セキュリティ運用担当の皆さん、アプリケーション層が原因かもしれない侵害やインシデントに対処する時、何が起こっているのかを把握するのを邪魔する、不要な霧や靄みたいなものが常にあることはお分かりだろう。セキュリティ情報が足りないアラートが絶えず押し寄せ、ストレスと潜在的な侵害による最悪の状況が発生する。
ご存じないかもしれないが、アプリケーション層を可視化するテクノロジによって、この最悪の状況を乗り越え、(比較的)平穏な状態を得ることができるのだ。
SOC(セキュリティオペレーションセンター)からIR(インシデント対応)担当者に送られてくる調査・解決が必要な案件に対応するための新しい方法がある。それが、ADR(アプリケーション層における検知と対応)だ。 ADRは革新的なアプローチを提供する。滞留時間(攻撃者が侵入してから検知されるまでの時間)を大幅に短縮し、IRの作業負荷を最小限に抑える。最終的にはアプリケーション層の攻撃を迅速に特定して封じ込めることで、企業の時間とコストを大幅に節約できる。
バーチャルCISOであり、長年にわたって大企業でインシデント対応を担当してきた元IRマネージャのBrad Swanson氏によると、この新しいセキュリティテクノロジは、セキュリティ運用担当者が必要なものだと言う。例え、担当者自身がまだ必要性を認識していなくても。結局のところ、最大のセキュリティ脅威のいくつかは、可視性の欠如によって曖昧になっていると、Swanson氏はContrast Securityの編集部との最近の会話で述べた。「ゼロデイや、痕跡を消すようなステルス性の高い熟練した攻撃者を検知するのは難しい」とSwanson氏は言う。
滞留時間が長いほど、ダメージは大きくなる
2023時点で、世界中の組織において滞留時間は10日間であった。Swanson氏は、「その間に攻撃者がアクセスできる情報量を考えると、企業にとって莫大なリスクとコストになる」と指摘する。
大手医療機関のインシデント対応責任者を務めたSwanson氏は、ADRがあれば組織の時間とコストを節約できただろうと言った。「ADRは、悪意のある攻撃者がネットワークに潜んでいる時間を大幅に短縮し、セキュリティ担当のストレスと作業負荷を軽減し、最終的にはインシデントを迅速に見つけて阻止することで、多額の費用を節約することができる」と述べた。
Swanson氏は、以前はサポートソフトウェアプロバイダーで脅威インテリジェンスの分析と対応を指揮していたこともある。だが、残念ながら、セキュリティ責任者は誤った安心感を持っていると言う。「彼らは、ランプがただ点滅するだけの機器をたくさん買い込み、たくさんの人を雇い、守られていると勘違いしている」と彼は説明する。「もし彼らが定期的に状況を見直しをして、ADRを使っていれば、ニュースでデータ侵害がこれほど頻繁に取り上げらることはないだろう。」
実現可能: 誤報を減らし、アプリケーション層の可視化を実現
Swanson氏によると、インシデント対応担当が直面している2つの大きな問題は、誤報の数が多いことと、アプリケーション層の可視性の欠如だ。専任のSOC担当を持つ企業では、セキュリティ情報やイベント管理(SEIM)から送られてくアラートのうち、インシデント担当に引き渡すべき実際の脅威を判断するのに役立つプロセスやガイドラインがあるという。SOCがない小規模な組織の場合、アラートは直接インシデント担当に送られて処理される。
「何が本当で何が嘘かを判断するための項目のチェックリストがある。そのために何時間も時間を取られ、生産性が失われ、ストレスレベルが高くなり、燃え尽き症候群になることもある。」
「さらに、インシデント対応者は、開発者が何をしているのかをほとんど知らず、アプリケーションにどんな脆弱性が存在するのかも把握できていない。何が存在するのかが分からなければ、どのように探せばシステム内の脅威を見つけられるのか見当もつかない。」とSwansonは言う。「ここでADRが役立つ。」
WAFだけでは解決しない
アプリケーションの脅威を検知するためにWAF(Webアプリケーションファイアウォール)を使用することについて質問されたSwanson氏は、WAFは必ずしも信頼できるものではないと答えた。
「WAFは、アプリケーション層の脅威を常に阻止できるわけではない。まず、誰もが持っているわけではない。WAFがあっても、正しく設定されているとは限らない。」と彼は言う。「WAFの担当者が、WAFをどうすべきわからない場合もある。ハンマーを持っているからといって、家の建て方を知っているわけではないよね。」
ADRさえあれば…
「現在の方法では、インシデント対応担当が常にこれらの問題を見つけて修正するわけではない。そのため、悪用が検知されない期間が長くなるほど、より大規模でコストのかかる問題につながる可能性がある」とSwanson氏は述べている。
「前職では、ハッカーが社内のカスタマーサポートのソフトウェアの脆弱性を悪用して(3年間)、組織全体の機密情報にアクセスしていたことがあった。悪意のある行為を発見できたのは、バグ報奨金プログラムを通じてのみであり、最終的には数千ドルの費用がかかった」と彼は説明した。「ADRがあればこの攻撃にすぐ気づき、その費用を節約できたはずだ。また、顧客に通知する必要もなくなり、ブランドへの直接的な打撃も回避できただろう。」
Contrast SecurityのADRで、アプリケーション層内での詳細なリアルタイムの可視性と保護が提供されることによって、他の検知・対応ソリューションが残した重大な可視性のギャップを埋めることができる。これは、セキュリティ運用担当が、アプリケーションやAPI(アプリケーションプログラミングインターフェース)での攻撃者の侵入拡大の動きを検知・追跡し、侵入が永続的になる前に阻止することを可能にするツールである。
EDR(エンドポイントにおける検知と対応)、CDR(クラウドにおける検知と対応)、IDTR(IDの脅威の検知と対応)などの他の検出・対応方法と同様に、Contrast ADRによって、セキュリティ担当が利用したい場所(おそらくSIEM)で監視データを得ることができる。
SOCは救急車で、IRは救命士
SOCは悪意のある活動を検知し、それをブロックするか優先順位付けをする。次に、それはIRに渡されて、優先順位付け、ブロック、攻撃者の排除が調査される。ADRにより、IRは攻撃者がどのように攻撃を実行したかを明らかにする詳細なセキュリティ情報を得ることができる。これによって、その影響と将来の攻撃の両方を最小限に抑えることができる。
ADRから得られる詳細なセキュリティ情報を武器に、攻撃者が何にアクセスしたかを特定し、攻撃者が侵入する原因となったギャップを埋めるよう取り組むことができる。
まとめ
Contrast ADRが、インシデント対応担当とSOCにもたらすビジネス上のメリットは数多くある。ここでは、そのトップ5をご紹介しよう。
- 誤検知の減少:ADRは誤認アラートの数を減らすのに役立つ。その結果、アラート疲れが軽減され、セキュリティ運用担当は実際の脅威に集中することができる。
- 可視性の向上:ADRは、セキュリティ担当にとってブラックボックスであることが多いアプリケーション層の可視性を実現する。他の方法では見過ごされがちな脆弱性や攻撃を特定することができる。
- 迅速な検知と対応:ADRは、攻撃チェーンの早い段階で侵害を検出するため、攻撃者がネットワーク内で活動する時間を短縮し、攻撃者が引き起こす被害を最小限に抑える。
- コストの削減:ADRで脆弱性を早期に発見することで、大きな犠牲を伴うデータ侵害や規制上の罰金を回避可能になる。
- 共同作業の向上:ADRによって、開発者とセキュリティ部門間のコミュニケーションや共同作業が改善され、サイロ化を解消、より安全なアプリケーションを実現できる。
激しいサイバー攻撃の嵐は、ADRでは止めることはできない。しかし、攻撃の発生源をセキュリティ担当が把握し、嵐に吹き飛ばされる前にブロックする手助けはできる。「ADRが登場する前は、苦戦続きだった。しかし、今ではこの貴重なツールにより、セキュリティ担当のストレスと作業負荷を軽減できる。これは早急に必要だ。」とSwanson氏は述べている。「要するに、ADRは私たちの生活をより良いものにする重要なツールなのだ。」
ストレスレベルを下げよう。実際のADRをご覧になりたい場合は、今すぐデモのリクエストを。
お問い合わせ
関連記事:
