど複雑化しています。これは、従来であれば、すべて独自のセキュリティツールに依存していたネットワークが分散されてしまったことが原因です。問題は、攻撃がこれらの環境を横断するように進化しているために、攻撃者がネットワークの継ぎ目に隠れることができるようになったことです。なぜなら、従来のセキュリティツールでは、モダンなネットワーク内のすべての要素間でテレメトリを相互に関連付けることができないためです。
つまり、従来のセキュリティツールでは、そのような多様な要素を利用する攻撃を、1つの攻撃の進行の中で特定できないのです。この結果、進行中の攻撃チェーンに対するセキュリティチームの可視性が制限されるため、インシデントの全体像を把握することが困難になります。
Advanced XDRは、さまざまな資産から寄せられるコンテキストに基づかない脅威アラートに頼ることなく、これらの資産間におけるディープなコンテキストや相関関係を自動的に提供することで、根拠のないアラートを常に手動でトリアージして調査するという退屈な作業から解放します。
このようにして、Advanced XDRは、セキュリティチームによる組織のセキュリティ体制に関する統一的な可視性の確保を妨げる原因となっていた「情報のサイロ」を打破します。
Advanced XDRは、ファイアウォール、アンチウイルスソリューション、EDR、IAM(Identity and Access Management)、CWPP(Cloud Workload Protection)、およびその他のセキュリティ技術を自らの検知および対応アプローチへと統合することでこれを実現します。
XDRは自動化により対応時間を短縮する
セキュリティチームは、SIEMツール、SOARプラットフォーム、およびその他の包括的でないソリューションを利用することで可視性を向上できます。しかし、自動化された相関機能が存在しない場合、セキュリティチームは手作業でアラートを1つずつ調査した上で、攻撃チェーンを特定するためにアラートを相互に関連付ける必要があります。
このような手動プロセスは、セキュリティチームがあるインシデントをすでに修復したと思っていたとしても、実は同プロセスの中で何かを見逃しており、その結果、しばしば自らを危険にさらす可能性があることを意味します。また、セキュリティチームが攻撃のさまざまな構成要素をすべて特定できたとしても、攻撃を阻止するための初期対応を実施する前に、そのような調査に多くの時間を費やしてしまうことになります。
たとえば、IBMが作成した「Cost of a Data Breach Report 2021」によれば、組織がセキュリティ侵害を特定してから、それを封じ込めるまでに平均で287日かかっていることが示されています。これは、悪意あるアクターが1年近く被害者のシステムに潜伏しつつ、偵察を行い、ネットワークの別の場所に移動し、機密情報を流出させていることを意味します。
同レポートでは、滞在期間が200日を超えるデータ侵害の場合、組織が被るコストは平均487万ドルであるのに対し、滞在期間が200日未満の場合は361万ドルであることが示されています。なお、前者のコストは、データ侵害の平均コストである424万ドルを上回っており、2020年のコストに比べて10%上昇しています。これは、このレポートではこれまでで1番最大のコストです。
Advanced XDRは、攻撃シーケンス全体を構成するIOB(Indicators of Behavior、振る舞いの痕跡)に焦点を当てたオペレーション中心のアプローチを通じて、攻撃者の滞在時間を大幅に短縮します。これにより、セキュリティチームが、攻撃に含まれる個別の要素を修復するのではなく、攻撃全体を終了させることが可能になります。
たとえば、エンドポイント上のマルウェアを検知して削除するだけでは、漏洩したユーザークレデンシャルが再び悪用されるのを防ぐことはできませんし、標的とされたネットワークにおける攻撃者のパーシステンスにも対処できません。
Advanced XDRの優位性
サイバーリーズンは最近、Google Cloudと提携することで、「Cybereason XDR※」をリリースしました。これは、IT環境全体から脅威データを取り込んで分析できる、業界初のAI駆動型XDRプラットフォームです。Azure、AWS、Google Cloudとのネイティブな統合を通じて、Cybereason XDRは、アカウント乗っ取りやデータ流出の兆候を監視できるほか、未公開の脆弱性の悪用やゼロデイ攻撃などの新たな脅威からクラウドワークロードを保護できます。
サイバーリーズンとGoogle Cloudは提携を通じて、現在市場で入手できる最も強力な統合XDRソリューションを構築しています。同ソリューションは、「世界規模」の保護と多層型の防御および応答を実現することにより、モダンなITスタックおよびセキュリティスタック全体にわたって、予測的な攻撃検知を可能にします。
さらに、サイバーリーズンは、セキュリティアナリティクス企業であるempowを買収したことで、XDR分野における勢いを加速させています。
※ Cybereason XDRの日本での提供開始は2022年夏頃を予定しております。詳細はお問い合わせください。
2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜
サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。
2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/