アラート疲れと質の低いシグネチャーによって攻撃を見逃すことも

アラート疲れと質の低いシグネチャーによって攻撃を見逃すことも

アラート疲れと質の低いシグネチャーによって攻撃を見逃すことも

By:
投稿者:
Marcus Hartwig
August 11, 2020

侵入検知および侵入防止システム(IDPS)は、ルールとシグネチャーに基づいて脅威を検知するように設計されています。これは、ウイルス対策ソフトや次世代ファイアウォールでよく見られる、試行錯誤されたソリューションです。理論上では、既知の攻撃を適切なシグネチャーを使用して検出するという優れた方法です。しかし、現実は理論通りにいくとは限りません。攻撃者はずる賢く、ネットワークはノイズが多いため、完全に一致する攻撃になることは無いのです。

この問題に対抗するために、シグネチャーを作成する際、何を探しているのかを選別するには、限定しすぎてはなりません。以前は検出されなかった攻撃の小さなバリエーションが、今では再び検出されるようになっています。問題は、偽陽性の検出が多くなってきていることです。シグネチャーベースの検出を活用している最新のSOCでは、わずか24時間で1万件、時にはそれ以上のアラートを受けることも珍しくありません。そうなるとそのソリューションはもう意味をなさないのです。

セキュリティ担当者の79%は「作業量に圧倒されてしまう」と答えています。
- Enterprise Management Associatesによる情報概要より

これに対抗するために、SOC のアナリストは通常、データベースや本番サーバなど、価値の高い資産へのトラフィックのみを監視するIDPSシステムを構成することを余儀なくされます。また、IDPS でどのシグネチャールールを有効にしているかを厳選し、古いルールやノイズの多いルールを削除したり、アラートの量を減らすためにアラートのしきい値を調整したりすることもよくあります。残念ながら、セキュリティ監視をオフにするということは攻撃を必ず見逃すと言えます。

成功と呼べるより現代的なアプローチは、レガシーなIDPSから離れて、ネットワーク検出および応答(NDR)ソリューションに置き換えることです。NDRは、ネットワーク上のホスト・ユーザーの振る舞い、ユーザーやデバイスの特権、悪意のある振る舞いに関する知識など、豊富なコンテキスト・データと組み合わせた脅威の情報を提供します。これらはすべて、セキュリティ研究とデータサイエンスによって開発された機械学習ルールによって実現されており、ノイズを除去しながら、本当の脅威である攻撃を識別します。最終的には、既知の攻撃と未知の攻撃の両方を検出して阻止しているという安心感を得ることができます。

IDPSのノイズを取り除き、NDRで脅威の検出と攻撃に対する阻止を行うことができます。アナリストは、シグネチャーの微調整作業を行う代わりに本当に必要な作業に集中することができます。Vectra®のCognito®プラットフォームは、クラウド、データセンター、IoT、企業内の攻撃を検知し、対応する100%のサービスを提供しています。攻撃を早期に確実に発見することを可能にします。

これを実現するためにはデータが必要です。これはデータの量の問題ではありません。関連するさまざまなソースからデータを慎重に収集し、セキュリティに関するインサイトとコンテキストを加えて、最適なユースケースを提案することにあります。

攻撃の振る舞いは変化するため、新しい脅威シナリオや現在の脅威シナリオを幅広く想定した独自のアルゴリズムモデルを継続的に作成しています。Vectra AIは、人間の能力をはるかに超えたパフォーマンスを発揮し、攻撃を検出し、クラスタリングし、優先順位をつけ、予測することで、ライバルに差をつけることができるのです。

Vectra AIが思考し、セキュリティ運用の作業負荷を軽減することで、セキュリティ担当者は脅威ハンティングやインシデント調査に多くの時間を割くことができるようになります。環境を監視し、そして保護するためのアプローチを変えたいとお考えの場合は、ぜひデモをご予約ください。 

 

 

 

 

About the author

Marcus Hartwig

Marcus Hartwig is a director of product marketing manager at Vectra. Has been active in the areas of IAM, PKI and enterprise security for more than two decades. His past experience includes product marketing at Okta, co-funding a company in cybersecurity professional services, as well as managing a security product company – a combination that has left him passionate about all parts of product marketing, design and delivery.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

Moving from Prevention to Detection with the SOC Visibility Triad

February 24, 2020
Read blog post
Security operations

Vectra and Microsoft Join Forces to Fulfill the SOC Triad

June 9, 2020
Read blog post
Breach

MFA is Not Enough - Malicious OAuth Apps in Office 365 are Here to Stay

June 24, 2020
Read blog post