脅威検出ベンチマーク パート1:脅威ベクトルを明らかにする

最新のIT環境のセキュリティを保護するためにとれる戦略は、脅威検出の能力で決まってきます。残念なことに、セキュリティ戦略の基盤として組織が頼りにしている脅威検出データのソースは、わずか数種類だけということが多いのです。これでは十分な可視性が得られず、その結果リスクが増大してしまいます。脅威検出ベンチマーク シリーズのパート1では、可視性を改善して組織のセキュリティ戦略の基盤を堅固にする方法について説明します。

包括的な可視性の重要性

可視性は、広く流布している脅威ベクトルを明確化し検出する組織の能力を支えます。これは、ただ単にエンドポイント レベルやネットワーク レベルのエージェントに頼って脅威検出ソリューションを構築すればいい、という意味ではありません。むしろこれには、広く流布している脅威ベクトルをすべてカバーするために、複数の統合されたデータ ソースを使用する、という意味があるのです。

手短に言えば、脅威ベクトルとは、脅威アクターが重要な資産にアクセスするのに使用する可能性があるパスのことです。何だかはっきりしないように聞こえるでしょうが、それは今日の攻撃の動的な特質によるものです。脅威ベクトルは急速に進化しており、新たな戦術が次々に発見されています。こうした理由により、重要なリソースにつながる可能性のあるすべてのパスの可視性を高く保つことは、効果的な検出の基盤となるのです。

とにかく数がものを言う

包括的な可視性をもつ環境を創出するうえで、まず強調されるべきものは、ソースの量です。この考えは、物理的セキュリティの仕組みとよく似ています。セキュリティ カメラと警備員を増やせば、可視性は高くなります。同様に、脅威モニタリングのためのデータ ソースを増やせば、潜在的な脅威をよりよく検出できるようになります。

脅威検出データのための優れたソースは何か、と尋ねられれば、多くのITプロフェッショナルは従来のデスクトップ セキュリティ エージェントを挙げるでしょう。こうした世界観は、きわめてマルウェア中心的であり、エンドポイントでのマルウェア対策ソリューションが効果的であるという推測によるものです。今日の高度な脅威の世界にあっては、マルウェアを使用しない攻撃も多く、そうでなくてもマルウェアは静的な検出ルールやシグネチャを簡単に回避できるため、この推測は信頼できません。こうしたツールからは、脅威アクティビティに対する限られたインサイトが得られるものの、これだけでは、求められているような環境全体にわたる可視性を得ることはできません。高品質のソースとしては、ネットワーク データ(ネットワークのパケットとフローのデータを含む)、より詳細なエンドポイント データ、インフラストラクチャ全体にわたるシステム レベルでのログのモニタリングなどがありますが、これらに限定されません。一般的な経験則によると、ソースが増えるほど、可視性は良好になります。これらのソースは、組織の環境に応じた広範な脅威ベクトルをカバーする必要があります。

ここまで述べてきた可視性のソースは、インフラストラクチャに焦点を当てています。しかし、IDとユーザー行動に対する可視性を獲得することも重要です。The Wall Street Journalの最近の記事では、内的脅威の問題が深刻化している状況に焦点が当てられています。IDデータと他のデータ ソースとを密接に統合することにより、組織は潜在的な内的脅威ベクトルに対する高い可視性を実現できます。これは高品質なソースの好例であり、脅威データのソースを多様化するという総合的なアプローチをとることで、いかに組織が脅威検出の水準を高められるかを示しています。

セキュリティ戦略の有効性は、それが構築されている基盤で決まります。高品質なデータ ソースの数が多ければ、強固な基盤が確立され、環境全体にわたってアクティビティを把握できるようになります。

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments