今日のサイバー攻撃、特にランサムウェアに関連する件数の増大、洗練度の向上、および被害額の上昇により、保険会社は、保険契約者の全体的なサイバーリスクと保険の適用可能性を判断するために行うリスク評価プロセスの見直しを余儀なくされています。

保険会社が実施するリスク評価プロセスは、以前はサイバー衛生に関する基本的な質問が数ページあるだけでしたが、今やそれは、エンドポイント検知と対応、行動検知、NGAV(次世代アンチウイルス)、インシデント対応能力などを含む、セキュリティ管理に関する詳細な情報を要求する広範囲な契約内容へと変化しています。

大手保険ブローカーであるMarshの最新レポートによれば、最大手で最も影響力のある保険会社では、これらのセキュリティ管理を「最小要件」と呼ぶようになっているとのことです。このレポートでは、「特定のセキュリティ管理を採用していることは、保険会社が企業に求める最小要件となっており、この要件を満たしているかどうかが、サイバー保険に加入できるか否かを決定する際の基準となっている」と述べられています。

ここでは、これらの新しい最小セキュリティ要件を7つ取り上げ、サイバーリーズンのAI駆動型XDRソリューションがそれらの各要件にいかに対応しているかを紹介します。さらに、同ソリューションが、企業や組織が企業全体を通じた「世界規模」でのサイバー攻撃の予測、検知、対応を実現するためにいかに役立つかも紹介します。これには、エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースなどが含まれます。

新たな最小要件

要件その1:エンドポイントに関する可視性

保険会社は、攻撃者が顧客の環境への侵入を試みる際にも、悪意ある活動に関するリアルタイムの可視性を提供し、活動を直ちに阻止できるようなEDR(Endpoint Detection and Response)機能を備えていることを求めています。

サイバーリーズンのソリューションは、敵対的な戦術、手法、手順(TTP)をマッピングするMITRE ATT&CKフレームワークにきっちりと対応しており、エンドポイントセキュリティベンダーとセキュリティ専門家の両方にとってゴールドスタンダードとなっています。

今年、サイバーリーズンは、MITRE ATT&CKの企業評価史上最高の結果を出しており、ATT&CKのTTPに関する100%の可視性を実現することに成功しました。MalOp Detection Engineは、サイバーリーズンがこのレベルの可視性を提供する方法の中核となるものであり、今回のラウンドにおいて、脅威の全体像を示すことに成功しました。

要件その2:テレメトリ収集

ますます多くの保険会社が、エンドポイントから大量のテレメトリを収集し、さまざまな分析手法で攻撃の兆候を探り出せるようなセキュリティプラットフォームを備えていることを求めるようになっています。

昨年、サイバーリーズンとGoogle Cloudは、IT環境全体から脅威データを取り込んで分析できる初のAI駆動型XDRプラットフォームであるCybereason XDR powered by Google Cloudを発表しました。AI駆動型のCybereason XDRは、1週間に23兆件以上のセキュリティイベントを解析して即座の検知とインシデント対応を実現するCybereason MalOp™と、IT環境全体からペタバイト単位のデータを取り込んで正規化するGoogle Cloudの比類のない能力を組み合わせることで、世界規模の防御を実現します。

Cybereason XDRは、すべてのデータを活用することで、100%のリアルタイム検知を実現します。競合他社のソリューションが貴重なイベントデータをフィルタリングするのに対して、Cybereason XDRは30以上のテレメトリソースを使用して、すべての関連データをリアルタイムに相関させることができます。

サイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

要件その3:行動検知

大手保険会社では、EDRソリューションの評価をより高度化しており、ネットワーク侵害に関する微妙な兆候であるIOB(Indicators of Behavior、振る舞いの痕跡)を検知できるようなプラットフォームを備えていることを求めるようになっています。

セキュリティ研究者は、IOC(Indicators of Compromise、侵害の痕跡)に頼るだけでは、洗練された攻撃者を検知することができませんと述べています。高度な脅威アクターは、既知のファイルハッシュやマルウェアのシグネチャと一致しないようにコードをコンパイルすることで、IOCを検知しにくいものにしています。

また、高度な攻撃者は、IOCデータベースに偽のアーティファクトをインジェクトすることで、ノイズを増大させ、組織の対応作業を複雑化させることがよくあります。攻撃者は、LotL(Living off the Land、環境寄生型)手法やファイルレスマルウェアを使用して、悪意ある活動の痕跡をできるだけ残さないようにしつつ、これらの操作をすべて実行します。

Cybereason XDRは、 Predictive Ransomware Protectionを提供することで、悪意ある実行とアクティビティを自動的にブロックします。Cybereason XDRは、一見無害に見える行動の連鎖を認識し、暗号化が行われる前にそれらの行動を検知してブロックします。この機能を受賞歴のあるNGAV、AV、スクリプトベース、ファイルベースの保護と組み合わせることで、既知および未知のランサムウェアが実行されないことを保証できます。

また、Cybereason XDRは、Excelシートやその他の文書に含まれる不正なマクロに起因する悪意ある行動を、これらの不正なファイルに署名があるかどうかにかかわらず識別して停止します。ファイルレス対策(Fileless Protection)は、システムが示す活動に基づいて、メモリベースの攻撃やその他のファイルレス手法を検知してブロックします。

要件その4:統合された脅威インテリジェンス

今日のサイバー保険のリスク評価プロセスにおける不可欠の要素の1つとして、脅威インテリジェンスが企業のセキュリティプラットフォームにどの程度統合されているかを評価することが挙げられます。

プロプライエタリな脅威インテリジェンスおよびサードパーティの脅威インテリジェンスは、継続的に集約され、リアルタイムでCybereason XDR Platformへとインジェクトされます。Cybereason XDRは、毎週9.8PBの脅威インテリジェンスを分析することで、影響を受けるすべてのエンドポイントおよびユーザーにおける完全な攻撃ストーリーを根本原因から明らかにします。

サイバーリーズンのNocturnusチームは、米国、イスラエル、日本のグローバルSOCから、世界で最も優秀な脅威インテリジェンスアナリストとマルウェアリバースエンジニアを招集することで、24時間体制で新たな脅威を発見しているほか、エンドポイント、企業、そして防御者が戦っているあらゆる場所を守るための実用的な脅威インテリジェンス情報の提供を保証しています。

要件その5:リアルタイムのアラートと自動対応

サイバー保険のリスク評価者は、リアルタイムで動作し、正確なアラートを提供し、かつ脅威への対応を自動化するようなソリューションを備えていることを求めています。これを実現するには、誤検知を最小限に抑える検知エンジンと、自動対応ポリシーを設定する機能が必要となります。

今年のMITRE ATT&CK Enterprise Evaluationにおいて、サイバーリーズンは100%のリアルタイム検知を達成し、Ryukおよびその他の高度なランサムウェアを使用する脅威グループであるWizard SpiderやSandwormが展開する19の攻撃ステップのすべてにおいて、100%の脅威検知を達成しました。

Cybereason XDRでは、マシンの隔離、プロセスの停止、パーシステンスメカニズムの削除など、直感的なポイント&クリック式のインターフェイスを通じて、広範な種類の是正措置を実行できます。

要件その6:クラウドベースのEDR

多くのサイバー保険会社は、現行システムとのスムーズな統合が可能であり、かつ制御に対する直感的なリモートアクセスを提供するようなクラウドベースのEDRソリューションを備えていることを求めています。

今日の企業や組織は、オンプレミス、パブリッククラウド、エッジ、およびハイブリッド構成においてデータとワークロードを扱うような、複雑な世界で運営を行っています。Cybereason XDRを使うと、企業や組織は、Azure、AWS、Google Cloudとのネイティブな統合を通じて、アカウントの乗っ取りやデータの流出の兆候を監視できるほか、未公開の脆弱性の悪用やゼロデイ攻撃などの新たな脅威からクラウドワークロードを保護できるようになります。

多くの組織では、単一のユーザーインターフェイスへと統合すべきタスクに関して複数のツールを利用しているため、それらのツールの管理に苦労しています。大規模なエンドポイントインフラストラクチャにおいて、デバイス制御やパーソナルファイアウォールを導入し、フルディスク式の暗号化を見直す場合、複数の管理画面を同時に使いこなさなければならないならば、管理上のオーバーヘッドが非常に大きくなる恐れがあります。

Cybereason Endpoint Controlを使用すると、単一の管理画面にログインすることで、各エンドポイントのデバイス制御、パーソナルファイアウォール、ディスクの暗号化に関する分かりやすいビューを表示できます。これらの各管理機能は、Cybereason NGAVCybereason EDRに使用されている同じエージェントの一部として提供されるため、高いパフォーマンスを維持しつつITの複雑さを軽減できます。

要件その7:ロギングと監視

サイバー保険会社は、インシデント発生時に収集、相互関連付け、警告を行えるような効果的なロギング機能と適切なツールを備えていることを求めています。Marsh社によれば、ログは少なくとも過去3ヶ月間アクセス可能であり、かつ最低1年間はバックアップされている必要があるとのことです。

今日の情報セキュリティチームは、コンテキストを無視した大量のアラートによる燃え尽き症候群と過負荷に直面しています。そのようなアラートの半分以上が典型的な誤検知です。組織が拡大し、資産やデータソースが増えるにつれ、ログ管理やSIEMソリューションはスケーリングが困難になり、ますます高額なコストがかかるようになります。

Cybereason XDRは、統一された調査および対応エクスペリエンスを提供します。これにより、企業や組織は、リモートエンドポイント、モバイルデバイス、クラウドプラットフォーム、電子メールなどを通じた多様な働き方を互いに連携させることで、悪意ある操作の防止、終了、予測が行えるようになります。また、Cybereason XDRは、主要なファイアウォールやNDRベンダーとの統合を通じて、アラートの一元管理を実現するほか、ネットワークのコンテキストとユーザーや資産の活動を互いに関連付けます。

サイバーリーズンのMalOp Detection Engineは、このようなオペレーション中心のアプローチを支える力となっています。アナリストは、個々のイベントに関するアラートを受け取るのではなく、あらゆるデバイス、ユーザーID、アプリケーション、クラウド環境における攻撃の進行全体を即座に理解し、直ちに攻撃を終了させることができます。サイバーリーズンのMalOpは自動化されたガイド付きの対応アクションを提供するものであり、これを利用することで、企業や組織は、ヒューマンエラーを減らし、アナリストのスキルを向上させることが可能となるほか、競合ソリューションよりも速く、少ない対応時間が可能になります。

【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜

ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。

本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/