カテゴリなし

SOCレスになる

Threat hunting application

FBIによると、サイバー部門に報告されたサイバー攻撃の数は、パンデミック前のレベルと比較して400%増加しており、攻撃はさらに悪化しています。 金融サイトから医療サイト、政府サイト、サプライチェーン業界に至るまで、これらの攻撃から安全な人は誰もいません。 これらの脅威に対する従来の防御策は、セキュリティオペレーションセンター(SOC)です。これは、テレビ画面でセキュリティアラートを監視するアナリストでいっぱいの部屋ですが、この防御策はうまく機能していません。Continental Pipeline、Target、TransUnionのサイバーセキュリティチームに聞いてみてください。 または重大な攻撃を経験した他の何百もの企業のいずれか。

Figure 1: A SOC in action
Figure 1: A SOC in action

SOCがどのように機能し、機能しないか

SOCの背後にある運用理論は、さまざまなITツールやセキュリティツールを使用して企業全体で十分なデータを収集し、分析プラットフォームを使用してさまざまなツールからのアラートをランク付けして視覚化し、最後に階層型アナリストチームを配置して、 アラート、そして確かに、ほとんどまたはすべてのサイバー攻撃は、実際の損害を引き起こす前に迅速に発見され、処理されます。 実世界の経験はそうではないことを教えてくれます。

SOCモデルが壊れている理由はいくつかあります。 そもそも、これらのセキュリティツールはすべて、大量のアラートを発行します。何千ものアラートがあり、その多くは無害です。 たとえば、通常はオフィスにいて離れた場所からログインしているユーザーがアラートをトリガーしたり、営業時間外にログインしたユーザーがアラートをトリガーしたりできます。 セキュリティアナリストは、これらの「誤検知」アラートを毎日数百または数千に対処する必要があります。

SOCが失敗するもう1つの理由は、使用されている個別のサイバーセキュリティツールのそれぞれに独自のデータ形式があり、多くの場合、独自のコンソールがあり、最終的には組織のセキュリティ体制の1つの側面しか示していないことです。 今日の世界では、多くの複雑なサイバー攻撃が2つ以上のベクトルを介して発生します。ファイアウォールにぶつかるだけでなく、電子メールを介したフィッシング攻撃、または定期的なプログラム更新中にダウンロードされるウイルス(SolarWinds攻撃など)の可能性があります。 。 問題は、SOCでは、全体像をネイティブに見る人がいないことです。その全体像は、アナリストのチームによる何千ものアラート間で手動で関連付ける必要があります。 このプロセスは手動で行われるため、堅牢な自動化はできず、すべてのアラートに注意を向けることもできません。

そのため、アラートが多すぎ、ツールが多すぎ、ツール間の自動データ相関が不十分です。 しかし、別の問題もあります。十分なアナリストがいないことです。 Information Systems Security Association(ISSA)と業界アナリスト企業のEnterprise Strategy Group(ESG)によるサイバーセキュリティ専門家のグローバルな調査によると、サイバーセキュリティツールへの投資不足と、アナリストの追加ワークロードの課題が相まって、スキル不足が発生していることが報告されています。 情報セキュリティスタッフの間で満たされていない仕事と高い燃え尽き症候群に。 また、アナリストのコストも上昇します。一流のサイバーセキュリティアナリストは、年間20万ドルを稼ぐことができます。

もちろん、これはすべて、サイバー攻撃が月ごとに高度化して多数になっている世界で起こっています。

SOCレス –別の方法

しかし、企業がSOCのアイデアを放棄した場合はどうなるでしょうか。 彼らがサイバー防御を地理的に、そしてインフラストラクチャの専門家のチームに分散させたらどうなるでしょうか? プラットフォームが、優先度の低いアラートに応答するというありふれた作業と、すべてのITツールとセキュリティツールを相互に関連付ける複雑な作業を自動化した場合はどうなるでしょうか。 アナリストが積極的に脅威を探し、ベストプラクティスポリシーを実装することに時間を費やした場合はどうなりますか? アラート疲労が存在しなかった場合はどうなりますか? これは可能ですか?

です。 それがどのように機能するかの例については、ソフトウェア開発チームに目を向けることができます。 ソフトウェア開発への最新のアプローチであるDevOpsでは、世界最高のソフトウェア会社が開発者を1つの部屋に並べることはありません。彼らは、世界中の分散した人々からの非同期コラボレーションを可能にするシステムを持っています。 しかし、それは人々が座っている場所だけではありません。

DevOpsでは、イノベーションとバグ修正は、継続的インテグレーションと継続的デリバリー(CI / CD)システムの上に構築された継続的な24時間年中無休の運用です。最新のCI/CDにより、開発者は構築に集中でき、最小のチームが市場を定義する製品を構築できます。平凡で複雑なタスクはCI/CDで完全に自動化されており、開発者は展開するすべての機能に対してプロアクティブなテストを実施する必要があります。これにより、システムのエラーやバグが大幅に減少し、開発者は最も重要なことに集中できます。

SOCの従来の作業は、何千ものアラートに対して専任の人間チームを配置することです。しかし、一流のテクノロジー企業は新しいモデルを採用しています。信頼できる、十分に文書化された、忠実度の高いアラートが注目されていますが、自動化のため、ほとんどのアラートは無視できます。最先端のサイバーセキュリティプラットフォームは、ファイアウォール、エンドユーザー、アプリケーション、サーバーなど、その特定の領域を担当するインフラストラクチャまたはアプリケーションの所有者に、一連の推奨される応答とともに定期的なアラートを自動的に送信します。 Alex Maestretti(現在のRemilyのCISO、Netflixの元エンジニアリングマネージャー、SecOpsチームはSOCレス)が言うように、これは、SOCレスの意味するところです。つまり、アラートのトリアージをシステムの専門家に分散させます。疲労を警告するソリューションは、より多くの人間やデータではなく、分散型プロセスを備えた堅牢な自律システムです。

Figure 2: SecOpsへのSOCベースのアプローチと比較して実際にはSOCレス

SOCレスへの移行

このSecOpsモデルを機能させるには、セキュリティ部門は、アラートを探しているモニターを見つめるのではなく、意味のあるポリシーの変更、検出戦略、プレイブックを継続的に提供する人々を必要としています。その状態に到達するには作業と取り組みが必要ですが、アナリストが常にアラートを監視している場合、問題を先取りすることはできません。プロアクティブ性を実現するには、セキュリティチームはセキュリティインフラストラクチャと同等のCI/CDを必要とします。

最初の要件は、衛生のベストプラクティスを簡単に適用できるコアリスク管理コントロールを用意することです。この代表的な例の1つは、ゼロトラストの徹底的な実装です。これにより、セキュリティ体制が改善されるだけでなく、アラートとノイズが減少し、データの問題が単純化されます。 2番目の要件は、戦略とプレイブックを迅速に展開できるサイバーセキュリティの検出と対応のプラットフォームです。迅速な展開と構成が最も重要です。検出と対応のアイデアから本番展開までの時間は、可能な限りゼロに近づける必要があります。これをサポートする検出および応答プラットフォームは、ルールがそれをカットしないため、使いやすく、AIベースおよび機械学習ベースの検出を含む重要なすぐに使えるコンテンツを備えています。

ただし、SOCレスに移行するには、テクノロジー以上のものが必要です。献身的なチームと再考されたプロセスが必要です。重要な自動化に慣れ、インフラストラクチャの所有者に関連するアラートを直接受信させ、大部分の時間をプロアクティブなセキュリティ作業に費やします。ただし、常に人員が必要です。多くの企業にとって、マネージドセキュリティサービスプロバイダーを使用して社内の人員を増強することは、費用対効果の高い方法で積極的に行動し続けることができます。企業は、適切な戦略が継続的に展開されていることを確認するための人員を必要とします。検出および応答プラットフォームの共同管理された展開を備えたMSSPにより、企業は必要に応じてサポートをスケールアップできます。企業がas-a-Serviceの提供をクラウドに利用しているように、SOC-as-a-Serviceの提供をMSSPに利用することもできます。これは、多くの人が内部のSOCレス移行を完了するのに役立ちます。

したがって、分散DevOps関数をよく調べ、それを分散セキュリティ操作(SecOps)にマッピングすることで、企業は複雑な攻撃の発見と修正の点でハッカーに先んじることができます。それを実現するには、認識に大きな変化が必要ですが、地球上で最大かつ最先端の企業の多くは、すでにSOCレスになっています。多分それは他のすべての会社もやった時です。