自動化とエンリッチメントでスピーディな調査を実現

セキュリティ アナリストがインシデントの調査を行う際は、インシデントのあらゆる詳細を把握することが重要になります。詳細を把握することで、セキュリティ アナリストは調査をスピーディに進められるようになります。しかし、最も重要な点は、その調査の結果、対応プランを効果的に実施できるようになることです。

では、どうすればセキュリティ アナリストはそうした詳細を入手できるでしょうか。 まず、脅威の検出を自動化して、組織にリスクをもたらす原因についての詳細をアナリストに提供できるようにします。  たとえば、C&C(Command and Control)攻撃の検出は自動化が可能ですが、C&Cイベントに関して一歩踏み込んだ詳細が提供されれば、アナリストは調査や分析をスピーディに進めて効果的な対応プランを立てられるようになります。

また、セキュリティ アナリストが調査する際、さらに詳しい状況を自動的に入手できるようになれば、状況を究明するための手間が省けて、調査や対応がスピーディになります。

こうしたエンリッチメントによって、調査の際にセキュリティ アナリストにどのようなメリットがもたらされるのでしょうか。いくつかの例を紹介しましょう。

  • アナリストは、次に示すいくつかのC&Cアクティビティに基づいてホストを調査しています。
    • 資産のビジネス状況(重要度、組織、ホスト上で実行されているアプリケーション)から、アナリストは、攻撃者がどの機密情報を狙っているのかを速やかに把握することができます。
    • エンドポイントの状況(OS(オペレーティングシステム)の種類、疑わしいファイルやプロセスのアクティビティ)が、ホストの修復プランの作成に役立ちます。たとえば、OSをアップグレードする必要がある、疑わしいファイルやプロセスをブロックおよび削除する必要があるなどです。
    • 調査対象のホストで疑わしいファイルやプロセスが見つかった場合、同じプロセスやファイルのある他のホストについても、セキュリティの侵害がないかどうかを速やかに究明します。そうすることで、攻撃者の行動が組織の中でどの程度の範囲にわたっているのかを速やかに把握できます。また、影響を受けたホストを修復プランの対象に含めることも重要です。
    • 調査中のホストに「Admin1strator」という名前で作成されたバックドア アクセス用の特権アカウントがあれば、他のホストでも同じ特権アカウントが作成されていないかどうかを速やかに調べます。そうすることで、攻撃者の行動範囲がわかります。
    • Windows環境における攻撃者の行動範囲を調べるには、一連のイベントを検出します。たとえば、実行可能ファイルがファイル共有にコピーされ、その実行可能ファイルを使用して新しいサービスが作成され、そのサービスが5分以内に開始された、などです。こうした一連のイベントは、すでにセキュリティ侵害を受けているシステムから、攻撃者が被害マシン上のバックドアを利用して行動範囲を広げていることを示している場合があります。
    • このホストでは以前にどのようなインシデントを調査したのか?そのときの修復プランはどのようなものだったのか? 同様のインシデントを過去に経験しているのであれば、アナリストはそうした情報を利用して根本原因や修復プランを絞り込むことができます。

以上のようなことは、アナリストが調査プロセスをスピーディに進めるのに役立つエンリッチメントの例のごく一部にすぎません。アナリストが「右クリック」するだけで、こうしたエンリッチメント データにアクセスできるようになれば、調査プロセス全体の効率とスピードが向上します。

この分野におけるRSAと、RSAのセキュリティ分析にご注目ください。自動化とエンリッチメントを通じて、お客様の調査をスピードアップします。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

No Comments