Loading...
ブログとストーリー

Trustwaveブログ

Trustwaveブログは、ホットなトピック、トレンド、課題に取り組み、ベスト プラクティスを定義するエキスパートの洞察を通して、情報セキュリティの専門家を新たな高みへと導きます。

プロアクティブスレットハンティングを実行するための5つの好機

巧妙な攻撃者が、数か月または数年にもわたり組織のネットワーク上に密かに存在していることが判明したときには、基本的な脅威を阻止するだけではなく、脅威を特定し除去するためにより積極的になる必要があると痛感するかもしれません。

2020年Trustwaveグローバルセキュリティレポートによれば、攻撃者が被害を受けたネットワークへのアクセス権を不正に取得したときから、インシデントが最初に検知されるまでの平均日数は86日です。敵には実際の損害を引き起こすための時間がたっぷりあります。しかし、近年、侵入者がネットワーク内で無制限に活動できる、延々と続くように見える、そのような行動を撲滅するための主な方法としてスレットハンティングと呼ばれる防御活動が登場してきました。

スレットハンティングは、広義では、過去の既存の防御をすり抜けた高度なネットワーク攻撃を明白化するために、ツール、戦術、プロシージャ、インテリジェンスを適用する手動のプラクティスとして定義されています。スレットハンティングの人気が高まりつつある理由の一部として、次が挙げられます:

  • ますます巧妙化した攻撃者が従来のセキュリティ防御テクノロジーを回避し続けている。
  • スレットハンティングツールセットは、スレットインテリジェンスが統合された成熟したエンドポイントディテクション&レスポンス(EDR)を装備し、さらに挙動分析が可能なため、より効率的である。
  • スレットハンティングのツールと手法を深く理解しているセキュリティプロフェッショナルの数が増加している。

より多くの関心を集め、より多くのベンダーがスレットハンティングサービスを推奨していますが、どのタイミングでプロアクティブスレットハンティングに投資するか、スレットハンティングの実行についてどうするのかを慎重に検討する必要があります。プロアクティブスレットハンティングを実行するための最も一般的な理由をいくつか見ていきましょう。今後の記事で、それらを実行するために社内リソースを使用するか、またはアウトソースしたリソースを使用するかを決定する方法について取り上げる予定です。

場合によっては、スレットハンティングへの投資を決定するのは簡単です。組織が侵害されているとわかっており、インシデントレスポンス担当者が侵害の原因と範囲を調べる場合は、結果としてリアクティブスレットハンティングが実行されることがあります。それに比べ、お金とリソースをプロアクティブに投資するタイミングを決定するのは、より難しい場合がありますが、次の状況では、プロアクティブスレットハンティングがセキュリティのベストプラクティスとなります。

  1. 合併または買収に関わっている: M&A活動に関わっている会社は、買収のセキュリティ体制と制御状況の評価をデューデリジェンスプロセスの一部として組み込む必要があります。このプロセスの一環としてプロアクティブスレットハンティングを実施し、2社のネットワークを接続するときに、一方のネットワークに既に存在している攻撃者に他方のネットワークへのアクセスを容易に与えないように確保する必要があります。
  2. 侵害を経験している: データ侵害を発見した場合、会社はIRプランの手続きを踏み、誰が、何を、いつ、どこで実行したか、さらに侵害の詳細がどのようであるかを判別し、問題を修正します。解決の数週間から数か月後が、本当に脅威が消えたかダブルチェックするためにプロアクティブスレットハンティングを実施する良いタイミングです。最も綿密なIRチームでも、侵害の兆候や、攻撃者が再び攻撃を仕掛けるために利用できるいくつかの他の弱点を見落とすことがあります。
  3. 関連会社が侵害を経験している: サプライヤー、請負業者、またはその他のサードパーティが侵害されたことは、大元の組織も同様に被害を受けていることを示す兆候である場合があります。侵害が持続しているパートナーから通知を受け取った場合は、彼らの不運が自社のネットワークに拡大しているかどうか判断するために、プロアクティブスレットハンティングが役立ちます。
  4. 自身が新しい情報セキュリティ最高責任者(CISO)、または組織が新任CISOを採用した: 業界調査はさまざまですが、大半が、CISOの平均在任期間は12~24か月の間であることを示唆しています。ビジネスを保護し有効にする責任を担う新たなCISOは、新しい地位に伴って、不明な攻撃者を継承しないように、プロアクティブスレットハンティングを実行する必要があります。
  5. リスク許容度が低い: 組織が大きなリスクを背負う意思がない場合は、高度に成熟したセキュリティプログラムが必要です。このような組織は、環境的な整合性を検証し、環境内に存在する高度な脅威を明白化するために、セキュリティプログラムの一部として、定期的なプロアクティブスレットハンティングを組み込む必要があります。

ITインフラストラクチャにしつこく付き纏う不明な悪意ある攻撃者や脅威を検出するほかに、スレットハンティングは、時代遅れの脆弱なソフトウェア、ポリシー違反、内部関係者の脅威、保護されていないデータベースなど、以前はわからなかった環境内の弱点も可視化できます。特定された一部またはすべての問題を検出し修正することで、セキュリティをさらに強化し、リスクを軽減できます。