アラート･イベント･インシデント：セキュリティチームはどこに焦点を当てるべきですか？

サイバーセキュリティの脅威の状況が進化するにつれて、それらの脅威を調べる方法も進化しています。 新しい違反のドラムビートは継続的です。 ニュースを読むと、攻撃者がターゲットに対してインシデントで利用する主要な戦術は1つだけであると思われるでしょう。 それは単にそうではなく、これらのイベントを記述および追跡するための新しい方法が必要です。

アラートおよびイベントという用語は明確に定義する必要があります。 現在、SOCチームは、さまざまなテクノロジーを使用して脅威を検出しています。 多くの大規模な顧客は、多層防御アーキテクチャに30以上のセキュリティテクノロジーを持っています。 これらのテクノロジーはすべて、独自の特定のアラートを生成します。 SOCアナリストの仕事は、これらの個々のアラートを確認し、それらを相互に関連付けてイベントに結合することです。 経験豊富なアナリストが、表示しているさまざまなアラートをイベントに接続するルールを作成したり、同じアラートを1つのイベントに重複排除したりする必要があります。

攻撃者は、これが手動の時間のかかるプロセスであることを知っています。 彼らは複数の戦術を活用して、セキュリティツールのアラートでSOCアナリストを圧倒しています。 たとえば、攻撃者は既知のエクスプロイトを利用して多数のIDSイベントを生成する可能性があります。 それらが成功した場合、これはSOCチームに大きな気晴らしをもたらします。

攻撃者はこれらのIDSイベントを処理しているときに、重要なサーバーの1つにブルートフォースログインすることで、環境に足場を確立している可能性があります。 次に、その重要なサーバーから内部ネットワークをスキャンできます。 SQLデータベースに重要なデータがある環境で別のサーバーを見つけた場合、そのサーバーを危険にさらしてSQLダンプコマンドを実行できます。 これにより、データベースの内容全体がファイルに入れられ、外部IPアドレスに作成されたDNSトンネルで盗み出される可能性があります。

これは、インシデントで発生することの非常に単純な例です。 複数のイベントをインシデントに関連付ける必要があります。 簡単な階層は次のとおりです。

アラートの数が非常に多いため、SOCの有効性を向上させるために、テクノロジーを活用して分類と相関をどのように支援できるかを検討する必要があります。 このデータセット全体で活用される人工知能と機械学習は、非常に強力なツールになる可能性があります。

• 教師あり機械学習 – これまで識別されていなかったファイル、ドメイン名、およびURLを検出できます。 これは、アラートで一般的に見られるデータです。
• 教師なし機械学習 – ネットワーク、デバイス、およびユーザーの通常の動作のベースラインを作成します。 これにより、アラートを相互に関連付けて組み合わせることにより、顧客ネットワーク内のイベントを検出できます。
• ディープマシンラーニング – 環境全体の脅威の状況を調べ、接続を探します。 イベントをインシデントに関連付けることができます。

機械学習は、イベントやインシデントのスコアリングにも役立ちます。 セキュリティアナリストが未解決のインシデントを確認するとき、これにより、セキュリティアナリストは最も優先度の高いインシデントを選択し、すぐに対応できます。

正しく活用されると、接続された脅威をより迅速に特定できる可能性があるため、SOCアナリストは、アラートを検出のために関連付けるのではなく、修復に集中し、プロセスでリアクティブなスタンスからプロアクティブなスタンスに移行できます。