ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
今日の脅威ランドスケープを一言で表わせば、「過酷」という言葉になるでしょう。Check Point Researchによると、2022年に世界で報告されたサイバー攻撃は2021年と比較して38%増加し、第4四半期には1組織あたりの週間攻撃数が1168件と史上最高を記録しました。この中には、Webブラウザーを標的とし、現行のセキュリティスタックによる多階層での検知を回避する技術を採用し、ますます巧妙になったランサムウェア、ドライブバイアタック、フィッシング、HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)などが含まれています。これらの攻撃はWebを通じて配信されることが一般的で、悪意のある攻撃者が被害者のネットワークに初期アクセスして待ち伏せし、重要なターゲットを探してネットワーク内を動き回り、最終的には悪意のあるペイロードを配信します。
今日の脅威ランドスケープが過酷なものになっている主な理由として、セキュリティ監視ツールによって生成されるアラートの洪水が挙げられます。しかもその多くは、実際には悪意のないビジネス活動から生み出されるものです。デジタルトランスフォーメーションが進み、ハイブリッドワーカーや分散型インフラが増加したことで、ネットワーク上での新たな行動が生まれ、アラートが雪崩を打つように発生しているのです。例えば、従業員が新しい場所からログオンしたり、これまでアクセスしたことのないデータセットをダウンロードしたりすると、それだけでアラートが発生します。会社が管理しているノートパソコンから個人のDropboxアカウントにアクセスしただけでも、アラートが発生する場合もあります。これらは異常なイベントと見なされているわけですが、通常のビジネスコンテクストの中で考えると、特に悪意のあるものではありません。
しかし、その意図が如何に善良なものであっても、これらのイベントは組織のセキュリティ体制にとってのリスクとなり得るため、セキュリティオペレーションセンター(SOC)のチームはそれらを調査して優先順位をつけ、対応する必要があります。そしてそれは、チームにとって膨大な作業負荷となります。本物の攻撃と無害なイベントの量および多様性、そして正確性を考えると、SOCチームが受けているプレッシャー(組織の安全を保つために迅速に特定して対応しなければならない)は非常に大きなものです。このような状況は、限界に近づきつつあります。
SOCの技術者はこうした攻撃の最前線に立ち、ネットワークやエンドポイントでの異常な活動を示すアラートに対応しています。各々のイベントを調査し、脅威レベルを決定し、適切な修復のためにフラグを立ててチケットをクローズするためには、多くの時間が必要です。ある時点から脅威の特定は「干し草の山から針を見つける」のサイバー版になってしまい、アラート疲れや燃え尽き症候群、そしてSOCリソースの偏りを引き起こします。
毎日数百件ものアラートに対応することは、SOCの技術者を多少なりとも疲れさせる可能性があるのは当然です。最近の調査によると、アラートの少なくとも5分の1が無害なものであるということですから、それを考えるとなおさらです。それでも各々のイベントについて、人間が調査して結果を分析し、修復策を推奨する必要があるのです。24時間体制で稼働するSOC技術者の軍団でさえ、毎日フラグが立てられる数千ものアラートを適切に調査している時間はありません。今日の非常に高度な脅威からネットワークを保護するという使命を果たすために、SOCチームは効率的かつ効果的でなければならないのです。
SOCがアラートの調査にすべての時間を費やしてしまうと、技術者が高度な脅威インテリジェンスなどの戦略的なセキュリティプロジェクトに使う時間を失ってしまいます。その結果、本当に有害なイベントが発見されずにネットワークに侵入し、データが流出したり重要なビジネスシステムが遠隔操作されたり、あるいはその両方が起こることで大きな混乱が生じる可能性が高くなります。
これは簡単な計算です。SOCがアラートを調査するための時間は限られており、技術者の数にも上限があります。そのすべてに対処するには、単純に数が多すぎるのです。また予算の都合上、SOCの運用をマネージドサービスプロバイダーに委託するなど、解決のためにお金をつぎ込むこともできません。また、離職率も問題です。燃え尽き症候群は離職を招き、新しい技術者が入社して慣れるまでには時間が必要です。しかし最も深刻なのは、ほとんどの組織がサイバーセキュリティにおいて、未だに検知と対応というアプローチに依存し続けているという事実です。
組織は、既存のセキュリティスタックの前段階に、イベントの監視と対応を自動化したプロアクティブな防御的アプローチを追加する必要があります。この2段階のアプローチにより、悪意のあるイベントの発生を未然に防ぎ、有害ではない大量のアラートの検知と緩和を人間の手から引き離すことができます。これによりSOCの技術者は、組織を標的とする真に悪質な脅威に集中することができます。
アイソレーション技術のような防御技術は、マルウェアやその他の脅威がエンドデバイスに最初にアクセスする前に阻止するための唯一の方法です。アイソレーションは、ユーザーのブラウザーとインターネットの間に仮想的なエアギャップを作り、その良し悪しや、既知か未知かを問わず、あらゆるコンテンツがエンドポイントにアクセスできないようにする仕組みになっています。その代わり、コンテンツの取得と実行はクラウド上のリモートブラウザーで行われ、HEAT攻撃はその意図するターゲットに近づくことなく特定、分離、駆除することができます。このアイソレーションによる防御的アプローチにより、HEAT攻撃はそもそも発生しないため、SOCで発生するアラートの量を劇的に減少させることができます。
残りのアラートは、自動化によって調査し、解決することができます。これらのアラートを適切なビジネスコンテキストとともに1枚の画面に統合することで、ルールベースのエンジンによって、人の手を煩わせることなく、簡単かつシームレスに修復することができます。エスカレーションが必要なアラートは技術者に送られ、技術者は適切な調査を行うための時間、コンテキスト、モチベーションを維持することができます。
防御と自動化の連携により、アラートを減らし、詳細な調査が必要なイベントに優先順位をつけ、現代の高度に洗練されたHEAT攻撃から組織を安全に保つことができます。
