セキュリティ対策における最大の目的かつ最終ゴールは、侵害の影響範囲を最小限にとどめることである。早期発見早期対処で早めの封じ込めを行うことで、情報漏えいをはじめとする、侵害がきっかけとなって発生する悪影響から企業組織を守ることが可能だ。
前回は、それを実現するための手法の一つとして、Managed Detection and Response (MDR)に求められる5つの能力を挙げた。
- 迅速なレスポンスを実施する能力があるか
- 「何が見つかったか」ではなく「何をすべきか」の情報提供が可能か
- プロアクティブなハンティングを行う能力があるか
- 得られた知見を検知や運用に還元し、検知を効率化するエコシステムがあるか
- 十分な攻撃者インテリジェンスを持っているか
迅速なレスポンス、詳細情報の提供、2つについては前回のブログで述べた。今回は、残りの3つについて説明する。
3. プロアクティブなハンティングを行う能力があるか
ハンティングとは一般的に、見つかった攻撃の痕跡をもとに、その攻撃の影響範囲を調査することを言う。一方プロアクティブ・ハンティングとは、アラート等として明確になっていないものの、新たに発見された影響力の高い攻撃手法や、特定の業種を狙った攻撃手法に関する情報をもとに、その組織ではまだ検知されていなくてもハンティングを行うものである。例えば「同業他社で侵害が発生したが、自社の影響はどうなっているか」という経営者の疑問を解決することも可能だ。
プロアクティブ・ハンティングを行うためにはまず、MDRベンダーが新たな攻撃手法に精通し、お客様にとって影響があると思われる攻撃を見極める能力を持っていなければならない。プロアクティブ・ハンティングが提供できないベンダーは、攻撃者に関する深い情報を持っていない、もしくは収集する能力がない恐れがある。
4. 得られた知見を検知や運用に還元し、検知を効率化するエコシステムがあるか
MDRを行う中で、アナリストの手により新たに発見される脅威や攻撃手法もある。それはいわゆる「未知攻撃」であり、シグネチャなどで検知することができない。しかし、それをシグネチャ化することにより、再度同じ攻撃が発生した時に効率の良い検知が可能になる。さらに、他の組織にもその情報が還元される。裏返せばつまり、他社で見つかった未知脅威に関する恩恵を受けることができるという意味だ。これを実現するには、MDRベンダーとエンドポイント対策などの検知システムベンダーが同じ組織体である必要がある。MDRが検知した攻撃を素早くシグネチャに還元するエコシステムが備わっているベンダーの選択は、早期発見、早期対処の実現への近道となる。
攻撃手法に対する知識は、シグネチャにのみ還元されるわけではない。MDRにおける攻撃手法や、背後にいる攻撃者の特定にもつながる。例えば、以前にインシデントレスポンスなどの深い調査において、特定の攻撃者が用いる特定の手法を解析した経験があったとする。その経験はその後他の組織にも生かされることになる。他の組織で攻撃が発生した際、以前の経験から明らかになったインジケーターやペイロードなどをもとに、迅速に攻撃者を特定し、封じ込めを行うことができるのだ。
5. 十分な攻撃者インテリジェンスを持っているか
実はこの項目は4つのポイントすべての根源となる重要な項目だ。第一、攻撃者以上の知識がなければ、攻撃者から守ることなどできるはずがない。
迅速なレスポンスを実現するために難読化コードの中からエクスプロイトを素早く見つけ出すのも、攻撃者がどのあたりに不正なコードを埋め込む傾向があるかなどの経験値によるものであるし、検知された脅威の背景にどのような攻撃者が存在し、何を目的としているか、今後起こると予測される脅威は何かを推測するのも攻撃者に関する情報が豊富でなければできない。プロアクティブ・ハンティングはなおさらだ。常に攻撃者の動きを追っているからこそ、新たな攻撃手法を見つけることができるのだし、特定の業種で発生している攻撃傾向などの把握も可能なのだ。
従来、組織が経験できるインシデントは、その組織に対するものだけだ。他の組織を狙った攻撃についての詳細は把握できない。しかし、インシデントレスポンスの経験が豊富なベンダーは、非常に幅広い侵害を経験している。つまり、インシデントレスポンス経験が豊富なMDRベンダーを頼ることで、本来ならば被害にあわなければ得られなかった、侵害に関する情報に基づく恩恵を得ることができるのだ。
FireEyeが提供するMDR, Managed Defense
FireEyeもMDRサービスを提供している。Managed Defenseは、FireEye Endpoint Security をはじめとするFireEyeソリューションを対象としたMDRだ。日本語で提供されるため、ご安心いただきたい。
迅速なレスポンスを実現するラピッド・レスポンスをはじめ、検知した侵害に関する詳細な情報提供はもちろんのこと、豊富な脅威インテリジェンスに裏打ちされたプロアクティブ・ハンティングを実現することが可能だ。また、各製品開発チームとMDRアナリストとが協調して活動することで、未知の脅威をシグネチャーなどで製品に還元していく、未知を既知に変える力を備える。
そして年間750件を超えるインシデントレスポンスの経験をはじめ、活動を続ける攻撃者のトラッキング、世界中のFireEye製品から収集される脅威情報から成り立つ、進化を続ける脅威インテリジェンスにより、素早く侵害を見つけ、対処し、被害を最小限に抑えることでお客様のビジネス継続性維持に貢献している。例として、以前のブログではFireEye Mandiant チームによるUNC1878 の特定について述べており、Managed Defenseにおけるサービスにおいてもその驚異インテリジェンスは活かされている。事実、2019年の実績値として、調査完了までに要した時間の中間値は120分と非常に短時間だ。さらに、アラートの99.8%はインシデントレスポンスに至ることなく早期解決しており、文字通り、早期発見、早期対処による被害の最小化を実現している。
FireEye Managed Defense の実績
今回2回にわたって、被害の最小化を実現するMDRに求められる能力について説明してきた。現在すでにDRをお使いのお客様もこれから検討されるお客様も、ご紹介した5つのチェックポイントをもとに、被害を最小限に抑えることができるMDRをご選択いただければと願う。
