出典: Luis Moreira via Alamy Stock Photo
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)とオーストラリアサイバーセキュリティセンター(ACSC)は今週、セキュリティ情報およびイベント管理(SIEM)とセキュリティオーケストレーション、自動化、および応答(SOAR)プラットフォームの調達、実装、および保守に関する新しいガイダンスを発表しました。
SIEMとSOARは、組織がファイアウォール、エンドポイント、アプリケーションからデータを収集し分析することで、サイバーセキュリティインシデントをより良く検出し対応するのを助けます。しかし、多くの組織は、実装と展開において重大な課題に直面しており、これには多大なコストと継続的な保守の必要性が含まれます。ガイダンスでは、これらは「設定して忘れる」ツールではないと指摘されています。
これらのプラットフォームは、特に個人を特定できる情報や個人の健康情報が攻撃者にとって非常に魅力的であるため、組織が大量のデータを保存し管理する中でますます重要になっています。成功したランサムウェア攻撃やデータ侵害は続いており、最近では英国の著名な小売業者に対する攻撃が含まれています。昨年は、United HealthのChange Healthcareに対する攻撃により、影響を受けた個人が190,000万人に達したと報告され、過去最高のデータ侵害通知がありました。
さらに、組織のインフラストラクチャが拡大しており、可視性と脅威の検出がより困難になっています。攻撃者が悪用できるエンドポイント、アプリケーション、サードパーティベンダー、リモートワーカーが増えています。
関連記事:各国がNATOのLocked Shieldsサイバー防衛演習を開始
経営者向けガイダンス
実装は「広範で継続的なプロセス」であり、高度なスキルを持つ人材が必要です。政府のガイダンスでは、セキュリティイベントに対する適切なアラートとアクションに関連する2つの主要な技術的課題にセキュリティチームが直面する可能性があると指摘されています。経営者は、サイバーセキュリティインシデントが発生しているときにのみプラットフォームがアラートを送信することを確認する必要があります。なぜなら、セキュリティチームが増大する脅威に対処する中で時間が重要だからです。
政府機関は、SOARプラットフォームを運用することを考える前に、SIEMが適切に実装されていることを経営者に確認するよう促しました。この場合の「適切に」とは、SIEMが正確なアラートを生成していることを意味します。同様に、パフォーマンステストも重要です。
実装コストが大きいため、経営者は「異なる製品間での潜在的な隠れたコスト」を探すべきです。隠れたコストは、セキュリティチームがプラットフォームに投入するデータ量に関連しており、ベンダーの価格モデルはデータの取り込みに基づいています。また、トレーニングコストなどの継続的な実装コストも経営者が管理する必要があります。
最後に、組織はSOARおよびSIEMの実装を社内で行うことで、ネットワークやビジネスプロセスを十分に理解するためのコントロールを持つことができるかもしれません。アウトソーシングは、可視性のギャップ、作業の重複、コミュニケーションの困難を引き起こす可能性があると、機関は警告しています。
関連記事:Microsoftがセキュリティ文化の刷新で着実な進展を主張
ベースラインの確立の重要性
多くの経営者向けガイダンスは実務者にも適用されますが、いくつかの際立った点があります。機関が「通常業務のベースライン」と呼ぶネットワーク活動を確立することは、実務者にとって重要な実装ステップです。プラットフォームは、組織の環境での通常の状態を理解する必要があり、悪意のある活動を正確に検出し対応するためです。
つまり、インストールされたツールとソフトウェア、アカウントの挙動、ネットワークトラフィック、システム間の通信を評価することを意味します。同様のガイダンスは、ベースラインのログ記録とアプリケーション標準にも適用されます。実装の範囲を定義することも、高リスク領域に焦点を当てるために重要です。
AIがガイダンスから欠けている項目であると、Exabeamの最高AIおよび製品責任者であるスティーブ・ウィルソン氏は述べています。すべての脅威アクター、国家も含めて、最先端のAIモデルにアクセスし、フィッシングやアイデンティティの脆弱性を自動化するためにそれらを使用しています。「ガイダンスへの最大の改善は、サイバーセキュリティにおけるAIの軍拡競争に突入していることを認識することです」とウィルソン氏は言います。「現代のSOCはもはや人間のトリアージや基本的な相関ルールに頼ることはできません。より高度な技術が必要です。異常検出だけでなく、調査の自動化、対応のガイド、およびますます迅速に動く敵に対抗するための競争条件の平準化のために。」