サイバーセキュリティはどの業界でも議論の余地のない懸念事項ですが、組織や企業は、収集したセキュリティデータと情報をどのように使用して、ビジネスをサイバー脅威から確実に保護するのでしょうか。

脅威ハンティングコンテキスト

脅威ハンティングのコンテキスト

PwCによると、米国のCEOの71%は、パンデミックやその他の健康危機に先立って、サイバー脅威について「非常に懸念している」と述べています。脅威ハンティングは、ネットワークの可視性と脅威アクターのエントリポイントをよりよく理解して活用するために、ネットワーク上の休止状態またはアクティブな脅威を見つけるためにITプロフェッショナルによって実装された最近の方法論の1つです。しかし、この機能は、より広範なセキュリティコンテキストで実践された場合にのみ効果的に活用できます。

速度だけでなく、入ってくる脅威を評価する際の正確さに焦点を当てて、現在ほとんどの組織に展開されているものよりも巧妙なインテリジェンス収集戦略が必要です。

完全なデータの可視性を維持し、有能なリレーショナルMSSPを介して複数のプラットフォームを活用し、情報の流れとネットワーク全体の習慣を一貫して監視することでネットワーク環境を理解することは、すべて効果的な脅威ハンティングと密接に関係してます。このような情報コンテキストと外部パートナーがなければ、脅威を簡単に見逃して対処できなくなり、ハッカーに大混乱をもたらすのに十分な時間が与えられます。

脅威ハンティングへの投資は増加していますが、そのような投資のメリットを享受するには、もう少し時間がかかる場合があります。脅威ハンティングの積極的なアピールにより、ネットワークを保護することがますます一般的になっていますが、その成功は、脅威が見つかったネットワーク内で収集されたコンテキスト情報と同じくらい価値があります。これには、脅威の検出と識別に対するより洗練された包括的なアプローチが本質的に必要です。 。

企業がそれぞれのセキュリティチームの脅威ハンティングトレーニングに投資することを熱望しているため、このような意図的なセキュリティの取り組みに対して明確な展開と維持戦略を実装することが最優先事項である必要があります。自動化、応答性、データ分析、脅威管理は、ツールの武器に脅威ハンティングを効果的に追加することを目的とした、より大規模で近代化されたSOCの4つの主要な機能です。

オートメーション

単一のSOC環境内で生成される指数関数的な量のデータをコンテキスト化する機能は、データが示す内容に対応することに加えて、人間の才能だけでは実行できません。自動化は、無数の方法で負荷を軽減するカスタマイズ可能なツールとして機能し、単純なタスクとより高度なマルチステップ分析のニーズの両方に対応します。インテリジェントな自動化は、担当者が管理する脅威ハンティングの取り組みを補完し、他の方法では簡単に見落とされる可能性のあるセキュリティ分析の層を追加します。

エンドポイント検出および応答(EDR)

就業時間と非就業時間の両方で潜在的な違反をリアルタイムで分析することは交渉の余地がありません。攻撃者は常にターゲットを反映しているわけではありません。他の国、タイムゾーン、文化から発信されたり、さまざまな個人的な習慣を示したりする可能性があります。

脅威ハンターと他の訓練を受けたセキュリティアナリストの両方に、そのような活動を24時間体制で特定するサイバー脅威インテリジェンスと検出機能を装備することで、セキュリティチームは歓迎されない訪問者をすばやく捕まえることができます。結果は、暗闇の中でのショットではなく、情報に基づいた予測です。

データ解析

リモートワークの劇的で永続的な増加と、クラウドへの移行の既存の推進によって証明されるように、SOCセキュリティ境界は拡大し続けています。複数のロギングエリアから発生するセキュリティイベントは、相互に関連付けられ、相互に調べられない限り、実際のコンテキストの目的を果たすことはできません。

包括的で教育を受けた脅威ハンティング戦略には、ネットワークの完全な可視性が不可欠です。SaaS、リモートデバイス、およびその他のセキュリティ環境はすべて、侵害されるのを待っている潜在的な弱点です。これらのロギングエリア全体の残存アクティビティを特定するには、十分な訓練を受けた担当者だけでなく、異なるプラットフォーム間での効果的なソフトウェア管理が必要です。

脅威管理

データ分析ツールと自動化ツールの両方を階層型SOCと組み合わせると、専用タスクを適切に実行するために、各層間で必要な通信を維持しながら、潜在的な脅威への対応を監視、管理、およびアドバイスするために必要な分離が可能になります。最新のSOCは複雑であるため、同じセキュリティ環境内で多数のプラットフォームにわたって無数のセキュリティイベントが発生する可能性があり、混乱や輻輳を回避するためにネットワーク全体で責任の委任が必要になります。

監視、管理、およびアドバイスを3つの層に分離することで、過負荷になる可能性のあるIT部門の作業負荷が軽減され、SOC管理に関連する既存のタスクに加えて脅威ハンティング固有のトレーニングの余地が生まれます。

ITインフラストラクチャ内の潜在的な脆弱性を追跡することは明らかに必要です。ただし、その有効性は、これらの脅威を手元のツールで完全に評価できるかどうかによって測定されます。セキュリティの自動化と脅威の検出および対応の強力な組み合わせと、関係に焦点を当てたMSSPを組み合わせることで、コンテキストのない1回限りの予測に依存するよりも、脅威のハンティングをはるかに便利にすることができます。

堅牢なセキュリティ体制には、IT担当者に負担をかけずに脅威を効果的に管理する優れたパートナーシップによって実現できる、多面的な階層型アプローチが必要です。脅威ハンティングは、それ自体は解毒剤ではありませんが、ネットワーク内の奇妙な動作を探すだけでなく、既存のツールをより効率的でプロアクティブに活用できるように、経験豊富なITプロフェッショナルを効果的にトレーニングすることで、ギャップを大幅に埋めることができます。包括的な方法。

適時性、データ相関、自動化、および段階的な脅威管理を促進するアプローチにより、脅威の検出と全体的なリスクの削減が向上します。

コメントをどうぞ