Blog

XDRには新しいキルチェーンが必要ですか?

Brian Stoner

サイバーセキュリティ技術が敵に追いつく時が来ました。非常に多くの多段階攻撃が成功しているので、環境内のすべてのセキュリティツールから見ている信号を相互に関連付ける方法を再評価する必要があります。相関関係は役に立ちますが、必ずしも全体像を描くとは限りません。検出と応答の次の段階は何ですか?

これを理解するには、セキュリティチームが日常のタスクを整理するのに役立つ現在のフレームワークを確認する必要があります。ロッキードマーティンのキルチェーンは、マルウェアの急増が主要な戦術であったときに非常に人気のあるフレームワークでした。攻撃者がペイロードを展開するために通過したさまざまな段階の概要を説明するのは非常に優れていました。次はMITREATT&CKフレームワークです。これは、過去数年間に攻撃者に人気が高まった戦術と手法を説明する、より包括的であるため、今日多くの専門家によって活用されています。

これらの大規模で洗練されたフレームワークの問題は、ログソースからのすべてのシグナルを予測して相互に関連付けるための手動ルールを作成することが非常に難しいことです。収集および保持されているログの量は急増しています。これは、最小のパートナーにとってもビッグデータの課題になっています。この課題を解決するために何ができるでしょうか?

セキュリティプラットフォームとフレームワークの統合が鍵となります。今日、多くのプラットフォームは脅威インテリジェンスの一部としてMITREへのリンクを提供していますが、通常は事後です。私たちがする必要があるのは、フレームワークでアラートをリアルタイムで整理して提示することです。攻撃者は、目標を達成するために、フレームワークの複数の段階で成功する必要があります。いずれかの段階でそれらを停止することに成功する必要があるだけです。ステージが早いほど、クリーンアップする必要が少なくなります。これを達成するために必要ないくつかの重要なプロセスがあります。

まず、標準化され、強化されたデータセットが必要です。アナリストが信号の危険性を判断しようとするのは、事後まで必要ありません。ソリューションでは、すべてを脅威インテリジェンスプラットフォームと比較し、レコードを作成する前にその情報でデータセットを強化する必要があります。データが標準形式になると、AI / MLコンポーネントは環境内の複数の脅威ベクトルからの信号を相互に関連付けることができます。アラートはキルチェーン内で編成され、MITRE攻撃フレームワークのステージに直接マッピングされます。アナリストがアラートを確認した場合、優先順位を付ける方法に疑問はありません。

パートナーにとって、1日の間に何百ものアラートを整理および管理することは、時間とリソースを大量に消費する作業です。ソリューションには、相関の追加レイヤーを提供し、多段階の攻撃をインシデントとして表現し、各インシデントにリスクスコアを提供するMLが必要です。これは、単純なアラート相関を超えたMLの追加レイヤーです。これにより、SOCアナリストが分析のためにアラートをグループ化するために費やす時間が大幅に短縮されます。理想的には、ソリューションはアナリストにインシデントからアラートを追加または削除し、脅威スコアを調整する機能を提供する必要があります。

Stellar Cyber​​は、MLで強化されたインシデントベースのアラート管理とともに、XDRに焦点を合わせたキルチェーンを提供した最初の企業です。今こそ、ML自動化を活用して、攻撃者を検出して阻止するときです。詳細については、brain @ stellarcyber.aiまでお問い合わせください。