インシデント対応チームが直面しているのは、あたかもミサイルを発見してターゲットに命中する前にどのように撃墜するかという問題です。サイバー攻撃の数が増加し、スピードが速まるにつれて、インシデント対応をどう処理するかが、セキュリティオペレーションセンター(SOC)の中核的な課題となっています。
SOCでは、日々高まってきているサイバーセキュリティの脅威を抑えるために、より効率的な新しい方法を見つける必要が生じています。対策の有効性を高めるために、文化的な側面と技術的アプローチについて再考を始めて見るのもひとつの手です。
重要性が高まるインシデント対応プロセス
外部調査機関のレポートで報告されているように、優れたインシデント対応プロセスなら、莫大な投資対効果をもたらすことが可能です。
Ponemon社による2020年のデータ漏えいの総コストの調査レポートでは、定期的にIR(インシデント対応)計画をテストするIRチームを設置した企業のデータ漏えいのコストが329万ドルであると明らかにしています。IRチームを持たない企業よりも200万ドルも少ない数字です。
多くの情報漏えいインシデントにおいて、総コストは、直接的な発生金額を上回っています。すべての組織が外部との関わりを持っています。より広範なバリューチェーンの一部となっているため、ある場所で発生したインシデントが、遠く離れた場所に悪影響を及ぼす可能性があります。中には、一般市民までも非常に苦しい状況に追い込んでしまう場合もあります。
フィンランド最大の民間の治療センターであるVastaamoでは、サイバー攻撃によって数千人にのぼる患者の機密記録が窃取されただけでなく、直接、患者にも個人情報を公開するという脅迫が行われました。弱い立場の個人が直接のリスクにさらされたこの事件は、データ侵害において実際に多大な人的コストが発生するという明らかな一例です。
重要な鍵となる処理時間を短縮するには
リスクが非常に高いということを念頭に、サイバー脅威を適切に検知してできるだけ早く処理することが重要になります。それでは、SOCでは、どのようにして成果を測定し改善していけば良いのでしょうか?
インシデント対応プロセスにはいくつかの段階があります。つまり、リスクの最小化、インシデントの特定、封じ込め、インシデント対応、クリーンアップ、そして修復です。これらの段階のほとんどで、時間が重要な要素となります。攻撃を検知する場合でも、攻撃を無力化する場合でも、機敏で効率的な対応が重要なのです。
攻撃者がより速く、より有害になるにつれて、SOCでは、いかに迅速に対応するか苦労しています。それらを妨げている1つの要因には、ツールをまとまって使用していないことが多くあります。
多岐にわたる手法を駆使した異なる脅威アクターに脅威の変化があると、多くのSOCは、それぞれの対処に役立つテクノロジーを探し始めます。一般的な対応方法は、多岐にわたるツールのインストールです。SOCは、必ずしも戦略的にそうしている訳ではありません。未知のものに対処する場合、きちんと対応できるようにするよりむしろ過剰な種類のツールを準備してしまう傾向があります。
チームがそうやってセキュリティツールをひとつずつインストールしていくと、「フランケンシュタイン」のように、相互運用がうまくいかない、ばらばらのセキュリティツールの寄せ集めになってしまう可能性があります。SOCは、統一的なワークフローの確立ができなくなってしまいます。自動的に修復を行う機能がないため、SOCは、各担当者間のやりとりに過度に依存してしまいます。テクノロジーをうまく活用して課題を解決する必要がありますが、迅速に行うことは不可能です。担当者への過剰な依存がボトルネックとなり組織が弱体化します。
相互運用性が低いと、重要なセキュリティ情報が断片化されてしまい機能しなくなります。最終的にアナリストは根拠のない推定を余儀なくされます。データが、適切に調整されたツールチェーンによって的確にフィルタリングされていないため、ノイズ比が向上し、攻撃を発見するのが難しくなってしまいます。誤検知が多すぎて、データをふるいにかけて重要なアラートを見つけるのが難しくなります。また、新たな脅威の全体像を把握し、形状、重要性、範囲を理解するためのコンテキストデータも不足しています。
これらの弱点により、SOCには、管理することも理解することも難しい、ばらばらのインシデント対応プロセスが存在しているのです。運用担当者には、プロセスの各ステップで選択肢が多すぎて、迅速な対応に必要なコラボレーションのためのプラットフォームが不足しています。
Ponemonのレポートで、データ侵害のコストを評価する際に、セキュリティシステムの複雑さが最もコストのかかる唯一の要因だと判明したことは不思議ではありません。これにより、データ侵害のコストが平均292,000ドル増加しているのです。
今後の対処方法
SOCには、これらの課題を克服するだけの力があります。リストの一番上にあるのは、現在のインシデント対応プロセスに対する評価です。結果に焦点を当ててその評価を開始しましょう。事前設定された目標を達成するようにすべてを調整する必要があります。
これらの目標は、特定の指標に結び付けることで測定可能になっている必要があります。成果を測定するために使用しているメトリックス(指標)を評価する必要があります。十分に測定されておらず、パフォーマンスの低下に対して脆弱なままになっている可能性のある領域を探しましょう。それらを要因別に整理して、プラスの影響を与えるものを特定できるでしょうか?
インシデント対応チェーンの初期の段階では、これらのメトリックス(指標)を予防に向けて設定しておく必要があります。さまざまな資産に対するリスクのレベルと、組織に対するその潜在的な影響をどのように評価していますか?利用可能なリソースに基づいてリスクをトリアージするための数学的アプローチを採用していますか?
後期の段階におけるメトリックス(指標)は、インシデントの特定、封じ込め、そして無効化にかかる時間と、回復にかかる時間を対象としている必要があります。
適切な任意の測定手法を使用して、明確な手順と役割を備えたシームレスなエンドツーエンドのインシデント対応プロセスの構築に取り組むことに成功すれば、脅威が問題化することはありません。
ツールセットを統合しましょう。理想的なツールチェーンなら、手作業や、ツールあるいはプラットフォームの変更を減らしたり、なくしたりすることが可能です。より調和のとれたデータフローが実現されます。運用担当者は、各プラットフォームの所有者に個別にサポートを求めることなく、ファイアウォールルールを全面的に変更するなどのタスクを処理できます。脅威の履歴と範囲を完全に可視化できるようになります。アナリストは、1つの使い慣れたツールのみで、環境内のすべてを見ることができるようになります。コンテキストをあれこれ悩むことなく、時間と思考力を有効に活用できるようになります。その結果、従来、数日かかっていたプロセスがわずか数分で実行できるようになります。
まとめ
統合されたツールチェーンが、自動化のための強力なプラットフォームを提供します。インシデント対応プロセスをサポートする自動的なワークフローを定義することで、手作業が削減され、各ステップでの待ち時間が短縮されます。そして、アナリストは、微妙な決定に集中できるようになり、時間で測定されるメトリックス(指標)の結果にプラスの影響を与えます。
このような最適化プロセスが、SOCに多大な影響を及ぼします。うまくいけば、未知の脅威への恐怖などではなく、早期発見や迅速な封じ込めなどの明確な目的に向かって、インシデント対応への従来の受動的なアプローチを、積極的なアプローチへと転換することができます。純粋に、事前に知識を収集しておくことに時間をかけすぎたていたため、新しい攻撃を検知して防御することができなくなっていたのです。新しいアプローチにより、新たな脅威への順応性をさらに高め、脅威が表面化したときにすぐにインシデント対応ができるようになります。
攻撃に対する防御を強化し、進行中の攻撃への対応を加速化することで、検知時間を短縮し、攻撃者の滞留時間を短縮し、自動化を強化して、セキュリティインシデントの影響範囲を狭めることが可能です。さらには、爆発的に拡大するイベントを完全に防ぐことができます。
SentinelOne Singuarlityプラットフォームが、組織の目標の達成にどのように役立つのか、詳細については、こちらからお問い合わせください。また無償の製品デモはこちらお問い合わせください。