ブログ(製品・サービス関連)

XDRで負荷を軽減し、脅威の検知を強化

アラート疲れは実際に存在しています。次のようなことを考えてみてください。セキュリティ・アナリストは、誤ったアラートの追跡やセキュリティ・コントロールの維持にどれだけの時間を費やしていますか。ネットワークに脅威がないかどうかを監視するという重要でありながら平凡な仕事によって即座に疲れ果ててしまう新しいセキュリティ・チームのメンバーへのトレーニングにどれだけの時間を費やしているでしょうか。また、彼らが別の組織に転職してしまい、採用とトレーニングのサイクルを繰り返すことになっていませんか。インシデントになる前にアラートを調査するために、大量のデータに人を投入することは、実現可能なソリューションではありません。

多くのセキュリティ・オペレーション・センター(SOC)には、すでに脅威インテリジェンス・ソリューション、SIEM、そしておそらくSOARが導入されていますが、どのようにすれば脅威を確実に把握することができるのでしょうか。

XDRによる迅速な統合

脅威インテリジェンスの重要性はかつてないほど高まっています。脅威インテリジェンスを適用するには、組織が直面しているリスクに関する適切なコンテキストが必要です。SIEMとSOARは、十分な成果を上げられていません。これらのSOCツールは、ログやデータを収集しますが、それらを使用して環境内の潜在的なリスクを発見するという機能は果たされていません。これらのツールを最大限に活用するためには、大規模なセキュリティ・エンジニアリングが必要であることが大きな理由です。

XDR は、セキュリティ・オペレーションの分野で注目されていますが、それには理由があります。XDR ソリューションは、セキュリティ管理とデータをより深く統合することで検知と対応を向上させ、使いやすい SaaS 形式で展開され、高価で複雑なセキュリティ・エンジニアリングの負担を軽減します。XDRは究極的には、セキュリティ・オペレーションをより良い方法で行う機会を提供します。

Gartner社は、最新レポート「Innovation Insight for Extended Detection Response」でXDRを取り上げています。このレポートには様々な洞察が含まれており、現代のSOCにおけるXDRの必要性が強調されています。

XDRへの移行を検討する際のGartner社の推奨事項は以下の通りです。

  • 「利害関係者と協力して、スタッフと生産性のレベル、IT 連動のレベル、リスク許容度、およびセキュリティ予算に基づいて、XDR 戦略が組織にとって適切かどうかを判断します。既存の機能と XDR ソリューションに求められる機能とのギャップ分析を行います。製品の評価とテストを徹底的に行い、このまだ登場したばかりのXDR機能が期待通りの結果をもたらすことを確認します。
  • XDR 戦略に沿って組織内のアーキテクチャおよび購買方針を策定します(例外が認められる場合とその理由を含む)。長期的な XDR アーキテクチャ戦略に沿って、今後のセキュ リティ製品の購入および技術要素の廃止計画を確実に実行します。
  • 既存のスタッフのスキルセットを超える可能性がある場合は、XDRの代替品を構築できるマネージド・セキュリティ・サービス・プロバイダー(MSSP)に委託します。」

XDR ソリューションの必要性を評価するためには、組織は既存のセキュリティ検出および対応プログラムの有効性を判断する必要があります。以下の質問を検討してみてください。

  • セキュリティ管理環境の有効性に満足していますか。
  • SOCチームはうまく機能していますか。
  • 管理しなければならない過剰検知の数によってSOCチームが過剰労働を強いられていたり、不満を抱いたりしていませんか。
  • セキュリティ・インフラストラクチャから発生するすべてのアラートとイベントをSOCチームは調査できますか。
  • セキュリティ・エンジニアリング・チームの負担はどの程度ですか。
  • 最も重要なこととして、このようなシステムへの投資は、期待通りの結果をもたらしているでしょうか。

XDR製品の評価とテストの重要性は、いくら強調してもし過ぎることはありません。従来のSIEMソリューションの概念実証(POC)は非常に困難でしたが、それは多くのネイティブXDRツールにおいても同様です。次のような点を考慮してください。ベンダーは、自社のツールやデータを使って環境を構築できるでしょうか。リプレースが必要でしょうか。導入には大掛かりなプロフェッショナル・サービスが必要でしょうか。

Gartner社はさらに、提案するセキュリティ・アーキテクチャを、将来のセキュリティ製品の購入や計画された技術要素の廃止と整合させることの重要性についても述べています。XDRでは、多くの場合、単一のベンダーのツール・セットに標準化することが求められるため、これは非常に重要です。これは、極めて破壊的な技術要素の変更を組織に引き起こす可能性があります。

Mandiantの考え方

Mandiantのアプローチは選択を可能にします。Mandiantは、エンドポイントおよびネットワーク・セキュリティの主要ベンダー、SIEM、SOARプラットフォームの多くと提携しています。つまり、企業は自社に最適な組み合わせのソリューションを選択することができ、単一のベンダーに依存したり、あまり関心のないツールに縛られたりする必要はありません。また、既存のコントロールの有効性を測定し、適切に設定されていることを確認することができます。つまり、既存の投資からより多くの利益を得て、どのような将来の投資が最高の投資利益率(ROI)をもたらすかを判断するためのデータを得ることができるのです。

アウトソーシングをするかどうかは、企業にとって重要な決断です。SOCの優秀な人材(特にセキュリティ・エンジニア)を見つけてその体制を維持するのは難しいことです。Mandiantは、組織が持っているツールと連携できるソリューション提供に取り組んでいますが、ルール作成、コンテンツ作成、プレイブック開発の必要性を可能な限り排除しています。その代わりに、Mandiantの専門家が行うような方法で調査するように設計された、あらかじめ構築されたデータ・サイエンス・モデルを提供しており、それらはマシン・スピードで動作し、タイムリーで関連性のある脅威情報で強化されています。また、SOCチームがセキュリティ運用支援を必要とする場合には、Mandiantのマネージド・サービスがオンデマンドで提供され、完全に管理された脅威検出、対応ソリューションを提供します。

Gartner社のレポートをぜひご一読ください。そして、Mandiant Advantageプラットフォームについての詳細は当社までお問い合わせください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:June 28, 2021 「Lighten the Load With XDR for Better Threat Detection