最新の脅威にすぐに対応し修正できるセキュリティエキスパートや熟練したインシデントレスポンス担当者のチームが配備されていないのですか?御社だけではありません。大半の組織、特に中規模組織は、脅威の増加に見合った十分なスタッフをセキュリティチームに配置することに苦労しています。このため、組織はエンドポイントディテクション&レスポンスの管理を支援してくれる外部のパートナーにますます関心を寄せています。
この市場 – マネージドディテクト&レスポンス(MDR)と呼ばれる – は急成長しています。Gartnerによれば、「2024年までに組織の25 %がMDRサービスを使用するようになります。今日の5 %未満から大きく増加します。」*1 しかし、ベンダ の選択や効果的なMDRとはどのようなものかといった点についてはかなり不明瞭です。「MDR」への関心の高まりに便乗しているプロバイダの数はかなり多く、日ごとに増加していますが、それらの機能は大きく異なっています。Gartnerは、「MDRの購入者の中には、期待外れと不適当な結果のせいで、第2のプロバイダを既に検討したり、既に移行したりしているものもいます」と述べています。*2 Trustwaveでは、最初にそれを正しく理解することが非常に重要であると確信しています。
効果的なエンドポイントディテクション&レスポンスに向けて準備するために組織は何をする必要があるか、さらに、MDRプロバイダの何を評価するかについて明確化するために、Trustwaveのサイバースレットディテクション&レスポンス部門バイスプレジデントのBrian HusseyおよびIDCのシニア研究アナリストのMartha Vazquez氏に話を聞きました。
MDRを理解する
Brian Husseyは、彼がMDRをどのように定義しているかを説明しています。「MDRとは、セキュリティアナリストとフォレンジック調査担当者のプロフェッショナルチームによる、組織のネットワーク全体、特にそのエンドポイントを対象にした24時間365日のモニタリング、分析、調査、抑制を指しています。適切なEDRテクノロジーであれば、関連するイベントへの十分な可視性、相関付け、文脈付けを提供するはずです。アナリストはそれらに基づいて、侵害や漏洩のシナリオでの迅速な対応と抑制を可能にする根本原因チェーンを定式化することができます。」
Martha Vazquez氏は、IDCでは従来のマネージドセキュリティサービスに比べて、マネージドディテクト&レスポンスサービスに対する非常に強い要求を目の当たりにしていると述べています。「MDRに対する需要は、セキュリティサービスプロバイダからの高度な検知ツールとテクノロジーをアウトソースする必要がある組織のニーズによって拍車がかかっています。セキュリティサービスへの需要は、このような高度なセキュリティ脅威に対する保護、24時間365日のサポートとセキュリティの専門知識、改善された可用性とパフォーマンスの必要性、さらに新出のセキュリティテクノロジーへのアクセスの必要性によって増加し続けています。」つまり、MDRには、ツールとチームの有効性という2つの主要な要素があります。それらについて掘り下げて調べていきましょう。
今使っているEDR は有用か?
あらゆるイベントや潜在する問題に適切に対応できるようになるには、事前に、使用中のツールに相応の機能があり、組織と環境に適した種類のディテクション&レスポンスを提供していることを確認する必要があります。Brianによれば、その前に、デューデリジェンスを実施し、組織のリスク許容度を評価し、最も貴重な資産が何で、それらが環境内のどこに位置しているかを特定しておく必要があります。その後、それらの仕様の範囲内で動作するツールを選択できます。ただし、Brianは、適切な種類のアラートを備えており、より厳密に検知するためにカスタマイズされた挙動ルール、スレットインテリジェンス、if/thenルールを追加できるツールを強く推奨してもいます。
Martha氏は、IDC U.S.マネージドセキュリティサービスの調査において、組織の31.1 %が、ユーザの挙動を分析するためのネットワークデータのキャプチャなどの高度な検知ツールが脅威の検知には最も有効だと確信していると付け加えています。
Brianは次のように説明しています。「1日または時間単位で数千のアラートを提供するツールは、チームを無能にします。彼らは、圧倒され、重要なアラートと単なるノイズであるアラートを分類できません。さらに、ツールにカスタマイズオプションがなければ、基本的に過去に留まったままになります。新たな脅威と攻撃に基づいてツールを変更することで、ネットワークがどのように侵害される可能性があるかをより的確に理解できます。」
ツールがどのぐらい包括的であるかも、イベントが発生した際にどのぐらい効果的に対応できるかに影響します。「有用なEDRツールなら、ディープフォレンジック調査機能が組み込まれていなければなりません。それによって、ユーザはマルウェアをリバースエンジニアし、悪意のあるコードを抽出し、基本的に攻撃から学習して、チームに別の攻撃、特に類似の攻撃に対して保護および防御するためのより多くの情報を提供できます。」と、彼は加えています。このことから、次に確認すべきポイントが明らかになります。
あなたのチームは有能ですか?
適切な種類のスレットインテリジェンスを取り込み、潜在する攻撃、ネットワーク侵入者、またはマルウェアの種類に関する詳細で綿密な情報を生成できるツールを保持することと、情報を使用、分類、分析できる適切なチームを配備することは別物です。
Martha氏は次のように説明しています。「IDCの観点からすると、組織がMDRに関して直面する最大の課題は、そのすべてが何を意味しているか、このタイプのサービスにはどのコアテクノロジーとツールが含まれている必要があるかという点です。多くの顧客は、MDRにはエンドポイントディテクション&レスポンスなどのコンポーネントが1つだけ含まれていると信じ込んでいますが、そうではありません。複数の他の高度なテクノロジーと人間の専門知識が含まれている必要があります。組織が組織にとって効果的なビジネスの成果を生み出すには、そのために役立つ、高度なテクノロジーとツール、人、使用される方法論の組み合わせが網羅されている必要があります。」
効果的な検知と対応に関してはスキルセットが重要となります。チームがネットワークアナリストだけで構成されている場合は、重要なアラートに効果的に対応することはできないかもしれません。最新のスキルセットを備えたチームが必要です。
「エンドポイントフォレンジックとフォレンジック分析は、かつては限られた専門家だけのものとされていましたが、今では、主流のセキュリティ分野です。しかし同時に、それは大半のセキュリティ組織が導入している他のセキュリティ領域や標準のネットワーク分析とは異なります。まったく異なるプラクティスと科学なのです。」と、Brianは述べています。
組織内に完全なマネージドディテクト&レスポンスシステムを配備するには、ここがパートナーとの連携を検討すべきところです(まだ検討したことがなければ)。チームのトレーニングや才能ある人材の取り込みに時間や費用がかかりすぎる場合は、必要なリソースを提供してくれるパートナーを見つける必要があります。
効果的な対応とはどのようなものか?
Brianは、すべてのアラートを掘り下げて調査するような余裕のある組織ばかりではないと言っています。組織がどのように対応するか、たとえば、「プロセスの強制終了」ボタンをクリックすべきか、攻撃のディープフォレンジック分析を実施すべきかは、いくつかの考慮事項によって決まります:
- 組織が保護する必要のあるデータ
- 組織のリスク許容度
- アラートの通知内容
ここで、前出のポイントに戻ります。最も貴重な資産が何かを把握しておくと、アラートまたは攻撃に広範な調査リソースが必要な場合とそうでない場合を見極めるために役立ちます。リスク許容度を理解していれば、そこからこれらのアラートへの対処方法を導き出すこともできます。たとえば、価値の高い標的である政府機関や医療業界の機関が、より一般的なアラートまで、より大きな攻撃がやってくる兆候として見なすこともあります。
攻撃やアラートの内容も問題となります。攻撃が局所的で、初期の到達範囲を超えて拡大するように見えない場合(たとえば、クリプトマイニング)、組織はプロセスを強制終了し、環境のクイックスイープを実行して、先に進むことができます。ただし、組織内で多数の横方向の動きがある場合は複数のベクトルが攻撃を受けています。また、データ侵害やダンプが関連する場合や複数のアカウントが侵害されている場合は、掘り下げた調査が必要となる可能性があります。
このため、ツールがカスタマイズ可能であり、チームが必要な分析を実行できることが重要となります。チームがフォレンジック分析と掘り下げた調査を処理できれば、その都度、より多くの情報と挙動ルールがツールに追加されるため、将来のディテクション&レスポンスがより効果的なものになります。
効果的なMDRに向けた組織の準備
大半の組織にとって、ディテクション&レスポンスツールを管理するための適切なチームを探すことが課題となっています。組織に新たに才能ある人材を雇用するために適したマネージャがいない、または組織が時間やリソースを投資できない場合は、パートナーとの連携を検討する必要があります。パートナーは、既に体制の固まったセキュリティチームでは対応できないギャップを埋めることもできます。たとえば、24時間365日体制で、年間を通じてディテクション&レスポンスを確実に実行する一方、サイバーセキュリティ組織にとってリテンションも課題となっている場合は、従業員が離職した場合にセキュリティにギャップが生じないように確保します。
早くからパートナーと連携すると、彼らは組織固有のニーズ、チーム、予算、その他の考慮事項を前提に、どのEDRツールが最も効果的で有用かをアドバイスできるため、組織にとってさらに役立つ場合があります。ディテクション&レスポンスの管理を推進するためにパートナーと連携することで、確実に組織を保護し、各課題を把握できます。
Martha氏は次のように加えています。「MDRが正しく実行されれば、組織は、さまざまなセキュリティニーズを支援し、さらに、より的確なセキュリティの意思決定、より良い成果と有効性の実現において組織を支援できるエキスパートのチームを擁することができます。また、セキュリティの可視化が限られている組織は、MDRサービスを使用して、社内で実行するより迅速に、高度な脅威や攻撃を検知し対応することができます。」
Trustwaveのマネージドスレットディテクション&レスポンスの詳細については、こちらをご覧ください。
Cas Purdyは、Trustwaveのコーポレートマーケティングおよびコミュニケーション部門のバイスプレジデントです。
____________________
*1:Source: Gartner, “Ask These Critical Questions and Consider These Risks When Selecting an MDR Provider” by Toby Bussa, Kelly Kavanagh, Craig Lawson, Pete Shoard, 31 October 2019
*2:Source: Gartner, “Ask These Critical Questions and Consider These Risks When Selecting an MDR Provider” by Toby Bussa, Kelly Kavanagh, Craig Lawson, Pete Shoard, 31 October 2019