財政に関する議論は予算サイクル全体を通じて静的なままです。経営陣またはCFOの前に立つとき、セキュリティ支出を正当化するという課題に直面します。残念ながら、従来のセキュリティの物語は過去を基盤としています。検出された脅威をカタログ化します。「これを捉えた」「あれをブロックした」「開始後に停止したものはこれだ」。その結果は投資利益率ではなく、インシデント後の要約です。むしろ「損害評価」に過ぎません。
より説得力のある物語が利用可能になりました。それは1つの質問から始まります。攻撃が企業の境界に到達する前に無力化できたらどうでしょうか?
先制的なサイバー防御は攻撃が境界に到達する前に機能し、ほとんどのセキュリティリーダーがまだ話していない最も防御可能なROIストーリーです。
定義
先制的なサイバー防御が実際に意味することです。
先制的
攻撃が開始される前に機能する防御です。
真の先制防御は敵対者インフラを実行の準備段階で特定し、検証済みの将来攻撃の指標(IOFA)を使用して、実行の数週間から数ヶ月前に機能します。
依然として反応的
より速い検出は先制ではありません。
自動化されたトリアージ、高速対応、AI支援の優先順位付け。これらは効率向上であり、防止ではありません。ツールが攻撃者が境界に到達する前に動作する必要があれば、より速く反応しているだけです。脅威はすでに到着しています。
この区別がROIに重要です。 打ち上げ前にブロックされたインシデントは侵害ログに表示されず、規制通知をトリガーせず、修復コストを生成しません。
「ゼロ患者」のジレンマと防御の隙間
レガシーセキュリティスタックでは、侵害の指標(IOC)がSIEMアラートをトリガーするまでクロックは開始されません。その時点で、敵対者はすでに仕事を完了しています。インフラが登録され、経年変化し、検証されています。悪意のあるキャンペーンはテレメトリに浮上する前に数ヶ月間ステージングされることがよくあります。
従来の防御モデルは、保護を有効にするために「ゼロ患者」に依存しています。ネットワーク内のアセットが侵害される前に、防御が有効になります。脅威アクターはすでにインフラを最終化し、キャンペーンを開始し、チームがそれを見る前にターゲットへの影響を開始しています。
あなたのアナリストは才能があり、ツールは有能です。しかし、彼らはタイムラインの間違った部分を監視しています。
攻撃タイムライン
防御がどこで開始するかが重要です。
Silent Pushはここでそれを見る
レガシーツールはここでトリガーされる
インフラ
ステージング
IOFAが発行されました。今ブロックしてください。
キャンペーン
最終化
攻撃者が打ち上げの準備ができています。
最初の被害者
ヒット
IOCが現在存在します。SIEMが発火します。
公開
開示
従来のフィードが公開します。
ステージングと開示の間のウィンドウは、リスクが実際に低減される場所です。3番目のノードで開始するセキュリティモデルはすべて、すでに発生した損害に反応しています。
先制防御の定義:セキュリティのROI計算をシフト
先制防御はキルチェーンの完全に異なる段階で動作します。内部アラートを待つ代わりに、グローバルインフラを継続的にマッピングし、ドメイン登録、サーバー展開、DNS解決、および証明書ローテーションを監視して、キャンペーンステージング中に敵対者が使用する行動パターンを分離します。
Silent Push Context Graphは、良性インフラと悪意のあるインフラを並行して分析することでこれを実行します。新興パターンが既知のTTPと一致する場合、プラットフォームは将来攻撃の指標®(IOFA)を生成します。これらは、武器化する前にステージングエリアがアクティブであることを検証可能な信号です。
業界がそれを必要としたため、私たちはこれを構築しました。すべてのセキュリティチーム、すべての脅威インテリジェンス機能、すべてのIRチームは、基礎となるデータが存在しないため、より努力する必要があります。Context Graphはその基盤です。
Ken Bagnall
CEO兼共同創設者、Silent Push
実際の違い:IOFAをSIEMワークフローに統合した1つのフォーチュン500企業の顧客は、平均リード時間104日を達成しました。それは、レガシーツールで単一のアラートが発火する前に、敵対者インフラを3ヶ月前に特定しています。
経営陣向けのROIケース
平均検出時間(MTTD)と平均修復時間(MTTR)は、先制防御が劇的に最適化する標準的なパフォーマンス指標です。脅威がステージング段階中に無力化されると、検出はライフサイクルの早い段階で発生し、対応は修復から積極的なブロックへとシフトします。
しかし、最も説得力のあるメトリックは、発生源でのリスク軽減です。打ち上げ前に無力化されたすべてのキャンペーンは、ログに記録されることのないインシデント、規制通知をバイパスし、完全に侵害コストを回避します。これは、リスク低減における測定可能で運用上の削減です。
既存の脅威フィードはどうですか?標準的な脅威フィードはIOC、つまりすでに発生した攻撃の法医学的アーティファクトを提供します。彼らは何が起きたかを確認します。IOFAとSilent Push早期検出フィードは、現在のスタックが見る前にアップストリームで準備されているものを特定します。
検出リード時間
IOFAが実際の脅威をどれだけ早く見るか。
104
すべての脅威タイプにおける平均早期検出リード時間(日数)
300+
高度な永続的脅威インフラで達成されたリード時間(日数)
| 脅威アクター | 指標タイプ | 脅威タイプ | 検出リード時間 |
|---|---|---|---|
| FIN7 | ドメイン | APT | 305日 |
| Lazarus Group | IP | APT | 142日 |
| PoisonSeed | ドメイン | Eコマース犯罪 | 132日 |
出典:Silent Push脅威チェック — silentpush.com/blog/threat-check
複利化するセキュリティ
先制的なサイバー防御は既存のセキュリティツールを置き換えるのではなく、その上に構築され、時間とともにセキュリティ体制を向上させます。Context Graphを通じた調査は、実際の敵対的行動からの洞察をもたらします。そのキュレーションされたインテリジェンスはコンパウンド資産となり、すべてのサイクルで制御と優先順位付けを洗練させます。
通常は減価償却される従来のセキュリティ支出とは対照的に、先制防御は継続的な改善ループを可能にし、可視性は対応とインテリジェンスを加速させます。セキュリティは、切り離されたイベントの一連ではなく、学習システムになります。
経営陣にとって、それは単なる年間費用正当化を超えた長期的価値を表しています。
新しいツール、新しいカテゴリー
アナリストと研究企業は、先制的なサイバー防御をそれ自体のカテゴリーとして定義し始めています。Silent Push Context Graphと独自のIOFAの基本的な機能は、標準的なレピュテーションスコアまたは商品の脅威フィードでは複製できないものです。IOFAはサブネットとホスティングプロバイダー全体で敵対者が一貫して使用する運用TTPに根ざしており、信号とそれに構築されたROIストーリーを本当に信頼できるものにしています。
今日先制防御を採用しているリーダーは、単なる技術的問題を解決するだけではありません。彼らは何が発生したかを説明することから、何が正常に防止されたかを実証することへ、経営陣の議論を進化させています。
それはすべての予算サイクルで語る価値のあるストーリーです。
無料の「Shifting Left」ホワイトペーパーでより詳しく
セキュリティチームがContext GraphとIOFAを使用して先制的防御を運用化し、脅威が境界に到達する前に脅威を無力化する方法について詳しく学んでください。
Silent Pushはツールの統合にどのように役立ちますか?
Context Graphは統合インテリジェンスソースとして機能します。断片化されたフィードとノイズの多い確率的信号を管理する代わりに、DNS、WHOIS、ホスティングテレメトリ全体のデータを事前相関させて、決定論的な帰属に相関させます。これにより、SIEMおよびSOARプラットフォームにクリーンで検証されたコンテキストが配信され、アナリストの負担とツール蔓延が削減されます。
報告できるボードレベルのメトリックは何ですか?
MTTD/MTTR削減と実行前段階で無力化された脅威の量に焦点を当ててください。104日の早期検出リード時間は、先制的利点を実証するための具体的なベンチマークです。Silent Pushは、アップストリームで無力化されたインフラについて報告することを可能にします。ほとんどのスタックは単に提供できない可視性です。
スタックとどのように統合されますか?
Silent Pushは、Threat Check APIを含むマシン可読APIを介してシームレスに統合されます。SIEMおよびSOARプラットフォームに直接フィードして、トリアージと濃縮を自動化します。これにより、エージェントワークフローがアラート検証とノイズ抑制用のIOFAを消費でき、既存のツールを重要な先制的層で強化できます。
翻訳元: https://www.silentpush.com/blog/cybersecurity-roi/
