どれほど強靭な一流企業や巨大組織でも、サイバー攻撃者が仕掛ける巧妙な脅威を免れることはできません。セキュリティチームが、ネットワークセキュリティ、エンドポイントセキュリティ、脅威検出、異常検出、データ保護、セキュリティ監視、アプリケーションセキュリティ、情報セキュリティを実現するには、堅牢なセキュリティ体制が必須です。
プロアクティブな脅威ハンティングとは何ですか?
プロアクティブな脅威ハンティングは高度なサイバーセキュリティ手法で、組織のネットワークやシステム内での不審あるいは悪質な活動や潜在的なサイバー脅威の兆候を、先手を打って予防的に探索することに重点を置いています。脅威ハンティングは、リアクティブ(事後対応的)なセキュリティ制御やインシデント対応に限定された従来のサイバーセキュリティ手法とは異なり、潜在的な脅威や現在進行中の最新の脅威を特定し、それらが重大な損害を引き起こす前に無力化します。
プロアクティブな脅威ハンティングでは、データ分析、機械学習、脅威インテリジェンスを活用して、自動脅威検出をすり抜けかねない悪意のある行動や検出困難な脅威を特定します。
熟練したセキュリティアナリストは最新のSIEMプラットフォームを用いて、セキュリティデータ、ネットワークトラフィック、ユーザーの行動、その他の関連ソースを詳細に調査し、隠れた脅威を発見することができます。
アラートが発生してから侵害を検索し始めるのでは遅すぎる理由
従来の検出手法では、サイバー脅威の動きの速さにほとんど付いていけません。セキュリティ分析ソリューションは膨大な量のセキュリティデータの監視と分析に有効ですが、それでも限界があります。リアクティブな検出は、既知の脅威と事前に定義された攻撃パターンに依存しています。そこに、現在進行中の最新の脅威、未知の脅威、高度な脅威が潜む隙が生じるのです。
さらに、ハッカーがよりステルス性の高い手段でネットワークに侵入するようになっています。今や状況が、企業や組織がプロアクティブな事前予防策を講じ、リアクティブではなく先手を打って行動すべき段階に達しているのは明らかです。
サイバー犯罪者が検知されずにシステムに侵入する可能性があります。プロアクティブな脅威ハンティングに特に重点を置いて、セキュリティ脅威に対する認識を高める必要があるのはそのためです。
可視化のためのレイヤーを追加することが鍵
未知の脅威を予測し、サイバー犯罪者の常に一歩先を行くには、システム内のあらゆる潜在的な脆弱性をSOCチームが油断なく監視する必要があります。クラウドベースのサービスや環境への移行に伴い、企業や組織は内部脅威、サイバーリスク、MITRE ATT&CK®、その他のさまざまなサイバー攻撃の潜在的な脅威の影響を受けやすくなっています。
また、リモートワークが普及するにつれ、堅牢なセキュリティで保護された職場のネットワークではなく、安全性の低い自宅のネットワークで接続する従業員が増えています。SOCチームには、ネットワークの複雑化に応じたもっと強力な可視化機能が必要です。
以下の情報を可視化する必要があります:
- ネットワークのアクセス権を誰が持っているか、誰に与えるべきか
- 現在どのアプリケーションが使われているか
- 現在どのようなデータがアクセスされているか
効果的なサイバー脅威ハンティングでは、セキュリティ分析を用いて、従来のツールでは見逃されていた潜在的な脅威や脆弱性を特定します。プロアクティブな脅威ハンティングは、セキュリティイベントが実際に発生してアラートがトリガーされるまで待つのではなく、潜在的な脅威や脆弱性が重大な被害をもたらす前に、事前予防的にそれらを検出する手法です。
高度な分析の例
UEBA(ユーザーとエンティティの行動分析)は、高度な分析を脅威ハンティングに活用できる優れた例です。UEBAでは、セキュリティ情報およびイベント管理(SIEM)ツールによって収集・分類されたSecOpsデータを使用して、セキュリティ専門家が内部脅威を検出して対応する助けになる重要な分析を実行します。UEBAソリューションでは、各々のユーザーについて、その日常の活動がベースラインとして認識されます。ユーザーに変則的で異常な活動が観察されると自動的にフラグが設定されるので、管理者が是正措置を講じる助けになります。
よくある内部脅威を以下に示します:
- 退社する従業員
- 悪意のある内部関係者
- 不注意な従業員
- セキュリティ回避者
- サードパーティパートナー
これらの内部関係者の活動内容とタイムラインをUEBA機能で関連付けると追加のコンテキストが得られます。次いで、セキュリティチームは内部脅威リスクを詳しく分析して、実用的な洞察を確実に取得できます。こうしてセキュリティアナリストは、今何が起こっているか、それがこれまでの出来事とどのように関連しているかを容易に把握することができます。
このタイムラインと初見ルールや異常値ルールを組み合わせて、ベースラインを外れた異常なユーザーの行動を特定することもできます。UEBAでは、グループメンバーシップに基づいてユーザーやエンティティにタグ付けし、コンテキストを追加することもできるので、データの流出や不正アクセスにつながる行動に優先順位を付けて詳しい調査を続行できます。
SIEMで脅威ハンティングを強化する方法
最新のクラウドネイティブSIEMは、効果的な脅威ハンティングの中核となるエンジンで、データを一元化し、メタ情報等で補完し、ユーザー、デバイス、ワークロード、アプリケーションの境界を越えて行動の相関付けを行います。SIEMをサイバー脅威インテリジェンス、分析、エンティティ相関と組み合わせると、脅威ハンターがもっと効果的に調査を行う助けになります。
脅威ハンティングを実現するための主な要素
- SIEMとログ分析の統合:環境全体にわたって、仮説を検証し、シグナルを分析し、不審な活動を探索するのに必要なセキュリティデータレイクがSIEMから提供されます。
- エンティティ中心の相関付け:ホスト、ユーザー、クラウド資産の境界を越えて行動を結び付ける高度な相関付けで、複数のシステムにまたがる可能性のある隠れた脅威を検出できます。
- UEBA:まず正常な行動パターンを学習し、それに基づいて外れ値、逸脱、異常を識別します。
- 脅威インテリジェンス:「悪いこと」を見分ける助けとなる外部のコンテキストとして活用できます。
- AIを活用したアシスタントとエージェント:Sumo Logic Dojo AIを使用すると、クエリを高速化し、ログを要約し、セキュリティアナリストが手動タスクに費やす時間を短縮して、調査とトラブルシューティングをスピードアップできます。
これらの機能はすべて、環境内のあらゆるセキュリティ脅威をすばやく検出して対応するのに役立ちます。
手遅れになる前に、脅威ハンティングをプロアクティブにしましょう。
ハンティングをプロアクティブにしないと、未知の脅威や、内部脅威などの他の隠れた脅威を発見することが困難になり、サイバー攻撃の可能性が高まります。
プロアクティブな脅威ハンティングのメリット:
- セキュリティチームが、潜在的な脅威や脆弱性を、それが重大なインシデントになる前に検出できる
- アラートが発行される前に脅威が見つかるので、攻撃者の滞留時間が短縮される
- ハンティングで得られた知見に基づいて検出手技を改善できる
- 新しいルールやメタ情報等によるデータ補完がSIEMに還元される、継続的なフィードバックループを構築できる
SIEMでプロアクティブな脅威ハンティングを実現する方法についてお確かめください。デモをご予約ください。
