- 2022/08/25
- XDR
XDRソリューションを導入すべき4つの理由
Post by : Anthony M. Freed
防御第一の戦略を採用して脅威に正面から立ち向かい、早期検知を可能にすることで、破壊的な攻撃の被害を引き起こす前に攻撃を食い止めることができます。攻撃を未然に防ぐことは、単に実現可能な選択肢であるだけでなく、事後対応よりもはるかに費用対効果が高い選択肢です。ただし、それを実現するには適切なツールが必要となります。
今日の高度な脅威の一歩先を行くために、多くの企業や組織が、人工知能(AI)と機械学習(ML)を搭載したXDR(Extended Detection and Response)ソリューションを採用しています。これにより、サイバー攻撃の検知と修復を大規模に自動化できるほか、攻撃の初期段階でランサムウェアを検知することも可能となります。ところで、XDRとはそもそも何なのでしょうか?
XDRとはプロアクティブなセキュリティアプローチの1つであり、複数のセキュリティレイヤー(メール、サーバー、クラウド、エンドポイント、ネットワーク、アイデンティティなど)から収集したテレメトリを分析し、それらのデータを相互に関連付けることで、エコシステム全体を考慮した統一的なセキュリティ評価を実現するものです。
XDRは、複数のセキュリティレイヤーにおけるイベントの相互関連付けを自動化するため、その利用者は、攻撃の進捗状態における1つの要素だけに関するサイロ化されたビューではなく、コンテキストに沿ったセキュリティに関するビューを確保できるようになります。また、XDRは各種の資産から収集したインテリジェンスを結合し、複雑なセキュリティスタックをセキュリティチームがそれに対してアクションを起こしやすいものにすることで、有効性と効率性を向上させます。
XDRを導入すべき理由
セキュリティに対するプロアクティブなアプローチを採用し、「これまで見たことのない」脅威から身を守り、攻撃シーケンスにおけるより早期の段階でそのような脅威を阻止するためには、攻撃を十分に理解し、より迅速に攻撃に対応することが不可欠です。XDRソリューションは、それを実現するために必要な機能を提供します。
XDRソリューションは、エンドポイント検知および応答(EDR)戦略を発展させたものですが、XDRはエンドポイントに留まらず、クラウド、お使いのネットワーク全体、アプリケーションスイート、ユーザーアイデンティティなどに関する可視性を提供します。XDRでは、ユーザーが、特定の時点における悪意ある操作の小さなスナップショットに注目した関連性のないアラートを大量に受け取るようなことはありません。
またXDRは、影響を受けるすべての資産における攻撃チェーン全体に関する包括的なビューを提供するため、XDRを使うならば、大部分が誤検知に終わるようなトリアージや調査に貴重な時間を費やす必要はなくなります。
悪意あるオペレーション全体を検知する
セキュリティアラートが大量に送られてくるため、自分の会社にはネットワークに関する高度な可視性があると思っている人がいるかもしれません。しかし、攻撃の範囲を実際に把握するために必要となるコンテキストや相互関連付けが欠けているのであれば、それはあなたの会社が、可視性が全くないよりもさらに悪い状況に置かれていることを意味しています。
XDRソリューションは、関連性のない大量のアラートの意味付けを行い、検知に関連するその他のテレメトリのソースからコンテキストとカラーを引き出すことで、「根本原因の分析を自動化し、脅威のタイムラインと経路を明確に示す」ことを可能にします。これにより、アナリストは、悪意ある操作(MalOp™)の全体像を把握し、すべての「アラートデータ」を実用的なインテリジェンスに変換できるようになります。
MalOp全体に関する完全な可視性を確保することで、セキュリティ運用を「アラート中心の事後対応的な体制」から、攻撃者の次の動きを自動的に予測してブロックするような「オペレーション中心のプロアクティブなアプローチ」へと移行できるようになります。XDRソリューションは、予測応答機能を通じて、平均検知時間 (MTTD) と平均応答時間 (MTTR) を短縮することで、攻撃者の滞留時間を数ヶ月から数分へと大幅に短縮します。
統合セキュリティソリューションとしてのXDR
AI駆動型のXDRソリューションを導入することで、セキュリティに対するオペレーション中心のアプローチを採用できるようになります。これにより、すべてのネットワーク資産におけるセキュリティ体制に自信を持つために必要となる可視性を確保できるほか、攻撃の進行を最初期の段階で阻止するために必要となる自動応答を実現できるようになります。
AI駆動型のXDRソリューションを導入すべき理由として、次の4つが挙げられます。
- セキュリティスタック全体における統合を最大限に達成:XDRを使うと、セキュリティスタック全体に取り込まれたテレメトリから、実用的でコンテキストリッチなインテリジェンスを生成することを自動化できるため、アナリストが発行されたすべてのアラートをトリアージする必要はなくなり、時間と労力を削減できます。また、電子メール、生産性ツール、アイデンティティおよびアクセス管理、およびクラウド環境とのネイティブな統合を通じて、アナリストは侵害の初期兆候を迅速に把握し、悪意あるオペレーションを迅速に停止できます。これがXDRにおける“X”のパワーです。
- 攻撃全体を検知:XDRの持つ相互関連付けのパワーを利用すると、セキュリティチームは、影響を受けるすべてのデバイス、システム、およびユーザーに関して、 MalOpTTM(悪意ある操作)全体を根本原因から明らかにすることで、オペレーション中心の検知アプローチを採用できます。XDRを使用すると、アナリストは、進行中の攻撃を終了させることに集中できるようになります。アナリストは、攻撃者のアクションや活動を手動でまとめるのに貴重な時間を費やす必要がなくなるほか、さまざまなセキュリティツール(攻撃全体のうち孤立した1つの側面のみを明らかにするよう設計されているもの)により生成された整理されておらず相互に関連付けられていない大量のアラートを分類する必要もなくなります。これがXDRにおける“D”のパワーです。
- 予測的な自動対応の実現:オペレーション中心のアプローチにより、攻撃者の振る舞いの意図と、それらが組織のネットワークのさまざまな要素にどのように関連しているかを完全に理解することで、アナリストは、攻撃者の次の動きを予測できるようになるほか、セキュリティポリシーに応じて自動化されたまたはガイド付きの修正を行うことで、攻撃の進行を先制的にブロックできるようになります。攻撃者の滞留時間を数ヶ月から数分に短縮できるのは、オペレーション中心のアプローチだけです。これがXDRにおける“R”のパワーです。
- プロアクティブな脅威ハンティング:XDRを使うと、プロアクティブな脅威ハンティングを行えるようになります。これは非常に重要なアクティビティであり、これにより、疑わしい振る舞いの連鎖を検索することで、攻撃を早期に表面化させ、それらのオペレーションが引き起こす可能性のある損害を最小限に抑えることができます。XDRを使用すると、セキュリティチームは、複雑なクエリを作成しなくても、イベント間でのピボットや脅威の探索が行えるようになります。また、セキュリティチームは、成功したハンティングから学んだ教訓を、オペレーション中心のアプローチに基づいて、さらなる脅威ハンティングのためのカスタム検知ルールとロジックに取り入れることができます。これが、XDRの持つ3つの側面のすべてを1つのソリューションに統合することのパワーです。
さらに、AI駆動型のXDRソリューションを使うことで、防御者は、企業全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースを含む)におけるサイバー攻撃を予測および検知した上で、それに対応できるようになります。
【グローバル調査結果】2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、2021年に続いて2022年もランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、ランサムウェアがビジネスにどのような影響を与え続けているかなどについての調査結果とランサムウェア攻撃に対する効果的な対策について解説しています。
https://www.cybereason.co.jp/product-documents/survey-report/8548/
