脅威インテリジェンスでSOCを強化する方法 - TechRepublic

脅威インテリジェンスでSOCを強化する方法 - TechRepublic
スコット・ホリーの画像

による

の上

脅威インテリジェンスは組織のセキュリティ体制を変革する可能性を秘めていますが、多くのセキュリティチームにとって、導入・活用するには複雑でコストがかかりすぎることがよくあります。インテリジェンス主導の調査を実行するために必要な人員とスキルは、たとえ大規模組織であっても膨大なものであり、小規模組織では手が届かない場合も少なくありません。

バート・レナーツ・バーグマンズ(CrowdStrike 脅威インテリジェンス担当シニアプロダクトマーケティングマネージャー)

規模や業種を問わず、あらゆる企業がセキュリティインシデント対応の課題に直面しています。こうした困難は、主に以下の3つの要因によって深刻化しています。ツールの多様化と攻撃対象領域の拡大に伴うセキュリティデータの過負荷、攻撃者の急速な動きによる時間的プレッシャー、そして熟練したセキュリティ人材の世界的な不足です。

脅威インテリジェンスは、セキュリティオペレーションセンター(SOC)チームがこれらの課題に取り組む上で役立ちます。インテリジェンスデータはセキュリティデータとは異なり、セキュリティアラートの背後にある「誰が」なぜ」どのように」といった新たなコンテキストを提供します。アナリストが対応する各アラートに意味を与え、どのアラートを優先的に処理すべきかを判断し、攻撃者、その動機、そして攻撃手法に関する詳細な情報を理解するのに役立ちます。

多くのSOCチームが抱える疑問は、次のようなものです。適切な脅威インテリジェンスをタイムリーに適用するにはどうすれば良いでしょうか?そして、日々のワークフローの中で、この情報をチームメンバー全員に提供するにはどうすれば良いでしょうか?脅威インテリジェンスを効率的に運用するための最適な方法は何でしょうか?既存のワークフローに脅威インテリジェンスを統合するには、どれほどの労力が必要でしょうか?

組織の脅威インテリジェンス能力を成熟させるには、投資と献身が必要です。時間、リソース、データ品質といった課題は、その過程でよく発生するものですが、脅威インテリジェンスの運用化を阻む障壁は他にも存在します。

  • 断片化されたインテリジェンスデータはSOCの有効性を阻害しています。脅威インテリジェンスへの需要は、複数のSOC機能とビジネス資産所有者の間で急速に高まっています。「The Forrester Wave™: 外部脅威インテリジェンスサービス、2021年第1四半期」およびForrester AnalyticsのBusiness Technographics ®調査によると、セキュリティ意思決定者は平均7.5の商用外部脅威インテリジェンスサービスに加入しており、これは2018年の平均4.2から増加しています。脅威データのユースケースは増加しており、企業全体のさまざまな関係者から提供され、実装されるフィードの数が増加しています。これらのユースケースはそれぞれ異なる問題の解決を目的としているため、脅威管理の目標が広範で焦点が定まらず、SOCイニシアチブの分断やSOC全体の有効性の低下につながる可能性があります。
  • データ品質の低さはリスクを高める可能性があります。導入可能な脅威フィードを見つけるのは簡単ですが、提供される指標の適時性や具体的な目的が、必ずしも自社の業務に関連しない可能性があります。企業は、自社の業界、地域、または組織を積極的に標的としていない攻撃者によって生成された過去の脅威を参照することで、誤ったリスク認識を生み出し、リスクをさらに高める可能性があります。
  • 専門知識の不足は、可観測性を阻害します。指標だけでは全体像を把握することはできません。攻撃者の動機や全体的な攻撃行動を含む攻撃の全体像を把握するには、盲点を排除する強力かつ補完的なデータ収集と、そのデータを活用して攻撃者の特定を支援する分析プロセスが必要です。攻撃者の外部行動からどの程度攻撃能力を推測できるかを測定する可観測性が不可欠です。完全な可観測性を提供する社内収集データを生成するために必要な知識と専門知識を持つ組織はほとんどありません。その結果、脅威アクターの完全なエンドツーエンドのビューを得ることができません。
  • 自社開発の自動化は、価値実現までの時間とコストが高額になる場合があります。インテリジェンスフィードの分析、抽出、統合のプロセスには時間と労力がかかります。セキュリティツールに過負荷をかけられているチームにとって、これらの統合の実装と維持に必要な複雑さと管理の負担は、現実的ではないかもしれません。自社開発の自動化には時間がかかり、組織にはリソースや忍耐力が足りない可能性があります。ワークロードがキャパシティを超えているため、できることはトリアージと対応のみです。

脅威インテリジェンスの自動化への新たなアプローチ

脅威インテリジェンスを活用するSOCチームは、潜在的な脅威のコンテキストを理解する必要があります。インテリジェンスの収集は、その量ではなく、攻撃者、攻撃の種類、一般的な戦術、侵入後の活動、攻撃インフラ、そして適用可能な脅威対象領域を示す情報を提供できるかどうかで評価されるべきです。

これを実現するために、脅威インテリジェンスは、企業テレメトリからのイベント、詳細なファイル分析、インシデントフォレンジック、脅威ハンティングの結果、ダークウェブからの情報収集、オープンソースインテリジェンス、そして敵対者の活動から得られる人的インテリジェンスなど、幅広く奥深い情報源の収集に頼る必要があります。これらのデータを組み合わせることで、セキュリティチームは脅威の360度観測性を実現できます。

セキュリティ情報やツールは確かに不足していませんが、異なるツールやダッシュボードを頻繁に切り替えることはアナリストの作業負荷を高め、脅威の評価と調査の時間を長引かせます。脅威インテリジェンスはSOCの日常的なワークフローに統合する必要があり、さらに重要なのは、新たな証拠が発見されたらすぐに利用できるようにすることです。最新の情報がすぐに手元にあり、統合されていることで、調査と修復作業にかかる時間と複雑さが軽減されます。

セキュリティ チームが脅威インテリジェンスの運用化を妨げている問題に対処するには、セキュリティ チームがエンドポイント検出から今日の攻撃者とその動機や手法に関する最新のデータへと移行できるようにする自動化された脅威インテリジェンス ソリューションを求めてください。

今日の攻撃者は、ネットワークへの攻撃を試みる前に、企業を研究し、被害者のプロファイルを作成しています。彼らは企業のセキュリティ技術と弱点、ITスタッフの構成、従業員がITフォーラムでどのような技術的な質問をしているかを把握しています。脅威インテリジェンスを活用して攻撃者に関する知識を獲得することで、サイバー防御を調整し、攻撃を受ける前に形勢逆転を図ることができます。

Tagged: