CISO として考えるべき脅威検知の視点:7つの質問を用意してみた

7 threat detection challenges CISOs face and what they can do about it

2022/05/05 HelpNetSecurity — セキュリティ運用 (SecOps) チームは、新たな攻撃やマルウェアの亜種の氾濫に、さらされ続けている。最近の AV-TEST 調査によると、2021年だけで 1億7000万以上の新しいマルウェア亜種が存在している。その結果として、CISO とチームが、これらの新たな脅威を特定し、阻止するための負担は、かつてないほど高まっている。しかし、それを行おうとすると、スキル不足/データの相関関係の特定 (手作業)/誤検出の追及/長時間の調査といった、さまざまな課題に直面する。この記事では、CISO が直面している脅威検知プログラムの課題を探り、セキュリティ運用を改善するためのヒントを紹介したいと思う。

CISO は、脅威の検知/調査/対応 (TDIR:threat detection, investigation and response) のためのセキュリティ運用プログラムが、最高のパフォーマンスで実行されていることを確認している。ここでは、TDIR プログラムに影響を及ぼす可能性のある7つの主要な問題と、組織/セキュリティ運用チーム/ソリューション・ベンダーに関する問題を、CISO が解決する際に検討すべき質問について説明していく。

  1. ネットワーク上で発生する IoC (indicators of compromise) やセキュリティ・イベントが多すぎるため、悪意の活動を適切に特定することができない。そのため、CISO は、これらのデータを効果的に関連付け、分析し、誤検知を排除できる高度なツールを求めている。CISO が最も避けたいことは、誤ったパスワード入力を繰り返すユーザーの、ログイン失敗のようなイベントに、チームが時間が浪費されることだ。

    質問:どのようなソース (ログ/クラウド/アプリケーション/ネットワーク/エンドポイントなど) からのデータでも、相関させることができるか? これらの、全てのシステムを完全に監視し、必要な全てのテレメトリーを取り込み、相関関係を自動的に確認できるか? そして、その全てのデータを相関させるために必要なコストを算出できるか(つまり、ソリューション・プロバイダーは何を請求しているのか) ?
  2. 長期的な視点でデータを関連付けるのは困難だ。複数のパズルが詰まった箱から、パズルのピースを並べるようなものである。一度だけ発生した攻撃は、特定が極めて難しくなる場合がある。しかし、脅威者が環境内に侵入すると、多くの場合において、長い期間 (数日/数週間/数カ月後) にわたる活動が、少しずつ行われるようになる。そのため、人間であるアナリストが時間をまたいで、これらのバラバラに見える事象を取り上げ、結びつけ、パズルを完成させることは、ほとんど不可能である。

    また、時間が経つと、それらの事象は無関係に見えてくるため、同じ攻撃の一部として関連付けることは、大半のツールにとって困難になる。CISO は、被害が拡大する前に、チームがパズルを完成させるために必要なものを (限られた予算内で)、全て備えていることを確認する責任を負う。

    質問:イベントを処理し、時系列で効果的に相関させられる、多様なデータソースと分析機能を備えているか?リアルタイムで攻撃を検知するために、すぐに使える、脅威に対するコンテンツを持っているか?
  3. 攻撃キャンペーンに関する情報を集約し、異なるセキュリティ・ソースを手作業で相関させ、調査することは、CISO とチームが必要とする時間とリソースを大幅に増加させる。何が問題なのかを知り、対策方法を決定するために、必要とされるコンテキスト情報を得るためには、複数のシステムから一度にデータを取得する必要がある。しかし、それに時間を使っている間に、被害が拡大してしまう可能性がある。この課題は、セキュリティ運用プログラムの構築に、多大な時間と資金を投入してきた CISO を、簡単に挫折させる。

    質問:現在のチームは、多くの相関関係を手作業で作成する必要があるのか?数週間または数カ月に及ぶイベントを、どのように処理しているのか? 他の IT チームと連携する際に、より適切に対応できるのか? そのためのパターンを見出すために、複数のツールで検索し、自分たちでコンテキストをまとめる必要があるのか?
  4. スキルギャップは依然として問題である。しかし、ネットワークやサーバなどを含む、IT 部門の基本的なトレーニングを受けた熟練実務者が減少するにつれて、セキュリティに重点を置いた実務経験の少ないアナリストを、CISO は採用せざるを得なくなってくる。そのため、アナリストが効果を発揮するために必要とする、実地トレーニングや経験の量に影響が及んでいる。現状において、十分なスキルを持ったサイバー・セキュリティの専門家が極端に不足している。

    質問:TDIR (threat detection, investigation and response) プラットフォームは、どのようにして特定のタスクを自動化し、適切なコンテキストを最前線に提供できるだとうか?経験の浅いアナリストが時間をかけて学習し、次第に価値を高めていけるよう、必要なコンテキストを提供できるか?
  5. ベンダーとは、大きな約束をし、小さな結果をもたらすものだ。脅威の検知に関して言えば、機械学習/人工知能/マルチクラウド対応/リスク指標の適用などの、誇張の目立つベンダーが多くなっている。CISO を取り巻く状況は最悪であり、銀の弾丸を提供すると主張するベンダーや、疑わしいマーケティング用語を並べ立てるベンダーに悩まされ続けている。それらは、約束したものを提供するわけではない。

    質問:ソリューションはルールベースの ML/AI を使用しているか?静的な性質があり、更新が必要で、新しい攻撃や亜種の特定には効果がないことを理解しているか? マルチクラウドの定義は相関関係だけに関するものか?マルチクラウドで攻撃が発生しているかどうかの判断はアナリストに任されている?リスクス・コアリングは、一般的なソースからスコアを集計しているだけか? 分析により強化されたエンタープライズ・クラスのリスク・エンジンを活用しているか?
  6. コスト/予算/セキュリティ/可視性のトレードオフは、苦渋の選択となる。CISO は、SIEM のような、取り込んだデータの量に応じて課金されるプラットフォームをよく目にする。組織が成長するにつれ、取り込んだデータ量に応じた課金は予測不可能なものとなり、ライセンスやストレージのコストが急速に上昇する可能性がある。そのため、CISO はコスト負担を軽減し、かつ可能な限り多くのデータを取り込むことができるソリューションを探す必要がある。その結果として、SOC の可視性が向上し、より効果的な TDIR が実現する。

    質問: 真の機械学習を採用したソリューションの場合、取り込めるデータが多ければ多いほど良い。対象となるソリューションにおいては、より多くのデータを取り込むとペナルティが課されるのでろうか? それとも、より良い可視性を提供するために、より多くのデータ取り込みを受け入れ、柔軟なライセンスが提供されるのだろうか? ストレージ・コストを削減するために、プロバイダーは支援してくれるのか?
  7. 自動化により、脅威の検出速度が向上していく。それにより、セキュリティ・チームのメンバーは、より生産的なタスクに集中できるようになる。つまり、価値の低い単純作業や手作業に費やす時間とリソースを減らし、価値の高い作業にかける時間を増やせるようになる。また、解析と自動化が透過的であれば、若手アナリストの経験値も向上し、学習と改善が可能になる。

    しかし、すべての自動化が、同じように作られているわけではない。ノイズが多く、誤検出が多いソリューションでは、調査の優先順位付けや、対応の自動化が困難になっていく。脅威の検出精度が高ければ高いほど、自動化されたレスポンスは、より的を射たものになる。

    質問:ソリューションの自動化は、SOC のライフサイクル全体に内在しているか?その場合、それが機能していること確認する方法はあるのか? 運用を最適化されていることを、どのようにして確認できるのか?たとえば、キルチェーンの早い段階での阻止は可能なのか?

    CISO とセキュリティ運用チームが、脅威検知の改善に取り組むときには、可視性/コスト/柔軟性 (特にクラウド環境)/分析/優先順位付け/コンテキスト・データなどの、さまざまな問題に直面することになるだろう。しかし、これらの課題を理解するために協力し、正しい知識と質問で武装することで、私たちの業界は進化を続け、より良いセキュリティ運用が、組織に提供されるようになる。

こうして、毎日、インシデントに関連する情報を拾って訳していると、エクスプロイト/マルウェア/ランサムウェアなどの情報と、サプライチェーン/インベントリ/リポジトリ/脆弱性などの情報が、複雑に混じり合っていることが分かってきます。それらを把握した上で、自社のセキュリティを向上させていく CISO の仕事はたいへんだと思います。この7つの質問を訳してみて、再認識しています。なお、冒頭の統計データの裏付けとなる、AV-TEST のページは、なかなか面白いです。

%d bloggers like this: