エンドポイント セキュリティは、今日の組織にとって重大な検討事項であり、ハイブリッドワークの浸透により、その検討要素は、さらに複雑化しています。サイバー犯罪者は、窃取された資格情報、ゼロデイ脆弱性、ランサムウェア、信頼されている内部関係者などを悪用することで、先進的な攻撃戦術を実行しています。残念ながら、攻撃者は、たった 1 つ見落とされていたセキュリティが不十分なデバイスや、脆弱なパスワードだけで、ネットワークに侵入するために必要な扉を開けてしまいます。一旦、侵入すると、ほとんど問題を生じさせることなく横方向に移動して、特権や貴重なデータの暗号化や窃取ができるようになります。
これらの脅威を可能な限り早期に特定することが重要になります。ただし、ID ベースの脅威検知には、従来のセキュリティ対策では不可能な全く別のアプローチが必要となります。組織は、ほとんどのセキュリティ チームの主要なインシデント対応ツールとして、エンドポイントの脅威検知とインシデント対応 (EDR) のプラットフォームを、エンドポイント保護プラットフォーム (EPP) やその他の重要なツールと共に使用しています。これらのソリューションは出発点としては適切ですが、最新の脅威を阻止するには、より統一されたアプローチが必要です。 Extended Detection and Response (XDR) ソリューションなら、より強化された脅威検知とインシデント対応の機能により、セキュリティ運用の信頼性と効率を向上させることができます。 XDR ソリューションは EDR の自然な進化型であり、複数のセキュリティ製品を 1 つのセキュリティインシデント検知と対応のプラットフォームに統合することで、疑わしいアクティビティをほぼリアルタイムで識別できるようにします。
脅威検知とインシデント対応に XDR を活用する理由
Gartner は、XDR ソリューションを「複数の独自のセキュリティ コンポーネントからデータを自動的に収集して関連付ける、統合されたセキュリティ インシデント検知と対応のプラットフォーム」と呼んでいます。この説明は、XDR が提供する利点の核心を効果的に説明しています。今日のサイバーセキュリティ チームは多くの場合、さまざまなツールを使用していますが、XDR なら、複数のテレメトリ ストリームを統合することで、さまざまな形式の脅威検知とインシデント対応のオプションを提示する機能を提供することが可能です。
Security Information and Event Management (SIEM) と Security Orchestration, Automation, and Response (SOAR) ソリューションに類似しているように思えるかもしれません。部分的には正しい捉え方と言えますが、対応速度と有効性に大きな差があります。たとえば、組織は多くの場合、主にログ ストレージとコンプライアンスのために SIEM ツールを使用し、後で分析するために情報を収集しますが、リアルタイム検知の機能は提供されないため、実装することで生まれる価値に一定の制約があります。 XDR ソリューションなら、主に脅威検知とインシデント対応のユース ケースに焦点が当てられているので、インストールした瞬間からセキュリティ対策の展開に、さらに大きな価値がもたらされます。
攻撃が人間によるものか自動的に行われているものかにかかわらず、XDR ソリューションなら、早期に正確な脅威検知が実現され、侵害されたエンドポイントを即座に隔離することが可能です。ログや SIEM データを確認することによっても、攻撃者がエンドポイントを離れた後に攻撃の存在が明らかになる場合がありますが、XDR ソリューションなら、リアルタイムで攻撃を食い止めることができます。
ITDR とディセプション技術が XDR にどのように統合されるのか
Identity Threat Detection and Response (ITDR) とサイバー攻撃のディセプション技術による検知により、XDR プラットフォームを強化することが可能です。追加の攻撃データを関連付け、インシデント対応アクションを起動することが可能になるのです。
ITDR ソリューションなら、ID ベースの攻撃を効率的に検知してインシデント対応することで、防御層を多重化することができます。Active Directory ID の侵害を阻止することで、エンドポイントでの資格情報の盗難や権限昇格からのシステムの保護を実現します。
ディセプション技術は、攻撃ライフ サイクルの早い段階で攻撃者の注意を引く可能性のある、相手を騙すための資格情報や、共有データ、おとりのエンドポイントと、その他のおとりを活用してネットワークを覆う包括的な検知の仕組みを提供します。ディセプション技術が、攻撃者を騙して攻撃者を特定するための非常に効率的な方法であることが証明されています。従来のディセプション技術では、実稼働のネットワーク資産へのアクセスを隠して拒否する隠蔽技術と組み合わせることもでき、攻撃者が資格情報ストア、Active Directory オブジェクトとデータを利用するのを防ぎます。
忠実度の高い検知アラートに加えて、ディセプション技術は、攻撃者をおとりに誘導し、TTP と IoC を XDR プラットフォームと共有することで、攻撃者を安全に特定することもできます。
XDRの未来
攻撃者は、何年にもわたってセキュリティ制御を回避する方法を学んできました。エンドポイントの侵害、保存された資格情報の使用、Active Directory へのクエリ、横方向への移動、権限のエスカレーションは、最新の攻撃者の特徴です。最先端の XDR ソリューションが提供する追加の脅威インテリジェンスは、攻撃者がネットワークの奥深くまで侵入する前に、防御側が疑わしいアクティビティや攻撃関連のアクティビティを迅速に識別して対応できるようにする上で、大きな違いを生む可能性があります。Gartner の Peter Firstbrook が述べているように、「XDR は ITDR なしでは完成しません。」 ID セキュリティとサイバー詐欺で XDR を強化することで、この重要な最新のサイバーセキュリティ ツールの有効性をさらに高め、すでに不可欠なリソースの効率と機能を向上させることができます。時が経ち、攻撃者がますます巧妙化するにつれて、XDR、ITDRとディセプション技術が提供する攻撃者に関するインテリジェンスは、攻撃者がミッションを成功裏に完了するのを阻止するのに大いに役立ちます。
SentinelOneは、2022 年 5 月に Attivo Networks を買収したことで、エンドポイント、ID インフラストラクチャ (Active Directory)とクラウド環境の ID セキュリティをネイティブに組み込んだ初めての XDR プロバイダーになりました。