FBIによると、 サイバー攻撃 サイバー部門に報告された件数は、 パンデミック前のレベル、そして攻撃は悪化しています。金融サイトからヘルスケアサイト、政府サイト、サプライチェーン業界まで、誰もこれらの攻撃から逃れることはできません。これらの脅威に対する従来の防御は セキュリティオペレーションセンター(SOC) – アナリストがテレビ画面でセキュリティアラートを監視する部屋 – しかし、この防御はあまりうまく機能していません – サイバーセキュリティー Continental Pipeline、Target、TransUnion、または重大な攻撃を経験した他の何百もの企業のチーム。
なんて SOC 機能する、機能しない
背後にある動作理論 SOC 企業全体でさまざまな方法で十分なデータを収集すれば、 ITおよびセキュリティツール次に、分析プラットフォームを使用してさまざまなツールからのアラートをランク付けして視覚化し、最後に階層化されたアナリスト チームを展開してアラートを管理および対応すれば、サイバー攻撃のほとんどまたはすべてが、実際の被害が発生する前に迅速に発見され、対処されるはずです。しかし、実際の経験からすると、そうではありません。
理由はいくつかあります SOC は壊れています。そもそも、これらのセキュリティ ツールはすべて、大量のアラート (数千に及ぶ) を発行しますが、その多くは無害です。たとえば、通常はオフィスにいるユーザーがリモート ロケーションからログインするとアラートがトリガーされる可能性があります。また、営業時間外にログインするユーザーもアラートをトリガーする可能性があります。セキュリティ アナリストは、毎日、これらの「誤検知」アラートを数百または数千件処理する必要があります。
別の理由 SOCs 失敗の1つは、使用されている個別のサイバーセキュリティツールのそれぞれが独自のデータ形式と独自のコンソールを持っていることであり、最終的には組織のセキュリティ体制の1つの側面しか表さないことです。今日の世界では、多くの複雑なサイバー攻撃が2つ以上のベクトルを介して発生します。ファイアウォールを攻撃するだけのものではなく、電子メールによるフィッシング攻撃や、定期的なプログラム更新中にダウンロードされたウイルス( SolarWindsの攻撃)。問題は、 SOC全体像をネイティブに把握している人はいません。その全体像は、アナリストチームが何千ものアラートを手動で相関分析する必要があります。このプロセスは手作業であるため、堅牢な自動化は実現できず、すべてのアラートに注目すべきでもありません。
つまり、アラートが多すぎる、ツールが多すぎる、そしてツール間の自動データ相関が不十分である。しかし、アナリストが足りないという別の問題もある。サイバーセキュリティ専門家を対象とした世界的な調査 情報システムセキュリティ協会(ISSA) 業界アナリスト会社 エンタープライズ戦略グループ(ESG) サイバーセキュリティツールへの投資不足とアナリストの作業負荷増加の課題が相まって、スキル不足を引き起こし、情報セキュリティスタッフの空き職や燃え尽き症候群につながっていると報告されています。また、アナリストのコストも上昇しています。一流のサイバーセキュリティアナリストは年間200,000万ドルの収入を得ています。
もちろん、これらすべては、サイバー攻撃が月ごとにより巧妙化し、その数も増えている世界で起きています。
SOC少ない – 別の方法
しかし、企業が SOC アイデアはありますか? サイバー防御を地理的に分散し、インフラストラクチャの専門家チームに分散したらどうなるでしょうか? 優先度の低いアラートに対応するという単調な作業や、すべての IT およびセキュリティ ツールを関連付けるという複雑な作業をプラットフォームが自動化したらどうなるでしょうか? アナリストが積極的に脅威を探し、ベスト プラクティス ポリシーを実装することに時間を費やしたらどうなるでしょうか? アラート疲れが存在しなかったらどうなるでしょうか? これは可能でしょうか?
そうです。それがどのように機能するかの例をソフトウェア開発チームに見ることができます。ソフトウェア開発の最新のアプローチである DevOps では、世界最高のソフトウェア企業は開発者を 1 つの部屋に一列に並べません。世界中に分散している人々による非同期のコラボレーションを可能にするシステムを導入しています。しかし、人々が座る場所だけが重要なのではありません。
DevOps では、イノベーションとバグ修正は、継続的インテグレーションと継続的デリバリー (CI/CD) システム上に構築された、24 時間 7 日の継続的なオペレーションです。最新の CI/CD により、開発者は構築に集中でき、最小規模のチームでも市場を定義する製品を構築できます。日常的で複雑なタスクは CI/CD で完全に自動化され、開発者は展開するすべての機能に対してプロアクティブなテストを実施する必要があります。これにより、システム内のエラーとバグが大幅に削減され、開発者は最も重要なことに集中できます。
伝統的な仕事 SOC 何千ものアラートに人間の専門チームが対峙することになります。しかし、一流のテクノロジー企業は新しいモデルを採用しています。信頼性が高く、十分に文書化された、忠実度の高いアラートは注目されますが、ほとんどのアラートは自動化により無視できます。最も先進的なサイバーセキュリティプラットフォームは、ファイアウォール、エンドユーザー、アプリケーション、サーバーなど、特定の領域を担当するインフラストラクチャまたはアプリケーションの所有者に、一連の推奨対応とともに定期的なアラートを自動的に送信します。 アレックス・マエストレッティ (レミリーの現CISO、Netflixの元エンジニアリングマネージャー、SecOpsチームは SOC以下) それを置く、これが意味するところである SOCless – アラートのトリアージをシステム エキスパートに分散します。アラート疲労の解決策は、人やデータを増やすことではなく、分散プロセスを備えた堅牢な自律システムです。
への移行 SOCもっと少なく
これを作るには セキュリティオペレーション 模範的な仕事を行うには、セキュリティ部門には、アラートを探してモニターを見つめるのではなく、意味のあるポリシー変更、検出戦略、プレイブックを継続的に提供する人材が必要です。その状態に到達するには労力とコミットメントが必要ですが、アナリストが常にアラートを監視していると、問題に先手を打つことはできません。プロアクティブに行動するには、セキュリティチームに CI / CD セキュリティ インフラストラクチャに相当します。
最初の要件は、コアリスク管理コントロールを備え、衛生管理のベストプラクティスを簡単に適用できるようにすることです。その代表的な例の1つは、ゼロトラストの徹底的な実装です。これにより、セキュリティ体制が改善されるだけでなく、アラートとノイズが削減され、データの問題を簡素化できます。2番目の要件は、サイバーセキュリティです。 検出および対応プラットフォーム 戦略とプレイブックを迅速に展開できる環境。迅速な展開と構成が最も重要であり、検出と対応のアイデアから実稼働展開までの時間は可能な限りゼロに近づける必要があります。これをサポートする検出と対応のプラットフォームは使いやすく、ルールだけでは不十分なため、AI や機械学習ベースの検出など、すぐに使用できる重要なコンテンツを備えています。
行く SOCless しかし、テクノロジーだけでは不十分です。熱心なチームとプロセスの見直しが必要です。つまり、大幅な自動化に慣れ、インフラストラクチャ所有者が関連するアラートを直接受信できるようにし、ほとんどの時間をプロアクティブなセキュリティ作業に充てる必要があります。しかし、人材は常に必要であり、多くの企業にとって、マネージドセキュリティサービスプロバイダーで社内の人員を増強することは、プロアクティブであり続けるための費用対効果の高い方法です。企業は、適切な戦略が継続的に展開されるようにするために人材を必要としており、 MSSPs 共同管理型の検出および対応プラットフォームの導入により、企業は必要に応じてサポートを拡大できます。企業がクラウドに頼ってサービス提供を行っているように、 MSSP の SOCサービスとしての 提供。これにより、多くの人が内部の SOCless 遷移。
したがって、分散DevOps機能をよく検討し、それを分散セキュリティオペレーション(SecOps)にマッピングすることで、企業は複雑な攻撃の発見と修復に関してハッカーに先んじることができます。これを実現するには認識の真の変化が必要ですが、地球上で最も大規模で先進的な企業の多くはすでに SOClessおそらく、他の企業もすべてそうすべき時が来ているのでしょう。
