ドラゴン退治から効率的なインシデント対応へ：頻度を削減してSOCの脅威検知を加速

セキュリティオペレーションセンター(SOC)で働いているからといって、ドラゴンを追いかけて時間を無駄にする必要はない。「ドラゴン」とは途方もないものを意味しており、アプリケーション層のブラックボックスから発生するサイバー攻撃を特定するのが難しい、という従来のSOCが抱える課題を指す。

この例えは、Contrast Securityのセールスエンジニアであり、何万人ものユーザのセキュリティを管理してきた元SOCシニアアナリストであるWill Derksenが、イライラする時間の無駄をなくす方法を見つけ出したことに由来している。アラート、調査、トリアージを手作業でこなすことは「文字通りドラゴンを追いかけているようなもの」であり、特にアプリケーションやAPI(アプリケーションプログラミングインターフェース)からの脅威に関しては、非常に骨の折れる作業だとDerksenは言う。 

Derksenは、「もっと早い段階で脅威を阻止できていれば、膨大な時間を節約できたのに」と言っている。 それは、攻撃連鎖の破壊についての話しであり、MITRE ATT&CKマトリックスの攻撃ライフサイクルにおける早期検知が、攻撃、侵害、脅威の平均検出時間(MTTD)の短縮につながる。

Derksen氏が、骨の折れるドラゴン狩りから抜け出せると実感したことに触れる前に、従来のSOCのインシデント対応がいかに時間がかかるもので、迅速なインシデント検知と対応を妨げているのか、その現実から説明しよう。

従来のSOCのインシデント対応を阻む課題：

SOCがアラート疲れになる大量のアラート

Derksenのチームは、他の多くのSOCと同様、絶え間なく届くアラートに直面していた。チームは、アラートに疲れ、それは脅威の特定の遅れにつながっていた。「インシデントの全ライフサイクルは、通常、エンドポイントツールからのアラートで始まる」と彼は振り返る。「SIEM(セキュリティ情報イベント管理)を通じて集められた情報をもとに、サービス管理と変更管理システムでチケットやインシデントを自動的に生成したり、手動で作成していた。ほぼ全てをそこで管理していた。」

「ほぼ全て」というと、それはインシデントを引き起こす大量のアラートとなり、当然ながらアラート疲れにつながる。

手動調査とトリアージ

アラートの量が多いため、SOCアナリストは手作業でログを精査して、データを相関させることに過度の時間を費やした。そして、重要な応答時間が遅くなり、SOCの運用指標となるMTTR(平均応答時間)が歪んでしまったと、Derksenは続ける。「一定の時間内に対応をする必要があったのに」と彼は指摘する。通常は10分以内だ。 

また、実際にインシデントが発生した時のMTTD(平均検出時間)でも、SOCの運用状況を追跡していた。Derksenによると、その後は厄介なことになったという。「そこからは、とても手間のかかる作業だった。侵害指標(loC)となるSyslog情報を得るために、他のツールやサーバを手作業で調べる必要があった。」

アクティブな脅威の優先順位付けの難しさ

アプリケーションの攻撃ベクトルを明確に把握できなければ、SOCはアクティブな脅威の優先順位付けに苦労し、侵害を阻止する能力が妨げられる。ここでまた、Derksenが言っていた「ブラックボックス」の状態に話しが戻る。「(アラートはSyslogから来て、『何かおかしいぞ！』と知らせてくるとことがあった」。(当時は、異常検知に誰もが人工知能(AI)を活用していたわけではなかった、と彼は言う)。

「これは非常に手作業の多いプロセスだった」と彼は述べ、高度な解析ができなければ、単なるノイズから真の脅威を見分けるのがいかに難しいかを強調した。「いわばブラックボックスだった。ネットワークやアプリケーション開発担当との関係は、ほぼ無かった。自分のチームのソフトウェアエンジニアは非常に孤立していて、独自のプロセスを持っていた。」

アプリケーション層の可視性の欠如

情報のサイロ化は可視性の欠如につながり、脅威の優先順位付けが困難になるとDerksenは強調する。しかしながら、多くのSOCチームがネットワークトラフィックとエンドポイントアクティビティを監視するツールを持っている一方で、アプリケーションやAPI自体で何が起こっているかを把握できないという事実も、可視性の欠如の原因だ。この盲点により、アプリケーションの脆弱性を悪用する攻撃に対して脆弱になる。

WAF(Webアプリケーションファイアウォール)などの従来のセキュリティソリューションで、このギャップを埋めようとしているが、十分ではない。WAFはしばしばシグネチャベースの検知に依存するため、新規または複雑な攻撃に対しては効果がない。また、誤検知を生み、正当なトラフィックをブロックして業務を中断させる可能性もある。基本的に、WAFはアプリケーションの振る舞いを解析できないため、正当なトラフィックと悪意のあるアクティビティを区別できず、過剰もしくは過小なブロックにつながる。

根本原因分析の盲点

アプリケーション層の盲点とは、SOCが下流のイベント(つまり、何かの結果として発生するプロセス)を認識することを意味していた。「当時使っていたツールで得られる情報だけでは状況を正確に把握できす、トラフィックの発生源を特定するために、ネットワークログやファイアウォールログを詳しく調べなければならないこともあった。」と Derksenは言う。

その結果、SOCはアプリケーション層からの実際どれだけの攻撃が来ているのか全く把握していなかった。「いや、管理するのが難しかったんだ。」とDerkesnは言う。

言い換えれば、従来のSOCツールは、アプリケーションやAPIベースの攻撃に関する根本原因の可視性が全く欠如していることを示している。

「これは、割り当てられている一連の作業に集中しすぎると、このような状況に陥る」と、元SOCアナリストのDerksenはまとめる。「そして、『ああ、しまった！』ってなる。他にもまだあったんだ。他にもまだ(すなわち、アプリケーション層)あったんだ。今から調べないと。」というように。

非効率で長期化するインシデントの事後分析

Derksenと彼のチームは、詳細な攻撃データが不足しているため、事後分析に時間がかかり、非効率的であることに気づいた。手作業のプロセス、限られた可視性、データの関連付けの難しさは、インシデント後の分析が煩雑で、不完全である可能性が高いことを意味する。アプリケーションレベルのデータがないため、アプリケーションやAPIに関連する攻撃の事後分析には、ぼっかりと穴が開いていた。

可視性の欠如は非効率的なだけでなく、根本原因の効果的な分析の妨げになり、インシデントの解決を長引かせていたと、Derksenは言う。幸いなことに、この混乱から抜け出す方法があったのだ。それが、Contrast ADR(アプリケーションにおける検知と対応だ。

Contrast ADR：SOCがより迅速に脅威を無くせるようにする

クラウドストライク2024年版脅威ハンティングレポートによると、2023年の平均ブレイクアウトタイム(つまり、攻撃者がアクセスを得てから被害者のネットワーク内を横方向に移動するのにかかる平均時間)は62分だった。

Contrast Securityは、SOCが予防的な守りができるようにし、脅威が侵害にエスカレートする前に無力化できるようにする。Contrastのようなテクノロジを採用することで、組織は時間を取り戻し、セキュリティ体制を強化することができる。

Contrast Securityは、SOCが攻撃ライフサイクルの早い段階で攻撃を検知して対応できるようにすることで、MTTDを短縮し、インシデントの迅速な封じ込めを可能にする。アプリケーションの攻撃がリアルタイムに可視化され、SOCはContrastで次のような機能を利用できる。

• MITRE ATT&CKの早期検知：ADRテクノロジによって、MITRE ATT&CKで定義された攻撃の流れの初期段階で、非常に正確な警告と素早い攻撃検知が可能になる。攻撃者が足場を築くまでの滞留時間を短縮するために、重要な先手を打つことができる。 
• アクティブな脅威に注力：Contrastによって誤検知が最小限に抑えられるため、アナリストは本当のアクティブな脅威に集中できる。
• 調査とトリアージの効率化：Contrastによって、アプリケーションの攻撃に関する詳細なセキュリティ情報が提供されるため、調査が迅速になり、トリアージ時間を大幅に短縮できる。
• アクティブな脅威の効果的な優先順位付け：ADRによって、アプリケーションの攻撃がリアルタイムで可視化される。SOCは脅威の発生時に警告を受け、潜在的な影響に基づいてアクティブな脅威に優先順位を付けることができる。
• 迅速な封じ込め：ADRによって、アプリケーションの攻撃は迅速に隔離され封じ込められる。SOCは、混乱を最小限に抑え、重要なアプリケーションとAPIを保護することができる。
• 根本原因の迅速な分析：Contrastによって、攻撃の根本原因を迅速に特定するために必要な可視性が提供され、インシデントの対応が迅速になる。
• インシデントの事後分析プロセスの改善：詳細な攻撃データにより、効率的かつ効果的な事後分析が可能になり、将来のインシデント対応が向上する。

Contrast ADR：インシデント対応時間を短縮

• 迅速なインシデント対応：攻撃検知の迅速化と調査の合理化により、SOCは攻撃チェーンの早い段階でインシデントを無力化し、潜在的な損害を最小限に抑えることができる。
• アナリストの生産性の向上：明確で詳細なセキュリティ情報により、アナリストは重大なインシデント対応タスクに集中できるようになる。
• 運用コストの削減：効率的なインシデント対応により、侵害とセキュリティ管理に関連するコストが削減される。
• 攻撃の迅速な封じ込め：アクティブな脅威を迅速に特定し、優先順位を付けることで、SOCはより効果的に侵害を封じ込めることができる。

時は金なり

修正は不可欠だが、SOCが今考えるべき事は、アクティブな脅威を検知して封じ込めることである。現状では、2024年の侵害の平均コストは488万ドルだった。侵害が早期に発見された場合、侵害のコストは138万ドル低くなる。

時間が重要なのは明らかだ。侵害のコストが高騰している現在、SOCは侵害の兆候を探るツールやSyslog情報に時間を費やす余裕はない。Contrast ADRがあれば、より早い検知、迅速なインシデント対応、より効果的な脅威の封じ込めを可能にすることで、SOCはアプリケーションを保護することができる。

Derksenは以前、SOCアナリストだったときにADRを知っていればよかったと、語っていた。午前3時に呼び出されて侵害に対応する代わりに、ぐっすり眠ることができただろう。そして、ドラゴンを追いかけるのではなく、イノベーションを追い求めることができるなら、なおさらだ。

時間の浪費にうんざりしていなら、今すぐContrastをお試しを。 

関連記事/サイト： 

• Contrastブログ：なぜADRが必要なのか、その仕組みとメリット
• Contrastブログ：SOCアナリスト時代にADRを知っていればよかった！
• Contrastブログ：Application Detection and Response(ADR)が「新たなカテゴリー」へ
• Contrast ADR月次レポート：アプリケーション攻撃が30%急増、メソッド改ざんは800%増加
• Contrastブログ：ADRがセキュリティ担当の作業負荷を削減し、インシデント対応を迅速化する