出典: Skorzewiak via Alamy Stock Photo
ニュース概要
セキュリティ情報およびイベント管理(SIEM)ツールは、脅威アクターの技術の約80%を見逃しており、組織を攻撃に対して脆弱にしています。
これは、CardinalOpsの第5回年次報告書によるSIEM検出リスクの現状に関するもので、MITRE ATT&CKフレームワークを基準として使用しました。報告書は、組織のSIEMツールが2024年と比較して一般的にカバレッジを増やしたものの、改善に関してはまだ多くの課題があることを示しています。また、SIEMツールの検出方法における弱点に関連するいくつかの重要な発見も提供しています。
企業のSIEMツールは昨年カバレッジを2%増やしましたが、MITRE ATT&CKフレームワークにリストされている敵対者が使用する技術のうち、わずか21%しか検出カバレッジを持っていません。
平均して、既存の検出ルールの約13%が機能しておらず、誤ったデータソースや欠落したログフィールドなどの理由でアラートをトリガーできません。この数値は2024年から5%減少しましたが、それでもアクティブな脅威が検出を回避することを許す壊れたルールの重要な部分です。
さらに、CardinalOpsは大量のデータが十分に活用されていないことを発見しました。SIEMツールは平均して259種類のログタイプとほぼ24,000のユニークなログソースを処理しており、90%以上のMITRE ATT&CK技術を検出するのに十分なリソースを提供しています。しかし、報告書は、検出エンジニアリングの手動プロセスがエラーを起こしやすく、検出カバレッジの能力を制限していると述べています。
ルールの開発と検証における自動化の欠如により、組織は脅威の急速な発展に追いつくのに苦労していると、CardinalOpsは述べています。
「5年間のデータは厳しい現実を物語っています:組織は膨大なデータを抱えているにもかかわらず、最も重要な脅威を検出するために必要な可視性を欠いています」と、CardinalOpsのCEO兼共同創設者であるMichael Mumcuoglu氏はプレス声明で述べています。「明らかなのは、従来の検出エンジニアリングのアプローチが破綻しているということです。AI、自動化、検出の健康状態の継続的な評価を活用できなければ、企業は現代のSIEMプラットフォームや高度なテレメトリを持っていても危険にさらされ続けるでしょう。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/siems-missing-mark-mitre-techniques