SOC自動化を支える脅威インテリジェンスフィード ― 新たなリスクを生まずに実現する方法 

セキュリティ運用センターは、これまでにないスピードで自動化を進めています。

アラートは自動的にエンリッチメントされます。ドメインは人間の承認なしにブロックされます。エンドポイントは隔離されます。チケットは作成、優先順位付け、チーム間のルーティングまで自動で行われます。AIアシスタントは調査内容を数秒で要約します。

紙の上では、現代のSOC(セキュリティオペレーションセンター)はますます自律的に見えます。

しかし、この自動化の裏には単純な真実があります。自動化は意思決定を行いません。決定を実行するだけです。

その決定が古い、不完全な、あるいは信頼性の低い脅威インテリジェンスに基づいている場合、自動化はリスクを減らすどころか、機械的な速度でミスを拡散させることになります。

CISOにとってもはや問うべきは「自動化すべきか」ではありません。

問うべきは「自動化を動かしているインテリジェンスを信頼できるか」です。

自動化は反復的な作業を得意とします。アラートのエンリッチメント、イベントの相関付け、悪意あるインフラのブロック、プレイブックの実行、対応者への通知を数秒で行うことができます。

しかし、自動化には大きな限界が一つあります。受け取った情報が正確かどうかを判断できないという点です。悪意あるIPが正しく特定されていれば、自動化はアナリストがケースを開く前に攻撃を止められるかもしれません。

しかし、無害なクラウドサービスが誤って悪意あるものと分類されてしまえば、自動化は同じ速さで正当な業務運用を妨害してしまう可能性があります。

自動化は、投入されたインテリジェンスをそのままスケールさせます。

優れたインテリジェンスはより優れた セキュリティを生み出します。質の低いインテリジェンスは、より速いミスを生み出します。

セキュリティ自動化のワークフローの多くは、おなじみの成果物から始まります。

そこからSOCは、一連の自動的な意思決定を実行します。

それぞれの答えは脅威インテリジェンスに依存します。信頼できるインテリジェンスがなければ、自動化は台本化された仮定の寄せ集めに過ぎなくなります。

自動化が失敗すると、組織はしばしばワークフローを非難します。しかし実際には、ワークフローは設計どおりに動作していたに過ぎないことがあります。問題はその背後にあるインテリジェンスにあったのです。

攻撃者はクラウドプロバイダー、CDN、コラボレーションプラットフォーム、公開ホスティングサービスをますます悪用するようになっています。弱い指標に基づいてIP範囲全体をブロックすると、正常な業務活動を中断させてしまう可能性があります。

信頼度の低い指標は、本物の脅威がキューに残ったままTier 2のリソースを消費する高コストな調査を引き起こしかねません。

古いインテリジェンスは、最近展開された攻撃者インフラを認識できない場合があります。その結果、自動化は根拠となる証拠がないため、悪意ある活動を黙って許してしまいます。

アナリストが自動化による質の低い提案を繰り返し目にすると、やがて自動エンリッチメントそのものを無視するようになります。自動化が無効化されるよりもずっと前に、信頼は失われてしまうのです。

すべてのIOCが同じ対応を引き起こすべきではありません。セキュリティチームは、複数の観点からインテリジェンスを評価する必要があります。

信頼度のレベルが異なれば、異なるプレイブックを適用すべきです。

これにより、自動化は二者択一ではなく、より豊かな意思決定を行えるようになります。

同じドメインを含む2件のアラートを想像してみてください。コンテキストがなければ、両者は同一に見えます。しかし脅威インテリジェンスがあれば、一方は次のような事実を明らかにするかもしれません。

両方とも同じ種類のIOCを含んでいますが、即座に自動対応すべきなのはそのうち一方だけです。

コンテキストこそが、自動化を単なる盲目的な実行から区別するものです。

効果的な自動化は、迅速かつ実用的なインテリジェンスに依存しています。

ANY.RUNのThreat Intelligence Feedsは、ANY.RUN Sandboxで観測されたマルウェアやフィッシング活動から得られる指標を継続的に提供します。分析されたサンプルのそれぞれが、実際の攻撃に関連するIPアドレス、ドメイン、URL、ネットワークアーティファクト、行動指標といった悪意あるインフラに関する新鮮なインテリジェンスをもたらします。

このインテリジェンスは静的なレピュテーションリストのみに頼るのではなく、実際のマルウェア分析から得られるため、セキュリティチームは現在の攻撃者インフラや進化するキャンペーンを反映した指標にアクセスできるようになります。

セキュリティチームが最も重要な脅威に集中できるよう支援しましょう。
ANY.RUN Threat Intelligence Feedsを使用して、エンリッチメントを自動化し検知精度を向上させましょう。

Threat Intelligence Feedsは、SIEM、SOAR、EDR、XDR、TIP、ファイアウォールなどのセキュリティプラットフォームと直接統合し、組織がアラートのエンリッチメント、検知チューニング、IOCブロッキング、脅威ハンティング、インシデント対応ワークフローを自動化できるようにします。

アナリストが自動化された判断を検証したり、指標をさらに深く調査したりする必要がある場合、ANY.RUNの Threat Intelligence Lookup が即座にコンテキストを提供します。

単一のIOCから、アナリストは関連するマルウェアサンプル、インフラ、観測された挙動、脅威ファミリー、初回・最終確認日時へとピボットでき、自動化が正しい結論に達したかどうかを確認する助けになります。

これらが組み合わさることで、ANY.RUN Sandbox、Threat Intelligence Lookup、Threat Intelligence Feedsは継続的なインテリジェンスサイクルを生み出します。

このアプローチはアナリストを置き換えるのではなく、反復的な作業を自動化に任せることで、アナリストが人間の判断を必要とする調査に集中できるようにするものです。

組織はしばしば、プレイブックの数、統合の数、あるいは削減された作業時間で自動化を評価します。これらの指標も重要です。しかし、それらはより根本的な問いを見落としています。

アナリストは、SOCが下す自動化された判断を信頼しているでしょうか。

信頼は、自動化が一貫して関連性のある脅威を検出し、不要な調査を減らし、なぜその対応が取られたのかをアナリストが理解できるだけの十分なコンテキストを提供することで、初めて獲得されるものです。

その信頼は、あらゆるワークフローの背後にあるインテリジェンスから始まります。

なぜなら、現代のSOCにおいて、自動化の質は最終的にそれを動かす脅威インテリジェンスの質によって決まるからです。

信頼できるインテリジェンスの上に自動化を構築しましょう。ANY.RUN Threat Intelligence Feedsを使って継続的に更新される脅威データで検知と対応を強化し、Threat Intelligence Lookupで不審な指標を調査し、ANY.RUN Sandboxでの実際のマルウェア分析から得られるインテリジェンスであらゆるワークフローを強化しましょう。

SOCに、自信を持って行動するために必要なインテリジェンスを与えましょう。
ANY.RUNのThreat Intelligence Feedsを活用して、ノイズを減らし業務効率を向上させましょう。

翻訳元: https://cyberpress.org/how-threat-intelligence-feeds-power-soc-automation-without-creating-new-risks/

ソース: cyberpress.org