高度な脅威行為者は常に検出の一歩先にいるようであり、従来のサイバーセキュリティツールを使用しているディフェンスチームは対応するのに苦労しています。
数十年の間、レガシーセキュリティプラットフォームは主に企業の内部ペリメーターに限定されており、侵害後の活動と以前の攻撃の歴史的成果物に焦点を当てていました。
先進的な先制サイバー防御技術は、AI駆動型セキュリティワークフローに供給される基本的な真実を提供することで、従来の防御方法を進化させています。これにより、セキュリティオペレーションセンター(SOC)チームに、敵対者インフラストラクチャを軽減するために、レガシーソリューションよりも大幅に長いリード時間を提供します。
「Patient Zero(患者ゼロ)」
これらの反応型モデルは「患者ゼロ」の依存性に関連しています。もともとは1980年代の疫学的医学追跡で使用される「最初に特定された」または「主要なケース」として定義されていましたが、サイバーセキュリティでは、マルウェアがネットワークにどのように進入したかを特定する際の重要なステップを指しています。
従来のサイバーセキュリティプラットフォームについて議論する場合、「患者ゼロ」とは、防御に必要なブロックリストまたは署名を生成するために必要な初期被害者を指し、通常、ペリメーター内で侵害された被害者が見つかった後にのみ対策が開始されるためです。
レガシーシステムが敵対者を特定する時点では、脅威行為者はすでにインフラストラクチャを最終化し、キャンペーンを開始し、ターゲットへの影響を開始しています。
この従来の反応型サイクルを打ち破るために、組織は反応型モデルと手動の相関関係から、より積極的で決定論的なアプローチへと移行する必要があります。これは先制サイバー防御で実現されます。
AIによるレガシー防御の進化
先制サイバー防御はレガシーソリューションを置き換えるためではなく、それらを進化させます。
先制サイバー防御は、脅威がアクティブな攻撃として現れる前に防ぐために設計されています。従来の反応型セキュリティとは異なり、Silent PushはインターネットのContext Graphを開発しており、敵対者インフラストラクチャはその重要な用途です。先制サイバー防御では、Context Graphは将来の攻撃の指標®(IOFA®)を生成して、悪意のあるキャンペーン開発の最初の段階であるステージング段階で敵対者が構築するグローバルインフラストラクチャをマッピングします。
当社の先制サイバー防御プラットフォームは、Insight、Reconnaissance、Defendの3つのコアモジュールで構成されています。それらは一緒に、迅速なトリアージ、プロアクティブな脅威検出、および様々な業界全体の自動ブロッキングを促進します。各モジュールは、SOC、インシデント対応(IR)、サイバー脅威インテリジェンス(CTI)アナリストを含むセキュリティチームを、確率的リスクスコアから検証可能な決定論的事実へと移動させるように設計されています。
タクティカルユーザーにグラウンドトゥルースデータを提供することで、プラットフォームはCISOとエグゼクティブリーダーシップが測定可能なリスク削減と戦略的制御を達成できるようにし、セキュリティ投資を正当化し、組織のレジリエンスを維持します。
SOCチームへの権限付与
SOCチームが敵対者に対して重大な戦略的利点を得るためのゲーム変化的なリード時間を提供し、先制サイバー防御はSOCマネージャーに新しいレバレッジを与えます。早期検出のリード時間は、敵対インフラストラクチャが武装化される100日以上前に達することが多いです。
フォーチュン500メディアおよびエンターテインメント企業と協力して、当社の先制モデルを使用する組織が平均104日の早期検出リード時間を達成できる方法を実証するために、「Silent Push Threat Checkを使用して敵対者を3か月前に検出する」というケーススタディを開発しました。
Silent Push Threat Checkテクノロジーをセキュリティ情報およびイベント管理(SIEM)ワークフローに組み込むことで、クライアントはセキュリティアラートを処理する方法を変えました。
同社のSOCチームは、攻撃者インフラストラクチャに対して数週間早い可視性を獲得し、調査を効率化し、当社の先制サイバー防御ソリューションへの投資から測定可能な成果を達成しました。
SOCチームへの利点
より長いリード時間により、SOCチームはIOFAを使用したトリアージ時間を改善できます:
- 攻撃前にインフラストラクチャをブロックします。
- インシデントのスコープを定義します。
- Context Graphを利用して、独自のIOFA作成を有効にします。
- 偽検知率を大幅に削減することでアラート疲れに対抗します。
継続的なセキュリティ態勢の改善
先制サイバー防御は、組織を反応型から積極的な態勢へとシフトさせ、脅威をより早く検出および破壊することを可能にします。IOFAを内部テレメトリと組み合わせ、調査結果を検出および防止ワークフローにレバレッジすることで、組織は継続的な改善ループを作成できます。結果は、より早い可視性、より速い応答時間、および継続的に改善されるセキュリティ態勢です。
先制サイバー防御を採用することで、組織は単に調査と対応を加速するだけではなく、セキュリティチームが独自の先制インテリジェンスを生成できるようにします。実施された各調査は、その環境内で観察された実際の活動から派生した洞察を提供します。
キュレーションおよび運用化されると、これは時間とともに複合される情報源を提供します。コントロールを強化し、検出を改善し、優先順位付けを改善します。セキュリティは、孤立したインシデントの一連ではなく、相関と学習のフィードバックループになります。
CISOの場合、これは検出までの平均時間(MTTD)と対応までの平均時間(MTTR)における測定可能な削減に変換されます。全体的なインシデントが少なく、既存のセキュリティ投資の収益がより大きくなります。SOCリーダーとアナリストの場合、ノイズが少なく、コンテキストが明確になり、アクションが早くなります。先制アーキテクチャはセキュリティスタックを置き換えるために設計されていません。代わりに、それを活性化し、今日のツールを、より早く見え、決定的に行動し、継続的に改善される調整されたシステムに変えます。
はじめに
Silent Push先制サイバー防御プラットフォームの戦略的利点の探索に関心がありますか?当社のプラットフォーム専門家の1人に接続して、Silent PushがどのようにあなたのSOCチームが企業ペリメーターに到達する前に敵対インフラストラクチャを中和することに力を与えるかを発見してください。
また、セキュリティ実務者と脅威研究者にSilent Push Context GraphとSpecialized Datasetsへの入門的なアクセスを提供する無料のCommunity Editionも提供しています。
よくある質問
- IOFAとは何ですか?
Silent Push将来の攻撃の指標(IOFA)により、セキュリティチームは敵対者インフラストラクチャを即座にブロックでき、組織は迅速に対応し、影響を受ける前に攻撃者のアクションを中断することができます。
- Context Graphは脅威フィードとどのように異なりますか?
当社のContext Graphは、本質的には、グローバルエンティティ間の深く接続された、行動的、および歴史的関係を明らかにするインターネットの包括的なマップを提供することで、標準的な脅威フィードを超えた根本的な進化を表しています。
従来のフィードは既知の悪意のある指標の静的リストを提供するのに限定されている(「何が」悪いかを特定する(侵害の指標(IoC)など))一方、Context Graphは特定のインフラストラクチャがリスクをもたらす「理由」を説明するグラウンドトゥルースデータを提供します。ステージング活動と時間的データをマッピングすることで、SOCチームを反応型アラートから予測的で先制的なサイバー防御へシフトさせます。
- Silent Push Context Graphは私のSIEMと統合されていますか?
Silent Push Context Graphは、堅牢なAPI、TAXIIフィード、Splunkなどのネイティブ統合を通じて、SIEM、SOAR、TIPプラットフォームを含むセキュリティスタック全体にシームレスな統合を促進します。IOFAと豊富なコンテキストデータを既存のワークフローに直接取り込むことで、組織は自動化の豊かさ、決定論的事実を使用したアラート検証、および手動調査タイムラインの最小化を大幅に実現できます。
翻訳元: https://www.silentpush.com/blog/104-days-soc/
