サイバー脅威の可視化:XDR (Extended Detection and Response) ソリューションとは?

Cyber Threat Protection — It All Starts with Visibility

2022/01/19 TheHackerNews — 動物が五感を使って危険を察知するように、サイバー・セキュリティは、コンピュータ環境における危険を知らせる信号を識別するセンサーに依存している。この感覚が高度に調整され、多様で協調的であればあるほど、危険を示す重要な信号を検出できる可能性が高くなる。しかし、これは諸刃の剣でもある。信号が多すぎても、高度な信号処理がなければ、ただのノイズになってしまう。しかし、高度に進化した信号処理による適切で多様な信号の存在は、生存へとつながる。

したがって、サイバー攻撃を検知するためには、IT 環境全体で脅威を幅広く可視化することが基本となる。サイバー・セキュリティ企業である Cynet は、新しいeBook「The Guide for Threat Visibility for Lean IT Security Teams」の中で、この点について説明している。

脅威の可視性が限られているという継続的な問題

今日の IT 環境は複雑化しており、保護することが極めて困難になっている。リモートワーカーの増加や、SaaS およびクラウドのワークロードの増加、自由度の高いサードパーティからのアクセスなどにより、防御の境界線は拡大している。IT 環境は非常に大きく、複雑で、常に変化しているため、何が起きているかを監視することは、ほとんど不可能である。

この複雑さは、サイバー犯罪者にとって魅力的である。サイバー犯罪者は、収益性の高い攻撃機会の拡大に目を輝かせており、予想外の新たな攻撃ベクターを生み出している。ほとんどのセキュリティ技術は、既知の脅威を阻止することに長けている。つまり、新たな脅威が生み出されている現状は、多くの検知されない攻撃が存在することを意味する。

IT 環境に散在するセキュリティ技術のパッチワークにより、セキュリティ担当者は攻撃対象の一部を見ることが可能だが、すべてが可視化されているわけではない。さらに、個々の防御システムは、脅威の状況を完全かつ正確に評価することができない。セキュリティ・テクノロジーの寄せ集めでは、焦点が定まらないどころか、ノイズが増えてしまう。

結局のところ、可視性の低さにより、不十分な防御/セキュリティチームの過労/コストの増加が生じることになるに。脅威の可視化を改善することは、サイバー・セキュリティにおける、すべての側面を改善するための第一歩である。

脅威の可視化のための3つの鍵

脅威を完全な可視化が簡単であれば、このような議論にはならないだろう。最近まで、包括的な可視化を実現するには、極めて複雑な問題に対処するためのコストが必要であり、また、大規模で高度なスキルを持つセキュリティ・チームが必要だった。しかし、今日では、適切なアプローチを用いれば、どんなに小規模な IT セキュリティ・チームであっても、完全な脅威の可視化を達成できる。

1. 脅威を可視化するためのキー・テクノロジー

テクノロジーの数が多ければ多いほど良いと思うかもしれないが、重要なのは、IT 環境の最も重要な部分をカバーする、適切なテクノロジーのセットを選択することだ。それらは、以下の通りである。

  • NGAV – 既知の、悪質なシグネチャと振る舞いに基づく、エンドポイントの基本的な保護。
  • EDR – NGAV ソリューションを回避する、より複雑なエンドポイントの脅威を検出/防止する。
  • NDR – ネットワークに侵入した脅威、いわゆる横方向の動きを検知する。
  • UBA – 盗まれた認証情報/不正なインサイダー/ボットを示唆するような異常な活動を検出する。
  • Deception – 他の検知技術を回避した侵入を発見する。
  • SIEM – IT システムが生成する膨大なログデータを収集する。
  • SOAR – 脅威を軽減するための作業を自動化し、スピードアップする。

    2. すべてを統合して 360度の視界を確保

    IT 環境全体を俯瞰するためには、上記のような複数の検知/防御ツールが必要となる。しかし、単独のコンポーネントとして導入しても、可視性には大きなギャップが生じる。また、それぞれのテクノロジーが個別に、一定のアラートを流すため、いわゆるアラート過多となり、セキュリティ・チームを圧倒することになる。

    最新の XDR (Extended Detection and Response) ソリューションは、複数のテレメトリ・ポイントからのリアルタイム信号を、単一のプラットフォームに統合するように作られている。NGAV/EDR/UBA/NDR/Deception を1つの傘の下に収めることで、脅威の可視性の範囲と解像度が向上する。XDR は、攻撃者による回避策に対して、あらゆる方向からの攻撃を暴くことを可能にする。

    3. 応答アクションの自動化による反射神経の向上

    脅威の発見は独立したものである。脅威を発見することと、それに迅速かつ適切に対応することは別物である。脅威の可視性と精度が向上すれば、IT セキュリティ・チーム、特にリーン・チームは、特定された脅威を阻止するために、迅速に対応する必要がある。

    XDR に自動化が統合されていなら、セキュリティ専門家の以上のスピードとスケールが達成される。XDR に自動化が連携することで、XDR により収集された全ての信号とデータが、自動化のためのエンジンに入力され、理解が深まっていく。それにより、攻撃の迅速な調査が自動化され、根本となる原因と影響の詳細が把握できる。そして、検出された攻撃に関する情報に基づき、その攻撃に対して推奨されるプレイブックを自動的に編成され、脅威の無力化と被害の軽減のための、具体的な手順を実行されていく。

最終的な考え

セキュリティ・スタックを拡大し続ける必要はない。主要なツールを統合し、新たに登場した XDR テクノロジーと統合することで、脅威の可視性を高めることが可能であり、その他の全ての機能も強化されていく。XDR を利用することで、どのようなセキュリティ・チームであっても、また、高度に洗練されたセキュリティ・チームであっても、アラームの誤作動を減らし、巧妙な攻撃を早期に発見し、自動的かつ即座に対処することが可能となる。

サイバー脅威の可視化を進める、XDR (Extended Detection and Response) というソリューションです。おそらく、さまざまなセキュリティ製品を持つベンダーが、この領域で競い合っていくことになるのでしょう。これまでのポストでは、2021年10月の「SaaS のセキュリティ:リスクを分析して対策を講じる」で XDR に触れていましたが、この記事も Cynet の同じレポートを参照しているようです。

%d bloggers like this: