Home

監視と応答の運用化

どのネットワークにも絶え間なく攻撃があり、セキュリティ実務担当者は組織の資産を守るために準備しておく必要があります。しかし、多くの組織はこれらの脅威の少なくとも一部を検出するテクノロジーを持ちながら、検出した脅威を効果的に追跡して対処するためのリソースが不足しています。 業界では過去数年、大規模な侵害によって数々の組織が苦境に陥ってきました。これまでは、脅威を軽減または検出するテクノロジーに必要な資金を調達できなかったり、インシデント対応を軽視したりするセキュリティ グループが多数ありました。しかし、攻撃や侵害が明らかになり、広く知られるようになるにつれて、組織は被害を受ける可能性を減らそうと努力しています。これに応じて、多くの組織は攻撃の検出に特化したチームを編成し、この任務をサポートするセキュリティ テクノロジーを購入するための予算を割り当てました。 この動きは多くの企業にとって朗報です。数年前までは、これらのセキュリティに関する新たな予算申請は認められなかったはずです。しかし、この分野には新たな困難がともないます。システムを開発して導入した後も、システムを効果的に運用するために管理や監視を行う専属チームが不可欠です。企業内にセキュリティ監視体制を構築するときは、ツールの導入後、次に示す点を検討する必要があります。 ツールの認識と配備 セキュリティ グループが、ツールによって影響を受ける可能性がある他のグループと相談せずにツールの導入を進めることはほとんどありません。他のチームはこれらのシステムがどのように機能するのかを理解して、インシデントの発生時に組織が迅速に対処できるようにする必要があります。たとえば、マルウェアの発生時にはデスクトップ チームが、フィッシング攻撃にはメール チームが、アプリケーション攻撃には開発チームが、それぞれ対処しなければならない可能性があります。インシデント対応中は他の部署もセキュリティ チームの延長として、同様の対応を求められます。 常に警戒を怠らない セキュリティの監視テクノロジーを導入した場合、その出力を絶えず監視して検討する必要があります。そうしないと、攻撃を検出したにもかかわらず被害を受けてしまうことがあります。情報セキュリティ チームが攻撃の通知用としてシステム内にアラートを構築する場合でも、このアラートを検討する要員を置かなければ、組織の防御態勢が低下します。コンプライアンスへの対応に追われ、組織が監査を通すためだけにこれらのシステムを導入することはよくあります。組織内でセキュリティ テクノロジーの調整や監視を怠ると、防御に死角が生じることがあり、大きなリスクとなります。 サード パーティの活用でギャップを埋める セキュリティ チームに予算があるものの、システムを監視する人員がいない場合、論理的な解決策としてサード パーティのサービスの活用が考えられます。警戒を手助けできるMSSP(マネージド セキュリティ サービス プロバイダー)は多数あります。これらのMSSPは内部セキュリティ チームの拡張要員として働き、専門知識を提供するとともに、組織がシステムを監視できない時間帯をカバーします。 まとめると、監視というものは、その出力に対処してはじめて、効果を最大限に発揮します。この必須テクノロジーを導入した組織は、大切な資産の防御を確かなものにするために、結果への対処方法を明示した計画を持つことが不可欠です。

自動化とエンリッチメントでスピーディな調査を実現

セキュリティ アナリストがインシデントの調査を行う際は、インシデントのあらゆる詳細を把握することが重要になります。詳細を把握することで、セキュリティ アナリストは調査をスピーディに進められるようになります。しかし、最も重要な点は、その調査の結果、対応プランを効果的に実施できるようになることです。 では、どうすればセキュリティ アナリストはそうした詳細を入手できるでしょうか。 まず、脅威の検出を自動化して、組織にリスクをもたらす原因についての詳細をアナリストに提供できるようにします。  たとえば、C&C(Command and Control)攻撃の検出は自動化が可能ですが、C&Cイベントに関して一歩踏み込んだ詳細が提供されれば、アナリストは調査や分析をスピーディに進めて効果的な対応プランを立てられるようになります。 また、セキュリティ アナリストが調査する際、さらに詳しい状況を自動的に入手できるようになれば、状況を究明するための手間が省けて、調査や対応がスピーディになります。 こうしたエンリッチメントによって、調査の際にセキュリティ アナリストにどのようなメリットがもたらされるのでしょうか。いくつかの例を紹介しましょう。 アナリストは、次に示すいくつかのC&Cアクティビティに基づいてホストを調査しています。 資産のビジネス状況(重要度、組織、ホスト上で実行されているアプリケーション)から、アナリストは、攻撃者がどの機密情報を狙っているのかを速やかに把握することができます。 エンドポイントの状況(OS(オペレーティングシステム)の種類、疑わしいファイルやプロセスのアクティビティ)が、ホストの修復プランの作成に役立ちます。たとえば、OSをアップグレードする必要がある、疑わしいファイルやプロセスをブロックおよび削除する必要があるなどです。 調査対象のホストで疑わしいファイルやプロセスが見つかった場合、同じプロセスやファイルのある他のホストについても、セキュリティの侵害がないかどうかを速やかに究明します。そうすることで、攻撃者の行動が組織の中でどの程度の範囲にわたっているのかを速やかに把握できます。また、影響を受けたホストを修復プランの対象に含めることも重要です。 調査中のホストに「Admin1strator」という名前で作成されたバックドア アクセス用の特権アカウントがあれば、他のホストでも同じ特権アカウントが作成されていないかどうかを速やかに調べます。そうすることで、攻撃者の行動範囲がわかります。 Windows環境における攻撃者の行動範囲を調べるには、一連のイベントを検出します。たとえば、実行可能ファイルがファイル共有にコピーされ、その実行可能ファイルを使用して新しいサービスが作成され、そのサービスが5分以内に開始された、などです。こうした一連のイベントは、すでにセキュリティ侵害を受けているシステムから、攻撃者が被害マシン上のバックドアを利用して行動範囲を広げていることを示している場合があります。 このホストでは以前にどのようなインシデントを調査したのか?そのときの修復プランはどのようなものだったのか? 同様のインシデントを過去に経験しているのであれば、アナリストはそうした情報を利用して根本原因や修復プランを絞り込むことができます。 以上のようなことは、アナリストが調査プロセスをスピーディに進めるのに役立つエンリッチメントの例のごく一部にすぎません。アナリストが「右クリック」するだけで、こうしたエンリッチメント データにアクセスできるようになれば、調査プロセス全体の効率とスピードが向上します。 この分野におけるRSAと、RSAのセキュリティ分析にご注目ください。自動化とエンリッチメントを通じて、お客様の調査をスピードアップします。

脅威検出ベンチマーク パート1:脅威ベクトルを明らかにする

最新のIT環境のセキュリティを保護するためにとれる戦略は、脅威検出の能力で決まってきます。残念なことに、セキュリティ戦略の基盤として組織が頼りにしている脅威検出データのソースは、わずか数種類だけということが多いのです。これでは十分な可視性が得られず、その結果リスクが増大してしまいます。脅威検出ベンチマーク シリーズのパート1では、可視性を改善して組織のセキュリティ戦略の基盤を堅固にする方法について説明します。 包括的な可視性の重要性 可視性は、広く流布している脅威ベクトルを明確化し検出する組織の能力を支えます。これは、ただ単にエンドポイント レベルやネットワーク レベルのエージェントに頼って脅威検出ソリューションを構築すればいい、という意味ではありません。むしろこれには、広く流布している脅威ベクトルをすべてカバーするために、複数の統合されたデータ ソースを使用する、という意味があるのです。 手短に言えば、脅威ベクトルとは、脅威アクターが重要な資産にアクセスするのに使用する可能性があるパスのことです。何だかはっきりしないように聞こえるでしょうが、それは今日の攻撃の動的な特質によるものです。脅威ベクトルは急速に進化しており、新たな戦術が次々に発見されています。こうした理由により、重要なリソースにつながる可能性のあるすべてのパスの可視性を高く保つことは、効果的な検出の基盤となるのです。 とにかく数がものを言う 包括的な可視性をもつ環境を創出するうえで、まず強調されるべきものは、ソースの量です。この考えは、物理的セキュリティの仕組みとよく似ています。セキュリティ カメラと警備員を増やせば、可視性は高くなります。同様に、脅威モニタリングのためのデータ ソースを増やせば、潜在的な脅威をよりよく検出できるようになります。 脅威検出データのための優れたソースは何か、と尋ねられれば、多くのITプロフェッショナルは従来のデスクトップ セキュリティ エージェントを挙げるでしょう。こうした世界観は、きわめてマルウェア中心的であり、エンドポイントでのマルウェア対策ソリューションが効果的であるという推測によるものです。今日の高度な脅威の世界にあっては、マルウェアを使用しない攻撃も多く、そうでなくてもマルウェアは静的な検出ルールやシグネチャを簡単に回避できるため、この推測は信頼できません。こうしたツールからは、脅威アクティビティに対する限られたインサイトが得られるものの、これだけでは、求められているような環境全体にわたる可視性を得ることはできません。高品質のソースとしては、ネットワーク データ(ネットワークのパケットとフローのデータを含む)、より詳細なエンドポイント データ、インフラストラクチャ全体にわたるシステム レベルでのログのモニタリングなどがありますが、これらに限定されません。一般的な経験則によると、ソースが増えるほど、可視性は良好になります。これらのソースは、組織の環境に応じた広範な脅威ベクトルをカバーする必要があります。 ここまで述べてきた可視性のソースは、インフラストラクチャに焦点を当てています。しかし、IDとユーザー行動に対する可視性を獲得することも重要です。The Wall Street Journalの最近の記事では、内的脅威の問題が深刻化している状況に焦点が当てられています。IDデータと他のデータ ソースとを密接に統合することにより、組織は潜在的な内的脅威ベクトルに対する高い可視性を実現できます。これは高品質なソースの好例であり、脅威データのソースを多様化するという総合的なアプローチをとることで、いかに組織が脅威検出の水準を高められるかを示しています。 セキュリティ戦略の有効性は、それが構築されている基盤で決まります。高品質なデータ ソースの数が多ければ、強固な基盤が確立され、環境全体にわたってアクティビティを把握できるようになります。

オバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同する

「サイバーセキュリティ業界は基本的に破綻しています…しかし、それはテクノロジーの問題ではなく、考え方の問題なのです。」 RSAプレジデントのAmit Yoranが最近このように発言しました。このコメントは全国を駆け巡っただけでなく、米政府に対する深刻なデータ侵害の発生を受けて、政府内でも深刻に受け止められています。昨年のOPM(米政府人事管理局)へのセキュリティ侵害から、先週のFBIとDHS(米国土安全保障局)を揺るがした侵害までを振り返り、米政府のITシステムを保護するうえでの考え方を刷新する必要があるのではないかという懸念が生まれています。 こうした経緯から、RSAはオバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同します。この行動計画は今日午前に発表されたもので、RSAも様々な面で関わっていきます。しかし、同時に、米政府のこの取り組みにおいて、本当に透明性が実現されるかどうか、いくつかの点について注視していきたいとも考えています。第1に、米政府のCISOの役割がうまく機能するかどうかに注目しています。従来の大統領特別補佐官やサイバーセキュリティ補佐官では不可能だった権威、アカウンタビリティ、責任能力を、この新しい職責では達成できるのでしょうか。第2に、DHS(米国国土安全保障省)の役割は、明示的/暗黙的にどのように変わるのでしょうか。 米政府を攻撃者から保護するためのこの新しいアプローチは、従来の有効性に欠けたサイバーセキュリティの考え方に対する挑戦と言えるでしょう。RSAは、この行動計画の主要な要素の1つに対して、公に支持を表明しています。それは、電子メールなど重要なアプリケーションおよびシステムにおける、多要素認証の広範な導入の促進です。私は、この重要な問題に対するRSAの取り組みを誇りに思っています。多要素認証(しかも、米政府のCAC/PIVインフラストラクチャすら上回るレベルのもの)は、セキュリティを強化するために不可欠です。National Cyber Security Allianceなど多くの組織では、この問題をITセキュリティに関わる人々に強く印象づけるための努力を続けてきました。 今日の発表には、その他にも非常に重要な点がいくつか含まれていました。   サイバーセキュリティへの支出の増加。   米政府のIT防御をモダナイズするための広範な計画。     米政府のCISO職の新設(文民、国防総省、情報機関などの間のサイロ化をなくす)。     NISTサイバーセキュリティ フレームワークの導入を促進するアクティビティ(特に重要なインフラストラクチャ コミュニティに対して)。     連邦サイバー ワークフォースの人員数と機能を強化する取り組み。     今日の発表でもう一つ注目されるのは、官民の壁を越えた委託関係です。民間セクタからの情報を取り入れながら、最も重要なサイバー脅威の課題に対処できるソリューションの開発に注力します。RSAは、この委託関係に積極的に関与していきます。オバマ大統領は、ウォール ストリート ジャーナルの論説欄で次のように述べています。「政府にはまだ多くの必要なツールが不足しています。その中には、多くの企業で日常的に使用されているものも含まれます。」 今日の高度な脅威に対抗するための最も重要な機能に予算を重点的に配分し、取り組みを加速することが重要です。米政府のセキュリティを強化するための構想は、大きな3つの柱によって構成されます。   米政府のCISOレベル、政府機関レベル、プログラム レベルでの、重要なインフラストラクチャ全体への脅威に対する、完全なリアルタイムの可視性。   クラウドとモバイルの時代に合わせてネイティブに設計された、新しいID保証システムとアクセス ガバナンス テクノロジーの導入。     リスクの識別と、リスク軽減への取り組みを優先する、企業における成熟したリスク管理アプローチ。     今日はインターネット安心デーです。「サイバー世界の状況が一変したのに、古い地図を使って旅をする」ような習慣はやめなければなりません。 今日のオバマ大統領の声明と、これまでのさまざまな議会の取り組みは、米国の立法府と行政府が新たな目的意識を持って「サイバーセキュリティ作戦」に取り組もうとしていることを示しています。私たちITセキュリティ業界の人間も、この作戦の中で自分たちの役割を果たさなくてはなりません。この問題は、今年のRSA Conferenceで主要なトピックとなるでしょう。この「戦い」に負けることは絶対に許されません。

モバイル アプリのダウンロードに見せかけたトロイの木馬に注意

RSAでは、オンライン バンキング アプリケーションのエンド ユーザーを標的とする新しいマルウェア攻撃を認識しています。この攻撃を受けると、被害者の口座から振り込みが不正に行われる可能性があります。この攻撃には、信頼性をアピールするべくRSA SecurIDのブランドを「装った」、AndroidベースのSMS(ショート メッセージ サービス)ハイジャック アプリが使用されています。この攻撃の標的は、Androidベースのモバイル デバイスの所有者のみです。これまでのところ、Appleデバイスは影響を受けていません。攻撃は次のように実行されます。 トロイの木馬マルウェアが被害者のデバイスに展開されます。 その後、被害者がOTP(ワンタイム パスワード)を使用して送金を認証するオンライン バンキング アプリケーションに接続すると、トロイの木馬により偽のRSA SecurIDアプリをダウンロードするように推奨されます。このアプリは、実際にはRSA SecurIDのブランドを「装った」AndroidベースのSMSハイジャック アプリです。 トロイの木馬は、Androidモバイル デバイスの電話番号の入力を被害者に求め、偽のRSA SecurIDアプリをダウンロードする(公式のGoogle Playストア以外のサイトから)ためのリンクを含むSMSテキストを、被害者のデバイスに送信します。 被害者が偽のアプリをダウンロードしてインストールすると、攻撃者はエンド ユーザーの口座から不正に金を引き出し始めます。 オンライン バンキング アプリケーションから、SMSテキストとOTPがユーザーのモバイル デバイスに送信されるとき、テキストはマルウェアによってインターセプトされるため、ユーザーにはまったく見えません。 その後、攻撃者は収集したOTPをアプリケーションに入力し、不正な取引を実行します。 アプリのセキュリティと信頼性を確保するため、RSAでは、デバイス プラットフォーム向けの公式アプリ ストアでのみ、RSAモバイル アプリをダウンロードできるよう制限しています。この点によくご留意ください。つまり、上記のような場合、アプリがGoogle Playストア以外のサイトからダウンロードされるということが、そのアプリが本物でないことを明確に示しています。RSAのAFCC(不正対策指令センター)は、偽のRSAモバイル アプリ ダウンロード サイトを厳重に見張ってシャットダウンしており、この新しいマルウェア攻撃にも対処しています。 この攻撃方法は、決して目新しいものではなく、RSAのお客様以外にも被害が及ぶ可能性があります。しかし、優れたサイバー セキュリティ予防策があれば、複数のポイントで防御することができます。RSAのお客様(およびそのお客様)は、次の方法で効果的に防御することができます。 デバイス プラットフォームの公式ストア(Google Play、Apple App Storeなど)以外のサイトからRSAモバイル アプリを絶対にダウンロードしない。 ソーシャル エンジニアリング ベースの攻撃に注意する。この場合、マルウェアによりモバイル デバイスの電話番号の入力がエンド ユーザーに求められますが、この情報はほとんどの場合銀行がすでに持っています。 RSA ECATなどの強力なマルウェア対策検出および緩和ソリューションや、トロイの木馬攻撃による損害の可能性を下げる企業デバイス向けの商用ソリューションを活用する。 マルウェア対策/AVソフトウェアを最新の状態に保ち、ファイアウォールを有効にし、デバイスをroot化しないようにする。 この投稿は、SecurID/Viaのプリンシパル プロダクト マネージャー、Kenn…

What is the Deep (Dark) Web?

Billions of people use the web on a daily basis. However, most of them usually consume less than 5 percent of its content. This 5 percent is known as the Surface Web, the part of the web whose content can be indexed and found by standard search engines that use link-crawling techniques, like Google, Bing, Yahoo,…

Amit Yoran’s Predictions for 2016

This year marked a strategic shift from a maniacal focus on prevention, toward greater balance on monitoring, detection, and response capabilities. It’s become cliché́ to say that breaches are inevitable and that faster detection and more accurate incident scoping are the way forward. 2015 saw continued acceleration of threat evolution. What was considered an “advanced”…

SOCにセキュリティ アナリティクスが必要な理由

この数年間、業界の中で最も頻繁に使われ、話されてきた用語は、「セキュリティ アナリティクス」であると思います。それにもかかわらず、依然として多くの人が、この用語の本当の意味を理解していません。ここでは、セキュリティ アナリティクスに対する私の考えと、セキュリティ アナリティクスが組織にもたらすメリットについてお話したいと思います。 ほとんどのセキュリティ インシデントは、企業のエンド ユーザーの行為が原因です。ここで、例として、John Doeの一日についてみてみましょう。Johnの一日は、PAS(物理アクセス システム)にIDカードを通して、職場の自分の席に着くことから始まります。自分のラップトップでVPNにログインし、メールを確認し、生産性をサポートするさまざまなビジネス アプリケーションにアクセスします。休み時間になると、こんどは会社のラップトップも使って、ニュースの話題をチェックし、ソーシャル メディア サイトで友人の近況を確認し、ネットでショッピングすることもあります。仕事が終わると、再びIDカードをPASに通して、車で帰宅します。オフィスにいないときは家から、出張中ならホテルからVPNシステムに接続できます。 では、セキュリティ オペレーションの観点から、この行動について考えてみましょう。 PACシステムがログを生成し、SIEMシステムにログを送信します。AD(Active Directory)がエンド ユーザーのログインを継続的に追跡し、SIEMが複数のルールを有効にして疑わしいアクティビティについてアラートを生成します。たとえば、総当たり攻撃が検出された場合や、通常のユーザー アカウントが高い権限を必要とするシステムに接続されている場合に、アラートが生成されます。 Webプロキシが、自動的に不適切なサイトをブロックします。SIEMシステムも、ファイアウォールが許可したトラフィックの中に、SIEMにフィードされた脅威インテリジェンスと一致するものがあると、アラートを発行します。次にセキュリティ チームはトラフィックを調査し、調査結果に基づいて適切な判断を下します。 SIEMは、脅威インテリジェンスによってフラグが付いたIPからVPNアクセスが行われているかを検出するルールも備えています。 アプリケーションへのアクセスは、IDガバナンス ソリューション(ほとんどの場合)、または手動によって制御されます。 このルール駆動型のアプローチには、以下の特徴があります。 全体像は、SOCチームには見えません。すべての活動は、別々のアクティビティとしてサイロで表示されます。アナリストは、調査後にストーリーボードを作成することが求められます。 SIEMがアクティビティごとにアラートを発行するため、誤検出の数が多くなります。 スキルの高いアナリストが必要です。 悪意のあるユーザーのアクティビティや内部関係者によるアクティビティとルールが一致しないと、セキュリティ インシデントを見逃してしまいます。 セキュリティ アナリティクスでは、これらの問題への対応に異なる手法を導入すると同時に、より多くのインシデントを検出することができます。セキュリティ アナリティクスシステムは、AD、SIEM、DLPのようなさまざまなデータ ソースだけでなく、HRMSなどのその他のITシステムからもデータを取得します。データは、ユーザー プロファイル、ログ、ネットワーク セッション、さらにはエンドポイント データの形式をとります。このデータは、ユーザーまたはシステムがアクティビティを実行すると、生成されます。ユーザーの行動に焦点を当てたソリューションは、現在まで数えるほどしかありません。このようなソリューションは、UBA(ユーザー行動分析)またはUEBA(ユーザーおよびエンティティ行動分析)と呼ばれます。これらのシステムは、ID管理システムと統合されていることが多く、ユーザーのID、行動およびアクセス アクティビティを追跡します。ユーザーの行動に関する問題を特定することを重視していますが、ネットワークの動作またはシステムの動作に関する問題も特定できます。 データが収集されると、システムでは機械学習、統計アルゴリズム、その他のメカニズムを利用して、データを分析します。この分析により、SOCチームはエンティティの行動を、そのエンティティの行動履歴と比較したり、エンティティの行動を同僚や母集団と比較したりします。たとえば、John Doeと彼のセールス チームは、その日の優先事項を達成するために、通常は同じシステム、Webポータル、その他のアプリケーションにアクセスします。同じようなパターンは、人事部、財務、マーケティングなど、組織の別の部署でも観察されます。 この分析では、ユーザーが行動の一部として実行した個々のアクティビティに対して、スコアを生成します。全体の合計スコアをSOCのアナリストに提示し、その行動が適切か不適切かを判断する材料とします。 前述の同じ例を分析ソリューションが処理するとどうなるかを考えてみましょう。この分析ソリューションでは、ログ、ネットワーク セッション、HRMSからのプロファイル、ガバナンス システムでのアクセス権、エンド ポイント データをすべて読み取ります。 ユーザー「John Doe」が、組織の拠点がない国から接続した:スコア92点 ユーザー「John Doe」が、脅威インテリジェンス フィードに含まれているIPから接続した:スコア100点 ユーザー「John Doe」のVPN接続時間は4時間だが、彼のグループの平均は8時間である:スコア82点 ユーザー「John Doe」が、自分のプロファイルのタイムゾーンとは異なるタイムゾーンで接続した:スコア80点…

SOCにセキュリティ アナリティクスが必要な理由

この数年間、業界の中で最も頻繁に使われ、話されてきた用語は、「セキュリティ アナリティクス」であると思います。それにもかかわらず、依然として多くの人が、この用語の本当の意味を理解していません。ここでは、セキュリティ アナリティクスに対する私の考えと、セキュリティ アナリティクスが組織にもたらすメリットについてお話したいと思います。 ほとんどのセキュリティ インシデントは、企業のエンド ユーザーの行為が原因です。ここで、例として、John Doeの一日についてみてみましょう。Johnの一日は、PAS(物理アクセス システム)にIDカードを通して、職場の自分の席に着くことから始まります。自分のラップトップでVPNにログインし、メールを確認し、生産性をサポートするさまざまなビジネス アプリケーションにアクセスします。休み時間になると、こんどは会社のラップトップも使って、ニュースの話題をチェックし、ソーシャル メディア サイトで友人の近況を確認し、ネットでショッピングすることもあります。仕事が終わると、再びIDカードをPASに通して、車で帰宅します。オフィスにいないときは家から、出張中ならホテルからVPNシステムに接続できます。 では、セキュリティ オペレーションの観点から、この行動について考えてみましょう。 PACシステムがログを生成し、SIEMシステムにログを送信します。AD(Active Directory)がエンド ユーザーのログインを継続的に追跡し、SIEMが複数のルールを有効にして疑わしいアクティビティについてアラートを生成します。たとえば、総当たり攻撃が検出された場合や、通常のユーザー アカウントが高い権限を必要とするシステムに接続されている場合に、アラートが生成されます。 Webプロキシが、自動的に不適切なサイトをブロックします。SIEMシステムも、ファイアウォールが許可したトラフィックの中に、SIEMにフィードされた脅威インテリジェンスと一致するものがあると、アラートを発行します。次にセキュリティ チームはトラフィックを調査し、調査結果に基づいて適切な判断を下します。 SIEMは、脅威インテリジェンスによってフラグが付いたIPからVPNアクセスが行われているかを検出するルールも備えています。 アプリケーションへのアクセスは、IDガバナンス ソリューション(ほとんどの場合)、または手動によって制御されます。 このルール駆動型のアプローチには、以下の特徴があります。 全体像は、SOCチームには見えません。すべての活動は、別々のアクティビティとしてサイロで表示されます。アナリストは、調査後にストーリーボードを作成することが求められます。 SIEMがアクティビティごとにアラートを発行するため、誤検出の数が多くなります。 スキルの高いアナリストが必要です。 悪意のあるユーザーのアクティビティや内部関係者によるアクティビティとルールが一致しないと、セキュリティ インシデントを見逃してしまいます。 セキュリティ アナリティクスでは、これらの問題への対応に異なる手法を導入すると同時に、より多くのインシデントを検出することができます。セキュリティ アナリティクスシステムは、AD、SIEM、DLPのようなさまざまなデータ ソースだけでなく、HRMSなどのその他のITシステムからもデータを取得します。データは、ユーザー プロファイル、ログ、ネットワーク セッション、さらにはエンドポイント データの形式をとります。このデータは、ユーザーまたはシステムがアクティビティを実行すると、生成されます。ユーザーの行動に焦点を当てたソリューションは、現在まで数えるほどしかありません。このようなソリューションは、UBA(ユーザー行動分析)またはUEBA(ユーザーおよびエンティティ行動分析)と呼ばれます。これらのシステムは、ID管理システムと統合されていることが多く、ユーザーのID、行動およびアクセス アクティビティを追跡します。ユーザーの行動に関する問題を特定することを重視していますが、ネットワークの動作またはシステムの動作に関する問題も特定できます。 データが収集されると、システムでは機械学習、統計アルゴリズム、その他のメカニズムを利用して、データを分析します。この分析により、SOCチームはエンティティの行動を、そのエンティティの行動履歴と比較したり、エンティティの行動を同僚や母集団と比較したりします。たとえば、John Doeと彼のセールス チームは、その日の優先事項を達成するために、通常は同じシステム、Webポータル、その他のアプリケーションにアクセスします。同じようなパターンは、人事部、財務、マーケティングなど、組織の別の部署でも観察されます。 この分析では、ユーザーが行動の一部として実行した個々のアクティビティに対して、スコアを生成します。全体の合計スコアをSOCのアナリストに提示し、その行動が適切か不適切かを判断する材料とします。 前述の同じ例を分析ソリューションが処理するとどうなるかを考えてみましょう。この分析ソリューションでは、ログ、ネットワーク セッション、HRMSからのプロファイル、ガバナンス システムでのアクセス権、エンド ポイント データをすべて読み取ります。 ユーザー「John Doe」が、組織の拠点がない国から接続した:スコア92点 ユーザー「John Doe」が、脅威インテリジェンス フィードに含まれているIPから接続した:スコア100点 ユーザー「John Doe」のVPN接続時間は4時間だが、彼のグループの平均は8時間である:スコア82点 ユーザー「John Doe」が、自分のプロファイルのタイムゾーンとは異なるタイムゾーンで接続した:スコア80点…

資産の成り立ちを探る

ここ数年間にわたってほとんどの業界を悩ませてきたデータ漏洩を振り返ると、敵対者や脅威の主体、サイバー犯罪者が、テクノロジーの設計と実装面の欠陥を悪用することで、コンピューティングの脆弱性と欠陥につけ込んでいることがわかります。数多くの組織が、これらの問題を軽減しようと思いつきで(おそらく恐怖と疑念から)対応し、確実な対策として約束された技術的な解決策に、一段と多くの予算を投じています。 明らかに、これは一般的に見られる効果の低い対策の1つで、セキュリティ テクノロジーのレイヤーを追加して問題に対応するというお決まりの行動に陥ってしまいます。その前に必要なのは、まず根本原因を理解することです。すなわち、以下の質問に答えなければなりません。 敵対者の目的と動機は何であったか? 敵対者のTTP(戦術、手法、手順)はどのようなものだったか? この攻撃は、いつ、なぜ、どのように発生したのか? 貴重な情報はどこに保存されていたのか? データ漏洩がコストの上昇を招く可能性がありますが、このリスクを軽減するには、新しいセキュリティ レイヤーを追加して次のデータ侵害を回避するのではなく、さらに進んだ考え方に向かって努力する必要があります。 同様に、こうした追加のセキュリティ テクノロジーに頼らずにセキュアなシステムを設計し、維持することが、複雑な問題であるということも広く認識されています。攻撃に対する復元性レベルの測定や、関連するシステム リスクを抑制し軽減するために必要な対策を決定することにも、環境に対する深い知識と複数の専門分野にわたるアプローチが必要です。このアプローチでは、開発、運用、セキュリティ(DevSecOps)という3つの専門分野の取り組みを結集する必要があります。エンタープライズ規模の組織では、こうした新しいチームを緊密に結びつけ、コードの開発、運用の維持、組織の重要な資産とビジネス システムの保護を目指す最終目標を設定する必要があります。 組織が、システムのセキュリティを確保し、100%のリスクの受容に向けて取り組むために重要なことは、常に組織の資産が直面する脅威の種類を認識してシステムに対する脅威のレベルを測定し、起こってはならないこと(セキュリティ要件)と実施する必要があること(システム要件)を特定することです。よって、システム要件とセキュリティ要件を定義する際には、全体像として、悪用事例、正しい使用事例、リスクを軽減する事例を把握します。 セキュリティ チームは、以下の点を現実的に、深く、十分に理解、確認して、リスクベースのスコアリング システムを正しく運用し、そのシステムを悪用する攻撃者の能力を削ぐ必要があります。 資産のコンポーネントとインターフェイス ネットワーク レイヤーとアプリケーション レイヤー 各コンポーネント間のデータ フロー、信頼レベル、分離 資産内の入口/出口ポイント コンポーネントが依存し、セキュリティの問題につながりかねない外部の依存関係とライブラリ 最後に、脅威駆動型アプローチを利用している資産を調査し、各コンポーネントに対する悪用事例を書き表す必要があります。 最も重要な資産をコンポーネントに分解して分析し、敵対者による攻撃方法とTTPの利用方法を理解すれば、セキュリティ チームと資産の所有者は、だれから、何から、そしてなぜシステムを保護すべきなのかを理解することができます。 この分析を行わず、最初に示した質問に答えないと、セキュリティ制御が資産の価値を保護できないという状況に簡単に陥ってしまいます。 セキュリティ チームは、資産の設計とメンテナンスについてガイダンスを提供する必要があります。また、重要な資産を保護するために講じるセキュリティ対策の信頼性を高めることは、最も重要な取り組みです。