Blog

SIEM、XDR、およびサイバーセキュリティインフラストラクチャの進化

SIEM, XDR, and the Evolution of Cybersecurity Infrastructure
セキュリティイベントおよび情報管理プラットフォーム(SIEM)は、セキュリティログからデータを収集します。これにより、死角を特定し、ノイズとアラートの疲労を軽減し、複雑なサイバー攻撃の検出と対応を簡素化することができます。 ただし、SIEMはこれらの約束を果たしていません。 現在、新しいアイデアはXDRです。その利点は何ですか。SIEMと共存または置き換える必要がありますか? このホワイトペーパーでは、現在のサイバーセキュリティの状況、SIEMがその状況にどのように適合するか、XDRプラットフォームがセキュリティインシデントの可視性、分析、対応を大幅に改善する方法について説明します。

Evolution of Cybersecurity Infrastructure

セキュリティ背景

今日のセキュリティ環境で最も明白なことは、脅威が増加していることです。

  • アクセンチュアによると、ビジネスリーダーの68%が、2020年にサイバーセキュリティのリスクが高まっていると感じています。
  • Risk Basedは、データ侵害により2020年上半期に360億件のレコードが公開されたと報告しました。
  • Proofpointは、世界中の組織の88%が2019年にスピアフィッシング攻撃を経験したことを発見しました。

さらに、攻撃はより複雑になっています。 ハッカーはかつてファイアウォールポートなどの単一のベクターを標的にしていましたが、現在は複数のベクターを標的にしています。 たとえば、攻撃者は認識されていない場所からネットワークにログインし、Active Directoryシステムにアクセスしてユーザーの権限を変更してから、サーバーからのデータのダウンロードを開始する可能性があります。 これらの各指標は、それ自体を追跡するシステムによって誤検知と見なされる可能性がありますが、実際には、すべて単一の攻撃の一部です。

この環境では、企業は攻撃を特定して修正するのに苦労しています。 ネットワーク、サーバー、エンドポイント、クラウド、その他のセキュリティインフラストラクチャのスライスのトラフィックを分析するために、サイロ化されたツール(EDR、NTA、SIEM、UEBAなど)のグループを収集する従来のアプローチは、単に機能していません。 2020年の調査で、Enterprise Strategy Group(ESG)は、企業の75%が、攻撃を特定するためにさまざまなセキュリティツールからの結果を統合することが難しいと感じていることを発見しました。 さらに、調査によると、企業の75%が、約束を果たせなかった1つ以上のセキュリティツールを導入しています。

最後に、人のスキルにはギャップがあります。 ESGの調査によると、企業の75%には人的スキルのギャップがあり、セキュリティ分析と運用をサポートするのに十分な経験豊富なアナリストを雇うことができません。

ツールが課題に対処する方法

SIEMは、ファイアウォール、ネットワーク検出および応答(NDR)システム、エンドポイント検出および応答(EDR)システム、クラウドアプリケーションセキュリティブローカー(CASB)など、さまざまなソースからデータを収集します。 アイデアは良いものです。単一のツールが攻撃対象領域全体からデータを収集し、分析、検出、および応答のためにそれを集約するというものです。 ただし、SIEMツールには次の問題があります。

  • サイロ化された各ツールは、独自の形式でデータを生成します。
  • データのコンテキストを作成するためのデータの変換(データ融合を含む)、つまり脅威インテリジェンス、場所、資産、および/またはユーザー情報の強化など、まだ多くの手動タスクが必要です。
  • アナリストが複雑な攻撃を見つけるのは非常に難しいほど多くのデータがあります。
  • アナリストは、データの量と個別の検出を手動で相互に関連付けるためにかかる労力のために、複雑な攻撃を確認できません。 人間の脳は一度に3つ以上の情報源を関連付けることができないため、大量の情報をくぐり抜けることは困難または不可能です。

SIEMが機能している場合でも、多くの企業が複雑な攻撃を特定するのに数週間から数か月かかることは不思議ではありません。複雑な違反を特定するための平均時間は200日以上です。 セキュリティアナリストは誤検知に溢れているため、水に首を突っ込んで呼吸しようとしているだけなので、沼地にいるワニを見ることができません。

XDR –森とすべての木を見る

SIEMの背後にあるアイデアが、インフラストラクチャ全体からデータを収集するという点で正しいものであった場合、XDR(Everything Detection and Response)はそのアイデアの進化形です。 アイデアは、攻撃対象領域全体を単一のコンソールから監視できるようにすることです。

XDRは、1つのダッシュボードに多くのセキュリティアプリケーションを緊密に統合して、攻撃対象領域全体でイベントを意味のあるインシデントに関連付ける、まとまりのあるセキュリティ運用プラットフォームです。 XDRプラットフォームは、SIEMNDR、EDR、CASB、ユーザーエンティティ動作分析(UEBA)、その他のツールからデータを取り込み、SIEMとは異なり、これらの異なるデータセットを共通の形式に正規化します。 共通のデータプールは簡単に検索できるため、アナリストはアラートをドリルダウンして攻撃の根本原因を検出できます。 さらに、XDRAIと機械学習を使用して、検出を自動的に関連付け、忠実度の高いアラートを発行して、誤検知を大幅に減らします。

人間とは異なり、コンピュータは無制限の数のデータポイントを相互に関連付けることができるため、正規化されたデータとAIツールを使用することで、XDRは多くの場合、複雑な攻撃を自動的に識別できます。多くの場合、数週間や数か月ではなく、数分または数時間で識別できます。 さらに、サイロ化されたセキュリティツールとの緊密な統合により、XDRは、ファイアウォールポートのブロックなど、アラートへの応答を自動的にトリガーできます。

Open XDR–XDRをより手頃な価格にする

市場に出回っているほとんどのXDRプラットフォームは、EDRベースとファイアウォールに基づいて構築されたシングルベンダーソリューションです。 したがって、シングルベンダーのXDRを選択する企業は、XDRを採用するために、既存のツールへの投資を放棄する必要があります。 ほとんどの企業は、既存のツールの取得と使用方法の学習に何百万ドルも費やしてきたため、これを行うことには消極的です。

Open XDRは、既存のセキュリティツール(EDRおよびファイアウォール)で動作するXDRバリアントです。 したがって、ユーザーは、すべてのデータを集約し、攻撃を検出し、単一のインターフェイスの下でインフラストラクチャ全体から忠実度の高いアラートを提示し、多くの場合自動的に応答して全体を即座に改善することにより、サイバーセキュリティへの投資を維持しながら、サイバーセキュリティへの投資を維持できます。

さらに、Open XDRプラットフォームは、独自のSIEM、NTA、UEBA、およびその他のツールのセットを統合します。 これにより、ユーザーは既存のツールの一部を時間の経過とともに廃止し、ライセンスコストと運用の複雑さを徐々に軽減できます。

結論

SIEMは、数年前からセキュリティオペレーションの基盤となっていますが、多くの場合、より多くの作業を作成し、結果を少なくします。 アナリストは大量のアラートで過負荷になり、データを正規化することは困難であり、ニーズを満たすのに十分なアナリストを雇うことは不可能です。

Open XDRシステムは、自動応答を備えた既存のシステムからの高速で明確な検出を提供することで、攻撃の識別と修復を高速化し、アナリストチームの負担を軽減し、全体的なセキュリティの向上、従業員の幸せ、混乱の軽減、コストの削減につながります。

Open XDRは、次世代のセキュリティオペレーションセンターの基盤です。