セキュリティのシフト レフトという考え方について聞いたことがあるかもしれません。開発者がクラウドに移行するにつれて、セキュリティ専門家は開発プロセスが開始される上流、つまり左に目を向けるようになります。開発から Q/A、そして本番 (右に移動) へと進むにつれて、エンドツーエンドのセキュリティに関する基本的な考え方が増えていきます。
このアイデアをさらに一歩進めて、新しいもの、「左にスワイプする」セキュリティについて話しましょう。
最高レベルでは、セキュリティ業界は次の 2 つの重要な問題を並行して解決しようと奮闘しています。
- 適切なデータを収集する
- すぐに評価する
最初の問題は、「セキュリティ分析」というテーマがますます重要になっていることに関係しています。これは、時間と注意を必要とする実際のセキュリティ インシデントがあるかどうかを理解するのに役立つパンくずリストです。今日のあらゆる企業の攻撃対象領域は、かつてないほど大きくなっています。ネットワーク トラフィックをパケット レベルで確認する必要があります。サーバー、アプリケーション、およびユーザー ログを確認する必要があります。また、開始されたコマンドとプロセスを確認する必要があります。さらに、オンプレミスのベアメタル、仮想化、コンテナー、パブリック クラウドなど、すべての環境をカバーする必要があります。
2つ目の問題は、たとえ適切なデータやセキュリティ分析が得られたとしても、アラートの価値をいかに迅速に評価するかということです。今日のセキュリティチームの多くは、データに圧倒され、誤検知が多すぎ、低レベルのアラートをあまりにも多く追跡していると訴えるでしょう。従来の方法では、 SIEM1 日に 3,000 件のアラートが発生する可能性があり、これだけの数に対応するには人的スケーリングの問題が発生します。
セキュリティ分析は、針がいっぱい詰まった干し草の山をふるいにかけるようなものだと私は考えています。そして、理想を言えば、その干し草の山をふるいにかけるのがどんどん上手になっていきたいものです。セキュリティ体制を毎日強化できる製品は、どれも欲しいものです。この機能は、機械学習や「AI」の誇大宣伝による影響だけで得られるものではなく、すべてのアラートを調べて「これらには関連があるか?」と尋ねることで得られます。
簡単な例を挙げてみましょう。スティーブが午前 4 時にサーバーにログインするとします (私はその時間にログインしたことがありません)。私の IP アドレスはタイのものですが、拠点はサンフランシスコで、起動したアプリは以前に起動したことのないアプリです。これらの個々のアラートはノイズとして認識されるかもしれませんが、まとめて見ると、侵入が進行中であるという強力な根拠となるパターンがわかります。
では、すでに多すぎるセキュリティ アラートの量を増やすことなく、さらに多くのデータを収集するにはどうすればよいでしょうか。上で述べたすべての環境に関する洞察を得るには、業界で最も広範なセキュリティ データ収集エンジンと、データ収集を充実させ、一見ノイズの多い低レベルのアラートを相関させて、実際に関連していることを示す自動化された手法を組み合わせる必要があります。
セキュリティ アナリストが自動化を通じて拡張できるように支援するにはどうすればよいでしょうか。セキュリティ アナリストには、単純な「赤」または「緑」のハイライトが表示され、アラートを拒否するには左にスワイプし、アラートを受け入れて問題を詳しく調べるには右にスワイプするだけです。理想的には、セキュリティ アナリストが 3,000 日に XNUMX 件のアラートを調べるのではなく、XNUMX 件のアラートを調べればよいので、調査と自動応答のトリガーをポリシーとしてプログラムできます。
こうした考え方は、ますます多くの人々がマネージド検出および対応サービス、つまり MDR-as-a-Service と呼んでいるものです。自動化を活用してチームの規模を拡大し、顧客に将来を見据えた価値を提供します。
