英国の組織は、サイバー脅威を検知する「国家的能力向上という重要な取り組み」において、可観測性と脅威ハンティングを改善しなければならないと、国家サイバーセキュリティセンター(NCSC)が促しています。
NCSCのCTOであるオリー・ホワイトハウス氏は、昨日のブログ投稿で、これらの分野において「依然として大きな能力の差がある」と述べました。
「可観測性と脅威ハンティングは、現代のサイバー防御の中核であり、相互に依存する要素です」と彼は付け加えました。
「これら両方の能力を成熟させることが、我が国のサイバー・レジリエンスを強化するために不可欠です。」
可観測性は効果的な脅威ハンティングの基盤であり、「見えないものは追跡できない」と彼は主張します。しかし、多くの組織はアカウントの活動、デバイス、ネットワーク、アプリケーション、クラウドサービスに対する包括的な可視性を持っていない可能性があります。シャドーITもこれらの取り組みを複雑にする場合があると、ホワイトハウス氏は述べています。
NCSCガイダンスの詳細はこちら:NCSC、英国重要インフラのレジリエンス強化のためサイバー評価フレームワークを更新
組織がすべての資産からデータを収集している場合でも、効果的な脅威ハンティングを行うために高度な分析を適用できないことが多いと、彼は付け加えました。
これらの課題に対処するため、NCSCはセキュリティチームに以下を推奨しています:
- ネットワーク、ホスト、デバイス、オンプレミスおよびクラウドサービスにまたがるシステムの可視性を最大化し、統合データセットを横断的にクエリできる能力を高めること
- テクノロジーベンダーに対し、監視と調査の向上を支援するシステム構築に関するNCSCガイダンスの遵守を促すこと
脅威ハンティングの成熟が求められる時
NCSCは脅威ハンティングを改善するためのいくつかのヒントも共有しています。組織に対して以下を推奨しています:
- IPアドレス、ドメイン名、ファイルハッシュなどの侵害指標(IOC)だけに頼らないこと。なぜなら、攻撃者はこれらのシグナルを迅速に変更または隠す技術(例えばLiving-off-the-land手法)を向上させているためです。
- 「攻撃者が何を使うか」だけでなく「どのように行動するか」を明らかにする戦術・技術・手順(TTP)の活用を進めること。そのためには、システム全体の包括的な可視性、検索や相関が可能なインフラ、攻撃者の行動や目的に基づいて「仮説を構築・検証できる」ネットワーク防御担当者が必要です。
「組織、またはサービス提供者は、IOCを取り込んで検知するだけでなく、TTPを消費・作成・共有・検知できる能力も脅威ハンティングにおいて持つべきです」とホワイトハウス氏は述べました。
「この二重のアプローチは、リアクティブ(受動的)およびプロアクティブ(能動的)なセキュリティ能力の両方を強化し、高度な敵対者に対する全体的なレジリエンスを向上させます。」
また、セキュリティ機関は、脅威ハンティングに苦戦している組織を支援するためにNCSC認定のインシデント対応プロバイダーリストや、より進んだ組織向けにアプローチの妥当性を検証するためのサイバー攻撃者シミュレーション(CyAS)スキームの活用も推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/ncsc-observability-threat-hunting/
