XDRの有効性:広範な監視、検知の可能性、調査や対応の効率化
では、ここからは活用事例からXDRの有効性を見ていこう。
「UNC2452」によるサプライチェーン攻撃
冒頭に述べたSolorWindsを通じたサプライチェーン攻撃(UNC2452)は、旧FireEyeのXDRプラットフォームで検知されている。VPNログの接続元も含めるなど、UEBA(User and Entity Behavior Analytics:ユーザーとエンティティの行動分析)の観点から網羅的に確認できる状況が検知につながった。
[画像クリックで拡大]
最終的に攻撃はエンドポイントにたどり着くため、EDRさえあればいいと思うかもしれないが、実際にEDRでの検知を強化するほど過検知や端末負荷を招き、かえって検知が難しくなることもある。清水氏は「この事例から、XDRは単一製品で実現できないということ、統合すべき製品の幅を広げる“ネイティブかつオープン”の必要性、さらにVPNのログから不審さに気づいて深堀していくことができた専門家の存在、その知見を組み込むことの必要性に気づくことができるでしょう」と話す。
監視範囲を広げることで、侵害後の検知や対応を実現
統合性の観点から、特定ベンダー製品で固めるケースは少なくない。そうすると第三者の専門家による知見を得づらく検知精度が落ちるなど、侵害を広げてしまうことにもつながりかねない。実際にフィッシングから従業員のアカウントが乗っ取られたことにより、ビジネスアプリケーションを通じて侵害が広まり、データ漏えいを生じさせてしまったケースもある。とはいえ、オープンな製品を組み合わせるとなると、検知ルールの作成に追われてしまうことも事実だ。
侵入後の検知精度を高めるにはアプリケーション監視、フィッシングに関わるメッセージング監視、活動監視、データ漏えいに関わるDLP(Data Loss Prevention)監視など幅広い範囲で相関分析を行う必要がある。さらに、ネイティブの良さとオープンな接続性を両立できると望ましい。清水氏は「適切にXDRを実現できれば、第三者視点で構成ミス、脅威の監視を行いつつ、何か見つかれば自動的に分析・対応する仕組みを構築できます」と話す。
メールセキュリティを“すり抜けた”メールの対応
メールセキュリティを導入していても、脅威を含むメールがすり抜けてしまうこともある。そうなるとセキュリティ担当者は、侵害の調査やメールの隔離などの対応に追われてしまう。しかし、多くのメールセキュリティではシステムをすり抜けてしまったものについてはハッシュ値など情報を持ち合わせてないことが多い。
そこで清水氏は「(XDRで)適切にレスポンスを行うためには、悪意がないと判断されたものに対しても情報を提供し、シームレスにプラットフォームに取り込めることが必要になります。センサーを選定する際には、こうした連携も念頭においてください」と語る。
セキュリティ業務の自動化
アナリストの業務負荷を軽減するためには自動化が欠かせない。工数や人材が課題となっているが、固定的な作業から順番に自動化を実現していくことが現実的な最短経路となる。一般的なセキュリティオペレーションプラットフォームであればログを取り込めば初動対応ができたり、よく使われる自動化アクションも用意されたりしている。まずは、そうした自動化につながる機能を積極的に活用することが欠かせない。
実際にTrellixのSOCでは、L1とL2セキュリティにおけるアナリスト業務はほぼ自動化されており、一部のL3に関するアナリストがインシデント対応に集中できる体制を構築している。それだけ自動化が進んでいるということだ。なお、Trellix製品だけではなく他社製品も統合しているという。
Trellix XDR Platformでは、初動対応として脅威情報との突合やVirusTotal検索、関連ログの洗い出しなどを自動的に実施。その後、各センサーからの簡易解析結果を自動的に表示する。対応におけるプロセスについても、過去対応の参照、簡単な作業なら自動化が可能だ。
最後に清水氏は「ご興味があればTrellix SOCツアーやプロフェッショナルサービスの相談も受け付けておりますので、ぜひお声かけいただければと思います。今回のお話を今後のXDR導入検討の参考にしていただけると幸いです」と述べて講演を締めた。
