Study Reveals Alarming Gap in SIEM Detection of Adversary Techniques
2023/06/27 InfoSecurity — 企業における Security Information and Event Management (SIEM) ソリューションは、サイバー脅威の検出と対策に対して不十分だという。この CardinalOps の分析は、Splunk/Microsoft Sentinel/IBM QRadar/Sumo Logic などのプロダクション SIEM から、4000件を超える検出ルールおよび、100万件のログソース、固有のログソースタイプを調査した結果である。
この調査では、SIEM は MITRE ATT&CK フレームワークに記載されているテクニックの 24% しか検知できず、それを用いる組織は、ランサムウェア攻撃や、データ侵害などの脅威に対して脆弱な状態であることが示されている。
その一方で SIEM は、すでにMITRE ATT&CK の全手法の94%をカバーするのに十分なデータを、取り込んでいることも明らかになった。しかし、新たな検知手法やデータ品質の問題に対処するための非効率的な手作業プロセスが、カバレッジの向上を達成できない原因となっている。
Vulcan Cyber のシニア・テクニカル・エンジニアである Mike Parkin は、「ここでの課題は、検出能力の不足というよりも、相関関係や優先順位付けの能力の不足であるようだ。ユーザー組織が、脅威の表面を明確に把握し、リスクを管理し、イベントに優先順位をつけ、最も重要な課題に集中できるようになるまでは、問題を乗り越える必要があるだろう。私たちは、それを実現するためのツールを持っている。しかし、それらを導入し、最良の効果が得られるように設定するのは難しいことだ」とコメントしている。
さらに CardinalOps は、「すべての SIEM ルールの 12% が、データ品質の問題により不適切な状態にあるため、未検出の攻撃リスクを高めている。さまざまなセキュリティ・レイヤーからデータを収集することで、企業は深層からの検知戦略を実施するようになっているが、コンテナの監視は他のレイヤーに対して遅れをとっており、また、コンテナを追跡している SIEM は 32% に過ぎない」と指摘している。
Viakoo の VP of Viakoo Labs である John Gallagher は、「限られた人的/財政的リソースで目標を達成するためには、自動化に重点を置くことが重要だ。そこに含まれるものとしては、自動検出を IoT/OT 攻撃ベクターに拡大することや、脅威を自動的に修復する事前計画の策定などである」と語っている。
SIEM の詳細については、先日に発表されたホワイト・ペーパーを参照してほしい。
SIEM に限らずですが、さまざまなシステムやサービスから送られてくる膨大な脅威情報に対して、自動的な対処まで含めた環境は、いつ頃になったら訪れるのでしょうか? 止まっても構わないシステムであれば、自動パッチなどで対処できるかもしれませんが、サーバに対しても同じように考えられるかというと、誰もが二の足を踏むでしょう。まだまだ、検知と対処の間のギャップが大きいように思えます。
IoT OT Security News 
You must be logged in to post a comment.