反抗型戦略にうんざりしていませんか? キルチェーンの早い段階で攻撃者を積極的に阻止しましょう!
MSSPはすべて、毎日膨大な数のアラートを処理しますが、最も成功しているパートナーはどのようにして流入を管理していますか?
MSSP業界では、今年、MSPおよびMSSPパートナーへの攻撃が大幅に増加しています。 これにより、RMMツールからアプリケーションに至るまですべてに対していくつかの新しい攻撃が発生しました。 私たちは皆、毎日膨大な数のアラートに対処しています。それでは、最も成功しているパートナーはこれをどのように管理しているのでしょうか。
キルチェーンから始めます。 今日最も人気のあるフレームワークはMITRE攻撃フレームワークです。 このレンズを通してアラートを見ることができれば、SOCチームの作業負荷を大幅に削減し始めることができます。 偵察段階から始めます。 なぜそこから始めるのですか? 攻撃者が足場を固める前に接続を切断できれば、チームが今日行っているハンティングとクリーンアップの多くを排除できるからです。
良い例はLog4jです。 これは先月かそこらにとって大きな迷惑でした。 現在、非常に多くのノイズが発生するため、多くの攻撃者がこれを利用しています。 ある意味では、複数の攻撃グループによるクラウドソーシングによって増幅されています。攻撃者が多いほど、それに関連するアラートが多く表示されます。
これらの最初のスキャンではペイロードは配信されませんが、SOCに大量の作業が発生します。 スキャンをネットワーク内の資産との通信に接続できる場合は、顧客に対する実際の脅威への対応を制限できます。 これは、機械学習が成功の可能性を大幅に向上させることができる領域です。
教師なし機械学習を活用して、特定のマシンが外部ホストと通信したことがあるか、Log4jなどの特定のアプリケーションを実行したことがあるかをベースライン化できます。 さらに重要なことに、データが盗み出されているかどうかを検出することもできます。 Stellar Cyberは、これをMITRE攻撃フレームワークにマッピングして、この動作をすばやく特定し、キルチェーンでステージングし、修復戦術を推奨できるプラットフォームを開発しました。 このコンテキストを備えているため、応答にはるかに的を絞ったアプローチをとることができ、複数のベンダーから特別な検出を購入または展開する必要はありません。
さらに、既知の悪意のあるホストへの接続を検出した場合、ファイアウォールとデバイスで接続を自動的に終了できます。 自動化された脅威ハンティングルールを使用すると、検出を選択して条件を設定でき、Stellar Cyber PlatformはファイアウォールおよびEDRツールとの統合を通じて応答を開始できます。 最終的に、これは3つの非常に重要なことを達成します。
- 実際のイベントを検出するまでの時間を短縮します。
- ノイズを調整します。
- 応答を自動化してリスクを軽減します。
これらのタスクを実行する完全に統合されたプラットフォームがある場合、それは簡単です。 詳細については、Stellar CyberのBrian Stonerにお問い合わせください。