サイバー脅威は、以前よりも増して攻撃手法が高度化しリスクが高まっています。結果として、より多くの組織が、現状では制限がある内部のサイバーセキュリティの部隊を、マネージドディテクションレスポンス (MDR)サービスやマネージドセキュリティサービスプロバイダー (MSSP)が提供する専門知識と実践的なサポートを駆使して強化しようとしています。 Gartner では、2025 年までに、エンドポイントの検知と対応 (EDR)を導入、運用している組織の 50% が、マネージド セキュリティ サービス パートナーのサポートを受けるようになると予測しています。
MITRE Engenuity ATT&CK® マネージドセキュリティサービス評価について
MITRE Engenuity では、今回、サイバーセキュリティ部隊や導入部門から、マネージド セキュリティ サービスの MITRE Engenuity ATT&CK® 評価に対するニーズが高まっていることを受けて、マネージド キュリティサービスのカテゴリを新たに設けて、初めてATT&CK 評価レポートを発行しました。 MITRE Engenuity は、急速に広がってきており、現在では、サイバーセキュリティ ソリューションの第三者評価の業界標準になっています。この中立的な立場の評価レポートでは、今日の組織が高度なサイバー脅威に対処し脅威検知の能力を向上させるために、ATT&CK® フレームワークとナレッジ ベースに基づいて厳密な分析を提供しています。
SentinelOne では、他のどのサイバーセキュリティ リーダーと比較してより多くの包括的な MITRE 評価に参加しています。過去3 年間の ATT&CK エンタープライズ評価に加え、初めて実施された ディセプション評価、そして、今回の初めてのマネージドサービス評価に参加した唯一の XDR ベンダーとなっています。 MITRE Engenuity の エンタープライズ ATT&CK とディセプション評価における SentinelOne の優れたパフォーマンスの詳細については、こちらをご覧ください。
MITREでは、最新のマネージド サービス評価について以下のようにまとめています。
マネージド サービスの ATT&CK 評価では、敵対者の振る舞いに関する分析と説明における参加ベンダーの能力を評価しています。 MITRE Engenuity レッドチームによってエミュレートされた敵対者の活動と、参加者によって提供された関連するコンテキストを、MITRE ATT&CK ナレッジベースにマッピングしています。
評価プロセスの一環で、SentinelOne を含めすべての参加ベンダーが、MITRE Engenuity を標準的な MDRの顧客とみなして、エミュレートされた敵対者に関して事前の知識がない状態で、敵対者の活動を把握し分析結果を提供するという任務を負いました。
本ブログでは、Vigilance MDR チームがマネージド サービスの初めて MITRE Engenuity ATT&CK 評価に参加したことで得られた重要なポイントについて解説します。 これらのポイントは、MDR やデジタル フォレンジックインシデントレスポンス (DFIR)サービスを検討中または積極的に評価中のお客様にとってとりわけ重要です。
ポイント1:適切な意思決定につながる適切なデータ
評価対象となるシナリオでエミュレートされた敵対者を識別することは、まるで当たり前のようにも思えますが、敵対者に対して適切な属性を識別できるかどうかで、その後の対策の範囲が決まってきます。
ユーザーのエンドポイントで検知された振る舞いや、収集されたフォレンジックデータ、キャンペーン全体で観察された戦術、テクニックと手順 (TTP)に基づいて、SentinelOne のVigillance MDRサービスのチームは、攻撃がイランの脅威アクターグループで、別名 OilRigとして知らているAPT 34によるものだと正しく識別することができました。
Vigilance MDRのチームでは、エミュレートされた敵対者を識別するだけでなく、自社のデータとサードパーティの脅威インテリジェンスを活用して、OilRig に関する追加の洞察を提供しました。チームのレポートには、時間の経過に伴う敵対者の攻撃の進展の概要、敵対者によって一般的に悪用されるツールと既知の関連するすべての TTP が含まれています。
MDR と DFIR の導入を検討中のお客様にとっては、サービス パートナーから受け取った情報が有意義で実用的かどうかを検討することがとても大切です。包括的なレポートは必須ですが、時間とリソースに制約のあるアナリストにとっては、適切でタイムリーな分析を得ることで初めてメリットが生まれます。洞察と膨大な量の詳細情報の間には大きな違いがあるのです。
プラットフォーム内で提供される修復ガイダンスに加えて、Vigillance MDRサービスのレポートでは、お客様がリスクを評価し、インシデントの影響を評価し、短期的、長期的な脅威を軽減するために知っておく必要がある内容に焦点を当てています。
ポイント 2:検知が前半戦の大部分で防御は終盤戦
評価目的として、参加ベンダーは、脅威を防止または修復するために介入することなく、攻撃全体を通じて敵対者の活動を検知し把握するという任務を負いました。 10 段階のキャンペーンを通じて、SentinelOneのVigillance MDRサービスのチームは、敵対者をエンドツーエンドで漏れなく追跡することに成功しました。敵対者は、悪意のある添付ファイルを使用したフィッシング攻撃を通じてシミュレートされた環境に侵入し、ホストと環境で偵察を実行し、重要なサーバーに横方向に移動し、企業データを盗み出しました。
ただし、攻撃者が偵察を実行したり、横方向に移動したり、データを盗んだりする前に、脅威検知と対応のテクノロジと MDR サービスの実際のアプリケーションが、そのような攻撃をできるだけ早く防止し軽減することを目的としていなければならないことに注意することが重要です。
このインシデントの実際のシナリオでは、SentinelOne Singularity プラットフォームと Vigilance サービスは、最初の脅威検知の段階で既に攻撃を阻止することができたことでしょう。 「検知のみ」ではなく「保護」モードに設定されている場合、Sentinel エージェントは、数日間にわたって攻撃を実行させるのではなく、アナリストの介入なしに攻撃チェーン全体を自律的に即座に停止するように設計されています。これにより、攻撃キャンペーンに関連するさらなる横移動やダウンストリーム ビジネスへの影響を防ぐことができたことでしょう。
ポイント 3: リアルタイムの対応でサイバー レジリエンスを最大化
実際の攻撃シナリオでは、時間が重要です。ポイント3で説明した内容と同様の考え方で、組織は、悪意のある攻撃者が検知されたらすぐに環境から根絶することを目指すべきであり、MDR パートナーが確実に実行できることが保証されているべきです。
ATT&CK の評価には、その基準の一部としてサービス レベル アグリーメント (SLA)が含まれていませんでしたが、これは、MDRや DFIR サービスを評価する人にとって重要な検討事項です。 MDR チームの真の有効性は、多くの場合、サイバー インシデントの影響を最小限に抑えることを目標として、できるだけ迅速かつ効果的に脅威を検知、封じ込め、軽減する能力にかかっています。
SentinelOne なら、Vigillance MDRサービスのアナリストが比類のない速度でイベントに対応できます。これは、人間が介入する前にエンドポイント レベルで脅威を停止させて隔離できる、Sentinel Agent の堅牢な自律機能によるものです。さらに、Vigilance MDRのアナリストは、SentinelOne の特許取得済みの Storyline™ テクノロジによって生成されたリアルタイムの機械生成コンテキストを備えたアラートに対処を行います。これにより、アナリストは攻撃の進行全体を 1 つの画面で即座に表示して把握することができます。平均して、Vigillance MDRサービスでは攻撃者の滞留時間をわずか 20 分に短縮します。
他の多くの MDR と MSSP が提供するサービスでは、点と点を線で結び、コンテキストを構築し、真陽性と偽陽性を検証し、脅威を封じ込めるプロセスが、多くの場合手作業で行われており、全体的な対応時間が長くなる可能性があります。
ポイント 4:MDR サービスだけではなく DFIR が差別化
MDR サービスが提供する 24 時間 365 日のセキュリティ監視は、組織に信頼できる安全性を提供します。しかし、今日のデジタル世界において、現実には、サイバー インシデントにおいて、 100% 侵入できない組織など存在しません。そのため、より多くのチームが、デジタル フォレンジックとインシデント レスポンス (DFIR)機能を使用してセキュリティ プログラムを強化しようとしています。
今回の評価では、より深い分析とフォレンジック調査に対するセキュリティ チームの要求が高まっており、そのために必要となるレベルの洞察が、組織を標的とする攻撃に対して、エンド クライアントの全体的な理解をどのように強化できるかが考慮に入れられています。この考え方に基づいて、Vigillance MDRチームでは、敵対者がシミュレートされた環境で「何」を行っていたかだけでなく、「どのように」、「なぜ」行っているかについても報告しました。これには、マルウェアとデータ抽出技術の分析とマルウェアサンプルのリバース エンジニアリングが含まれます。
これらの機能は、SentinelOne の Vigilance Respond Pro 製品のコアとなっています。 Vigilance Respond Pro なら、お客様の環境に関する深い知識を持つ統合されたお客様向けのチームの専門知識を活用して、よりスムーズな MDR とDFIR のエクスペリエンスをお客様に提供できます。
DFIR チームがお客様の環境で何が起こっているかを把握し、既存のツールを活用し、日常の MDR チームと直接やり取りできると、全体的な調査と対応が大幅に加速されます。 MDR と DFIR の導入を検討しているお客様は、1 つのベンダーの下で 2 つの異なるサイロ化されたチームからサポートを受けたり、MDR と DFIR のために 2 つの別々の会社からサポートを受けたりするのではなく、1社からすべてのサポートを受けるアプローチを検討する必要があります。
今後の見通し:MDR とDFIRの導入を検討しているお客様の次のステップ
マネージド サービスの MITRE Engenuity ATT&CK 評価レポートから、MDR とDFIR サービスを評価するお客様にとって重要な検討事項がいくつか明らかになりました。 テクノロジーの幅広さ、奥深さ、信頼性から、チームが提供する専門知識とサービスのレベルに至るまで、サイバーセキュリティ パートナーを総合的に検討することが重要となります。
MITRE Engenuity などのサードパーティの評価レポートを引き続き利用して、エンタープライズ EDR と XDR、ID とディセプション、マネージド サービスなどのさまざまな領域にわたるパフォーマンスの実績を含め、組織に最適なものを評価することをお勧めします。
MITRE Engenuity ATT&CK 評価の 3 年間にわたる SentinelOne の優れたパフォーマンスについては、こちらをご覧ください。既に導入済みのお客様と同様に、 SentinelOne Vigilance MDRと DFIR によりセキュリティを向上させることが可能な、 Vigilance MDRサービスの詳細についてはこちらをご覧ください。