セキュリティの自動化による投資の最大化
それに直面しましょう、私たちは何年もの間セキュリティ自動化について話してきました。何を、いつ、どのように自動化するかについて取り組んできました。人間と機械のトピックについて議論しました。そして、ある時点で、私たちが「やけどを負った」(誤ってシステムを自動的にシャットダウンした)とき、自動化の場所があるかどうか疑問に思いました。しかし、私たちの心の中では、自動化が未来であることを何年も前から知っていました。今、未来はここにあります。
ほとんどの組織では、キーセキュリティとインシデントレスポンス(IR)プロセスの自動化が少なくとも最小限に抑えられていましたが、2020年のイベントは転換点として機能しました、と ThreatQuotient のNoorBoulos氏は言います。 。新しい SANS レポートでは、世界的大流行により多くの組織が自動化の計画を加速させ、投資と将来の計画を優先していることを説明しています。調査はあらゆる規模の企業にまたがり、北米、ヨーロッパ、アジア太平洋、アフリカでの事業の多様なブレンドを表しています。
主な調査結果には次のものがあります:
- 組織のほぼ3分の1が、COVID-19の大流行により、自動化の計画が加速したと述べています。
- 組織の80%以上が、主要なセキュリティおよびIRプロセスを少なくとも部分的に自動化しており、2020年の47%から増加しています。
- さらに深く掘り下げると、IRプロセスは自動化で最も大きな成長を遂げ、大規模な自動化は2020年の10.5%から2021年の28.3%に18%近く跳ね上がりました。
- セキュリティ運用とイベントまたはアラート処理は依然として自動化の最上位領域であり、35.5%が広範な自動化を報告しています。
- セキュリティの自動化の将来は明るいと思われ、85%が今後12か月だけで主要なセキュリティとIRプロセスの自動化を計画しています。
将来を見据えてこれらの調査結果を使用して、セキュリティ運用における自動化の使用を拡大する方法をよりよく理解するために、ビジネス価値を最大化するためにセキュリティライフサイクル内で自動化をいつ適用するかを検討することが重要です。
ThreatQuotientでは、データが検出と応答の自動化の生命線であると長い間信じてきました。そのため、効果的な自動化の鍵はデータから始まります。レポートの2つの主要なユースケース、アラートトリアージとインシデントレスポンスを例として取り上げましょう。
アラートトリアージ:
アナリストは、ノイズの多いSIEMルールとデフォルトの防御インフラストラクチャによって生成された、人間の注意を必要とするアラートの数に溢れています。日常的に取り組む必要のあるセキュリティアラートの量と速度を減らすために、アナリストは外部の脅威データと脅威インテリジェンスフィードをSIEMに直接適用しますが、課題は2つの主な理由で継続しています。
まず、外部の脅威データの量は驚異的です。相関関係のためにこのすべてのデータをSIEMに直接送信すると、コンテキストに依存しない大量のアラートが発生します。各アラートには、調査するためにアナリストによる多大な作業が必要です。第2に、脅威インテリジェンスフィードをSIEMに直接適用する前に、関連性を判断するための追加のコンテキストと理解を提供するための意思決定支援機能が現在のツールに欠けています。優先順位付けは、アラートトリアージプロセス中に実行する適切な次のアクションに焦点を合わせて決定するために不可欠です。
ThreatQプラットフォームを使用すると、組織に関連する脅威インテリジェンスのみを提供することで、アラートトリアージの課題に対処し、不要なアラートが発生する前に停止できます。 SIEMに適用する前に、脅威データにコンテキスト、関連性、優先順位を自動的に適用することで、SIEMはより効率的かつ効果的になります。
設定したパラメータに基づいてカスタマイズされた脅威インテリジェンススコアとコンテキストを組み合わせることで、特定の環境に関連するものに基づいて優先順位を付けることができます。現在、脅威インテリジェンスにキュレートされた脅威データのサブセットを使用して、追加のオーバーレイにより、SIEMが生成する誤検知が少なくなり、スケーラビリティの問題が少なくなります。
インシデント対応:
セキュリティオーケストレーション、自動化、および応答(SOAR)に対する現在のアプローチは、プロセスの自動化に重点を置いています。課題は、検出と応答に適用する場合、意思決定の基準とロジックがプレイブックに組み込まれており、各プレイブックで更新を行う必要があるため、プロセスに焦点を当てたプレイブックは本質的に非効率的で複雑です。この複雑さは、プレイブックの数を増やすにつれて指数関数的に増大します。ノイズの多いデータの自動化と調整は、ノイズを増幅するだけです。
ThreatQ TDR Orchestratorを使用すると、SOARに対して簡素化されたデータ駆動型のアプローチを採用できます。このアプローチでは、データまたは情報がプレイブックの開始を促進し、実行されたアクションによって学習されたデータが分析と将来の対応の改善に使用されます。個々のプレイブックではなく「プラットフォームにスマート」を配置することで、構成と保守が簡単になり、より効率的で効果的な自動化の結果が得られます。ユーザーは、データを事前にキュレートして優先順位を付け、関連するものを自動化し、実行するアクションを簡素化できます。
作成者はThreatQuotientのNoorBoulosです
モノのインターネットテクノロジー