セキュリティチームは見慣れた日常を知っています。セキュリティ情報とイベント管理(SIEM)システムでアラートがトリガーされ、指標が悪意あるかどうかを判断するための手動による混乱が始まります。チームメンバーが複数のポイントツール間をピボットし、外部の脅威フィードを更新し、単一の観測可能性を調査するために内部スプレッドシートを相互参照するため、「ブラウザタブオリンピック」が続きます。これはツール統合の混乱の隠された代償へようこそ。防御者の間では口語的に「ピボットペナルティ」として知られています。
技術的真実が分断されたサイロに散在
組織のデータが個別のSIEM、脅威インテリジェンスプラットフォーム、EDRツール全体に存在する場合、単一のコンテキストソースはありません。調査が遅くなり、平均検出時間(MTTD)と平均対応時間(MTTR)の両方が低下します。SOC分析者は手動での作業に時間を失い、インシデント対応(IR)チームは同じインシデントを頻繁に再検討し、脅威の全体的な範囲を理解しようとします。
IBMの2025年データ侵害コスト報告書によると、組織がデータ侵害を特定して封じ込めるのに平均241日かかり、これは9年ぶりの低さで、グローバル平均侵害コストは444万ドルです。米国では、その数字はさらに高くなります。米国の組織は現在、1件の侵害あたり1,022万ドルの記録的な平均に直面しています。遅延の1日が損害を複合します。
フラグメンテーションのフラストレーション
Panaseer 2022年セキュリティリーダーピアレポートによると、平均的な組織は76のセキュリティツールを管理しており、これはクラウド導入とリモートワークへのシフトにより19%増加しています。各ツールは保護するために購入されましたが、まとめるとしばしば重大な可視性ギャップを生み出します。チームはセキュリティスタックが自動的に処理すべきデータを手動で再構築するのに貴重な時間を浪費しています。
その手動再構築はワークフローのボトルネックであり、人的コストは実在します。Tinesレポートによると、SOC分析者の71%がバーンアウトを報告しており、アラート疲れが主な原因として挙げられています。SANS 2024 SOCサーベイでは、SOCチームの66%が受け取るアラートの量に対応できないと述べています。シニア分析者が手動調査に時間を費やしているとき、チームは永遠に遅れを感じ、離職が続きます。
コアブラインドスポット
ほとんどの従来型セキュリティソリューションは、内部テレメトリまたは過去の障害の成果物(侵害の指標(IOC)として知られているもの)に焦点を当てています。問題はIOCが既に起こったことのみを反映していることです。それはあなたが既に負けている可能性のあるマッチの記録です。
レガシーツールは準備段階全体を見落とし、完全に展開された敵に対する反応的な競争に組織を強制します。敵がどのようにインフラストラクチャを構築および段階化するかについての上流の可視性がない場合、チームは攻撃の基盤が築かれた後ずっと長くアラートに対応するサイクルに閉じ込められたままです。
コンテキストグラフでピボットペナルティを排除
効果的な防御は、単により速く反応するのではなく、敵対的な行動を早期に特定することを意味します。調査が始まる前に相関作業を行うことでピボットペナルティを除去します。
当社のプラットフォームはコンテキストグラフの上に構築されており、グローバルインターネットデータセットを継続的にマップして、敵のインフラストラクチャが段階化される際に識別するエンジンです。アクティブなDNSレコード、WHOIS履歴、SSLサーティフィケート、およびウェブコンテンツ全体の技術的関係を自動的に事前に相関させます。
敵がキャンペーンを構築および運用する方法と一致する管理パターンが浮かび上がると、コンテキストグラフはそれを将来の攻撃の指標®(IOFA)に変換します。これは誰に対してもまだ使用されていない現在存在する段階的な基盤の検証済みシグナルです。
結果は自らを語っています。フォーチュン500のメディア・エンターテイメント企業での実世界の展開では、当社のプラットフォームは平均104日の検出リードタイムを提供し、中央値リードタイムは117日でした。場合によっては、リードタイムは200日を超えていました。FIN7、Lazarus、およびSapphire Sleetを含むグループからの脅威は、それらの指標が顧客のSIEMに現れるのに数ヶ月前に当社のデータセットで識別されていました。
ツール全体でシグナルを手動で接続する代わりに、10以上のデータタイプを単一のビューに統合し、観測可能性を70~100以上のコンテキスト属性と独自のリスクスコアで充実させています。これにより手動での作業が排除され、チームは単一の指標を数分ではなく数秒で敵対者キャンペーン全体にリンクできます。
確率ベースの推測から決定論的な技術的真実への移行により、セキュリティチームは3つの特定の成果を達成できます。
加速されたトリアージ。手動データ収集を単一クリック検証に置き換え、任意のIPアドレスまたはドメインを検証します。
アラートノイズの削減。低忠実度シグナルを抑制し、検証された攻撃者制御インフラストラクチャにのみエネルギーを集中させます。
侵害前に無力化。段階化フェーズ中の悪意のある管理パターンを識別して、脅威があなたの周辺に到達する前にブロックします。
爆発の左側に移動し、侵害が発生する前に戦略を実行することは、現代の防御の基盤です。ツール拡散とそれに伴うピボットペナルティを排除することで、チームは最終的に分析者に手動データ入力ではなく戦略的なハンティングに焦点を当てる容量を与えることができます。
始める
Silent Pushの先制的サイバー防御プラットフォームについて詳しく知りたいですか?
当社のプラットフォーム専門家の1人に話しかけて、Silent Pushがチームの脅威をあなたの周辺に到達する前に無力化するのにどのように役立つかを確認してください。
また、無料のコミュニティエディションを提供しており、セキュリティプラクティショナーと研究者にSilent Pushプラットフォームとデータセットへの入門的なアクセスを与えています。
よくある質問
セキュリティオペレーションセンターのピボットペナルティとは何ですか?
ピボットペナルティは、分析者が単一のアラートを検証するために異なるセキュリティツール間を移動するときに失われる時間です。Panaseer 2022年セキュリティリーダーピアレポートによると、組織は平均76のセキュリティツールを管理し、チームがSIEM、スプレッドシート、脅威フィードを手動で相互参照することを強制しています。このフラグメント化されたプロセスは調査を遅くし、分析者のバーンアウトに貢献しています。
ツール拡散はインシデント対応時間にどのように影響しますか?
ツール拡散はデータサイロを作成することでMTTDとMTTRを増加させます。IBM 2024年データ侵害コスト報告書によると、組織が侵害を特定して封じ込めるのに平均258日かかります。技術的コンテキストが接続されていないプラットフォーム全体に散在しているため、分析者は数時間データを手動で再構築するのに費やし、敵にアンダーテクテッドで動作するより多くの時間を与えています。
将来の攻撃の指標(IOFA)とは何ですか?
将来の攻撃の指標は、セットアップフェーズ中の悪意のあるインフラストラクチャを識別するプロアクティブシグナルです。過去の侵害を記録する従来の指標とは異なり、IOFAは攻撃が開始される前の数週間または数ヶ月前に攻撃者の段階的な基盤を公開し、セキュリティチームが脅威をブロックできるようにします。
コンテキストグラフは手動データ収集をどのように減らしますか?
コンテキストグラフはグローバルインターネットデータを継続的にマップして、攻撃者の行動パターンを識別します。DNSレコード、サーティフィケート、ウェブコンテンツ全体の数十億のシグナルを接続し、ポイントツール全体の手動ピボットを必要とせずに分析者に決定論的な技術的真実を提供します。1つの文書化された展開では、これは従来のSIEMベースのアプローチよりも中央値117日の検出リードタイムに変換されました。
なぜ決定論的データは確率スコアより優れているのですか?
決定論的データは推論スコアではなく明確な答えを与えます。確率スコアは低信頼度アラートの大量を生成し、ノイズと分析者の疲労に貢献します。検証された技術的コンテキストにより、組織は既知の敵インフラストラクチャに基づいているため、確信を持って防御アクションを自動化できます。
翻訳元: https://www.silentpush.com/blog/pivot-penalty/
