ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
脅威インテリジェンスは、インシデント対応ワークフローにおいて重要な役割を果たします。組織が脅威に迅速かつ正確に対応するためには、差別化された、実用的で統合された洞察が必要です。
セキュリティを重視し、インシデント分析を迅速に行うのに役立つツールをセキュリティオペレーションセンター(SOC)に提供したいと考えている組織は、脅威インテリジェンスと洞察に大きく依存してアラートに優先順位を付けています。
この脅威インテリジェンスの情報源は、これまでネットワークに集中してきました。ファイアウォールのようなネットワーク・セキュリティ・ソリューションは非常に成熟しており、大多数のユーザーが一元化された場所で仕事をしていた世界では、当然のことながらデータのコントロールポイントとなっていました。これは、エンドポイントデバイスで発生するアクションを分析できる EDR ソリューションの採用により、エンドポイント脅威インテリジェンスによって強化されました。
脅威アクターが回避策を進化させ続ける中、SOCアナリストが脅威に迅速かつ正確に対応するために必要なレベルのエンリッチメントを提供するために、脅威インテリジェンスを拡大する必要があります。
SOCチームは、悪意のある行動を特定するために、さまざまなソースからデータを引き出します。複数のソースを関連付けると、そうでなければ複数の関連性のないイベントのように見えて見過ごされてしまう悪意のある意図が明らかになります。
他の既存のソリューションと同じソースではありません。データを複製しても組織の安全性は向上しません。実際、混乱を招く可能性があります。代わりに、脅威の状況について新たな視点を提供するインテリジェンスを探してください。ネットワーク、エンドポイント、アプリケーションの脅威インテリジェンスには多くの洞察源がありますが、脅威グループの標的となっている脅威ベクトル(Webブラウザなど)を検討し、それらが適切にカバーされていることを確認してください。
インテリジェンスを目的としたインテリジェンスは、必ずしもセキュリティを向上させたり、脅威の検出をスピードアップしたりするわけではありません。脅威インテリジェンスを統合する際の中心的な考慮事項は、それがいかに実用的であるかということです。それをどうするか、そしてどのような結果が期待できるかが、主な考慮事項です。
アクショナブルインテリジェンスは、セキュリティチームが脅威を正確に特定し、ターゲットと対応に優先順位を付け、検出と対応にかかる時間を短縮できるようにするさまざまなデータを提供します。
どのインテリジェンスソースも、スタンドアロンのシステムではなく、既存のセキュリティ情報およびイベント管理(SIEM)ツールとシームレスに統合する必要があります。組織は、データソースの複雑なシステムを構築するのではなく、可能であれば、対象範囲の幅を損なうことなく、脅威インテリジェンスソースを統合することを検討すべきです。
Menloは、ユーザーを標的とするブラウザベースの高度に回避性の高い攻撃について、コンテキストが豊富で実用的な情報を提供することで、インシデント対応ワークフローを加速します。Menlo は、顧客のウェブトラフィックと AI/ML を活用した複数の分類器を継続的に分析することで、回避率の高い攻撃の存在を一意に識別できるようになりました。さらに、タイムリーで実用的なアラートにより、セキュリティチームは、ユーザーを標的にする可能性のある回避性の高い脅威に対する平均検出時間(MTTD)と平均対応時間(MTTR)を大幅に短縮できます。
Menlo Securityの分離コアは、ユーザーがブラウザ上で行うすべてのアクティビティを分析します。これにより、HEAT Visibilityは各Webセッション内のイベントを迅速かつ正確に理解して相関付け、脅威データを提供します。これにより、複数のセキュリティソリューションと手動によるデータ統合作業が必要となるWebベースの攻撃の全体像を把握できます。偽装されたブランドロゴや、データや認証情報の入力を含むエンドユーザーアクションなどの詳細を理解することで、セキュリティ管理者はこれが直ちに対応する必要のある重大なイベントであることを簡単に理解できます。HEAT Visibility アラートは、Menlo Security 管理ポータルの専用ダッシュボードと Insights 分析ツールで確認できるほか、API 経由で SIEM/SOC プラットフォームから直接利用することもできます。
