In サイバーセキュリティ、 どういう意味ですか 拡張された検出と応答 (XDR)? XDRシステムにはどのような機能がありますか? 攻撃を受けた人をどのように助けることができますか?
La サイバーセキュリティ それは全体論を必要とします
の主題に関する私の信念のXNUMXつ サイバーセキュリティ 攻撃が実行されるということです 終点; または、少なくとも、デジタル世界とユーザーの間の接点は、攻撃が行われるための手段であり、基本的なものであるということです。
それは実際には終点 防御チェーンの中で常に最も弱いリンクであるユーザーがサイバーバースと対話する場所がオンラインに公開され、攻撃の試みによって危険にさらされます。
デジタルリモート化とクラウドの大規模な使用のこれらの現代では、攻撃の影響の伝播は、印象的なバイラル性と普及性によって特徴付けられます。
これはすべて、企業が適切な時期に検出して対応し、影響を軽減する能力と、評判、財務、およびビジネスの継続性の点で非常に有害な結果をもたらす能力に厳しいテストを課します。
最も直接的な例に加えて、述べられていることの真実性は、最も複雑なシナリオでも残ります。ユーザーは、強力な認証形式で開発環境にアクセスし、クラウドリソースシステムの構成を担当します。 のプロセス中に テラフォーミング (通常、構成フェーズを定義するために使用される用語)は、構成されたストレージインスタンスにアクセスできるIPのリストを減らすための命令を忘れます。 ここで作成されます-これもユーザーとサイバーバースの間の相互作用のおかげで 終点 -の攻撃に理想的な条件 データ漏洩 in .
別の例として、次のアーキテクチャが考えられます。 Active Directory ドメインに属するシステムが標準化されておらず、それらの多くがサポートされていないため、構成が不適切です。 攻撃が発生した場合、セキュリティ体制が明らかに最適ではないエコシステムの回復力をサポートし、異常の指標を資産管理からの情報と相関させることが重要になります。
したがって、XNUMXつの重要な質問が発生します。
- これらの異常なイベントを可能な限り全体的な方法で検出し、すべての点を結合して、介入に優先順位を付けるためにコンテキストと緊急性の理解を深めるにはどうすればよいですか?
- 応答と修復を高速化するために、この検出を可能な限り迅速に行うにはどうすればよいですか?
Il 滞留時間
より一般的には、古くからの問題は滞留時間の最小化にあります。これは、生態系の侵害から侵害が検出されるまでに経過する時間の名前です。
による報告によると Mandiant 2021年、EMEAでの2020年の平均滞留日数は66年の54日から2019日に増加しました。この数値は平均悪化の兆候であるだけでなく、平均数値を拡大すると非常に心配な状況になります。1、次の図で報告します-レポートから抜粋。
私たちに考えさせるべきデータは、 滞留時間 外部からの攻撃に関連します。つまり、組織が自身のリソースに間に合うように侵害を検出できないため、組織が外部から侵害の通知を受け取る攻撃です。
225日で、惑星金星は太陽の周りを完全に一周します! やる気のある攻撃者が侵害できた組織に与える可能性のある損害のレベルを想像してみてください。 これらの攻撃から生じる損害とコストをより正確に把握するために、永続性により、攻撃者は常に侵害されたエコシステムであらゆる種類のアクションを実行できます。 データ漏えい調査レポート ベライゾンによる。
問題を解決する:EDRからXDRへ、MDR経由で
必要な機能を強化することでこの問題を軽減するために、 エンドポイントの検出と応答.
EDRの具体的な支援は、次のXNUMXつのレベルにあります。
- 高度なアンチウイルスと同様のアクティブなアクションによる、侵害の試みの検出と予防的ブロック。
- 侵害後のコンテキストの識別。防止から逃れた異常の検出を簡素化し、被害を軽減するための対応アクションを可能にします。たとえば、ファイルの検疫、実行中のプロセスの終了、ネットワーク内の感染したマシンの制御された分離などです。
これらの非常に強力で効果的なツールは、内部リソースの不足または無能さのために、企業によって十分に活用されていないことがよくあります。 この状況は、サードパーティに代わって検出および応答システムを効果的に実行するために必要なスキルとリソースの規模の経済を生み出す特定のサービスの要求と誕生を刺激しました。
これらのサービスは、 管理された検出と応答 またはMDR。
しかし、現代のすべての組織を特徴付けるデジタル生物多様性の複雑化が、ITエコシステム全体の可視性の問題をどのように伴うかについては、冒頭で述べられていました。 視界不良。これは、正しい姿勢のために非常に重要な検出および対応活動の大きな限界を表しています。 サイバーセキュリティー.
この全体的なニーズにより、組織のデジタルランドスケープ全体をカバーする拡張された検出と応答に向けたEDRコンセプトの進化が決定されました。したがって、頭字語XDR、 拡張された検出と応答.
XDRシステムを使用すると、生態系全体の信号が適切に正規化され、人間が消費できるように相関していることを考慮して、攻撃戦略に典型的な異常な動作に焦点を当てることができます。
したがって、テレメトリだけでなく、終点、外部に向けて受信および開始されたファイル、プロセス、およびネットワーク通信で構成されています。 しかし、その相互作用に関する周囲の環境からの情報終点 彼は同じそして類似した実体、したがって他の実体を持っていました 終点、またはIoTデバイス、ルーター、ファイアウォール、プロキシ、ID管理システム、クラウドリソースなど。
このロジックは、XDRが多くのCISOによって、 サイバーセキュリティ 防御的。
XDRは、XNUMXつの重要な特徴的な機能によって特徴付けられます:
- 双方向の方法で周囲の要素と統合する機能:つまり、追跡されたイベントに関する情報ストリームを受信するだけでなく、これらの要素によってのみ実行できる反応に関する指示を送信することによって。 プロキシシステムの例は、悪意のあるダウンロードのソースとして特定のWebサイトへのナビゲーションをブロックすることです。
- 受信および検出されたテレメトリを分析する機能:つまり、非常によく似た巨大なビーチの真っ只中にある、攻撃者が残した信号やパン粉の経路を見つけることができる人工知能(AI)の形式を使用して、大量のデータを実質的にリアルタイムで正規化し、相関させることです。それらの間の砂の粒。 この操作は確かにセキュリティ運用チームの手の届かないところにあり、必要な計算能力とデータストレージ容量が高いため、通常はクラウドインフラストラクチャに委任されます。
人工知能は類型学でなければならないことに注意してください 監督つまり、異常と正常から悪意のある人を特定することを可能にする事前教育の恩恵を受けることです。 さまざまな種類のAIについて詳しく知るために、興味深いものを参照します Orazio DaniloRussoが公開した記事 昨年XNUMX月。
- API(アプリケーションプログラミングインターフェイス)と呼ばれる通信インターフェイスを使用して、統合するテクノロジを介して積極的に応答する機能。 通常、このアクションは、Playbooksと呼ばれる事前にコード化された手順に従って実行されます。この手順では、応答を可能な限り高速化および自動化するために、さまざまな操作シーケンスが記述されています。
言うまでもなく、ITエコシステムと十分に統合されたXDRシステムによって展開される全体的な容量は、組織内のリソースとMDRサービスを通じて最終的にアクティブ化されるリソースの両方の特殊なリソースを大幅に強化します。
したがって、この記事の最後にある質問は、XDRシステムの有効性をどのように測定するかということです。
私が提案したい答えは、定性的評価と測定基準のXNUMXつの領域で構成されています。
定性的な観点から、XDRは次のXNUMXつの領域を強化する必要があります。
- セキュリティ分析つまり、セキュリティポスチャを監視し、このポスチャに対する脅威をタイムリーに検出するプロセスをサポートする、集約され、相関化され、処理されたデータのセットです。
- プロアクティブな脅威ハンティングつまり、異常または希薄な信号から始まる脅威をプロアクティブに識別し、巨大なバックグラウンドノイズを効果的にスキミングするアクティビティです。 運用の継続を計画するために、ドットを接続して、おそらく各インシデントに一意の識別子を使用して、遡及的に何が起こったのかを理解するのがどれほど簡単になりますか?
- 自動インシデント対応つまり、軽減または改善するまで、インシデントへの対応における反応率を上げます。
定量的な観点から、XDRソリューションの採用により、平均攻撃検出時間(MTD、 検出する平均時間)および平均応答/修復時間(MTR、da 応答/修正する平均時間).
または、新機能に照らしてすでにアクティブ化されている対策を改善し、投資の健全性を検証し、外部サービスと結合された内部リソースの使用を含むハイブリッドモデルのバランスを改善します。
1 Mandiant M-Trends 2021レポート: https://www.mandiant.com/resources/m-trends-2021
写真:ウェブ/マンディアント
