ハイブリッドクラウドの最新SOCの必要性

原作者: クリス・ミーナン

サイバーセキュリティは過去10年間で大きく進歩しました。改善された標準 (MITRE など)、脅威インテリジェンス、プロセス、テクノロジーは、可視性の向上、情報収集の自動化 (SOAR)、および多くの手動タスクに大きく役立っています。さらに、新しい分析 (UEBA/SIEM) およびエンドポイント (EDR) テクノロジーにより、さまざまなクラスの脅威を検出し、多くの場合ブロックすることができます。現在、攻撃対象領域管理 (ASM) などのテクノロジーが登場し、組織がより積極的になり、最大限の効果を上げるために取り組みを集中させるのに役立ち始めています。

しかし、クラウドへの移行とそれに伴う攻撃対象領域の拡大により、環境の複雑さが大幅に増加しています。 2022 年の IBM Security X-Force クラウド脅威ランドスケープ レポートでは、ハイブリッド クラウド環境の継続的な拡大がセキュリティ チームにとって大きな課題であることが判明しました。 X-Force は、前年と比較してクラウドの新たな脆弱性が 28% 増加したことを確認しました。さらに、クラウド環境で実行されている脆弱な公開アプリケーションは攻撃者の一般的なターゲットとなっており、組織が環境内で実行されているすべてのアプリケーションをカタログ化して、すべてのアプリケーションにパッチが適用されていることを確認するのは困難です。

これにより、次の 3 つのことが起こります。

より多くのデータ: 必要な可視性を提供するには、より多くのセキュリティ テレメトリ データを収集する必要があります。このデータのほとんどはクラウド プラットフォームで生成されるため、特にクラウド間でデータを移動するのは無料ではないため、コストと複雑さが増します。

追加のツール: 新しいクラウド インフラストラクチャの保護、可視性、および応答を提供するために、より多くのセキュリティ ツールを導入して使用します (CWPP、ITDR、CDR など)。多くの場合、セキュリティ チームは、便宜上 (「これはテクノロジー X で機能します」) または経済的な理由 (「これはクラウド Y では無料です」) で、DevSecOps または CIO から新しいセキュリティ ツールを取得します。

UX の複雑さが増し、アラートも増加: ツール、データ、可動部品が増えると、セキュリティ チームが攻撃者より先を行くことが難しくなります。ユーザーは、脅威の追跡において、ある製品から別の製品に切り替える際に、追加の統合および構成作業に直面するだけでなく、新しいユーザー エクスペリエンスの専門家になる必要もあります。 2023 年の IBM グローバル セキュリティ オペレーション センター調査によると、調査対象の SOC プロフェッショナルは、通常の勤務日中に確認するアラートは 49% のみであり、そのうちの 3 分の 2 近くが優先度の低いアラートまたは誤検知であると回答しています。さらに、回答者の 81% が、手動調査によって作業が遅れていると回答しており、これが脅威への対応時間を遅らせる最も一般的な要因となっています。

最後に、コストは意思決定における要素としてますます重要になってきています。すべての組織は、既存の投資を活用し、「含まれている」機能を活用してチームの生産性を向上させることで、コストを管理する方法を模索しています。残念ながら、指数関数的に増加するデータ量、追加のセキュリティ ツール、複雑で高価なライセンス モデルを備えたレガシー ツールが、大きな逆風を生み出しています。

当然のことながら、63% の組織がセキュリティ オペレーション センターの検出および対応機能の向上を目指しています。

ハイブリッドクラウドの最新SOCに必要なDNA

これらの課題に対処するには、私たちが今日下す決定の根拠となる優先事項のいくつかを再考する必要があります。

まず、アナリストのエクスペリエンスを考慮して設計する必要があります。歴史的に、私たちの業界はツール主導型であり、それが当時の優先事項でした。しかし今、私たちはチーム、その生産性、仕事の満足度に焦点を当てる必要があります。ユーザーが対処しなければならない UX の複雑さ (多様性、言語、語彙) を軽減する必要があります。

2 番目に、組み込みの AI、自動化、専門知識を活用して、現在のセキュリティ チーム内の専門家とヒーローを強化する必要があります。ご存知のとおり、これらはすべてを機能させ、複雑なインフラストラクチャ全体にわたる脅威を追跡できます。緊急の対応や回答が必要なときに頼りになるのは彼らです。この目標を達成するために必要なのは、自動化と人工知能です。 AI 対応テクノロジーは、脅威の調査から推奨される修復アクションまであらゆることをサポートし、アナリストの負担を軽減します。 IBM Institute for Business Value によると、AI を導入すると、サイバーセキュリティ インシデントの検出日数と調査時間をそれぞれ最大 50% と 29% 大幅に削減できます。

最後に、オープン システムとコミュニティのコラボレーションを可能にする必要があります。クラウドの世界では、セキュリティは複数のシステムにまたがって統合されるのが現実です。組織は、独自のエコシステムやコンテンツによって複雑さが増したり、チームに負担がかかったりしない方法で、活用するセキュリティ システムを選択する必要があります。共同統合と脅威検出コンテンツを容易にするオープン スタンダードは、ますます必要不可欠なものになりつつあります。 SANS Institute によると、調査対象となったセキュリティ チームの 66% が、セキュリティ運用の改善に役立つ統合を優先していると回答しています。

IBM Security QRadar Suite の発表

QRadar は 15 年間にわたり、NDR、UEBA、AI (Watson for Cyber​​) 分析における数多くの革新により、市場をリードする SIEM として活躍してきました。現在、新しい IBM Security QRadar Suite は拡張され、EDR/XDR と SOAR に加えて、クラウド ネイティブのログ分析機能 (Log Insights) も含まれるようになり、クラウド規模で簡単にコスト効率の高いデータ収集、分析、視覚化、超高速データ検索が可能になります。これらの機能を単一のモジュール プラットフォームに統合することで、段階的な導入が可能になり、ユーザーに完全な TDIR システムを提供できます。各ソリューションが採用されるにつれて、段階的なトレーニングや統合をほとんど行わずに、アナリストのエクスペリエンスに機能、コンテキスト、洞察、自動化が追加されます。新しい QRadar Suite は、セキュリティ チームが必要とするすべてのコア機能をサポートするだけでなく、前述したハイブリッド クラウド向けの最新の SOC を保護するために必要な DNA 要件に合わせて特別に設計されています。

オープンシステムとコミュニティのコラボレーション

新しい QRadar Suite は、クラウド ネイティブの弾力性、回復力のあるアーキテクチャ、場所と方法の選択 (ライセンス ソフトウェアまたは SaaS など) をサポートするオープン ハイブリッド クラウド プラットフォーム (OpenShift) 上に構築されているだけでなく、全体にわたってオープン スタンダードも活用しています。

たとえば、QRadar Suite のすべての製品は、サードパーティからのセキュリティ検出結果の相関とフェデレーション検索をサポートしているため、組織はデータを移動することなく、現在使用しているツールを活用し、将来使用するツールを選択できます。このスイートは、脅威の検出、調査、対応において MITRE と SIGMA をネイティブに活用し、セキュリティ チームがコミュニティのスピードに合わせてシームレスに行動し、攻撃者に追いつくことを可能にします。

組み込みのAI、自動化、専門知識

このスイートには AI と自動化のイノベーションが組み込まれており、アラートと優先順位付けの速度が平均 55%、応答時間が平均 8 倍、調査が初年度で 60 倍向上することが実証されています。さらに、このスイートには、X-Force チームによる継続的に更新される脅威検出および対応コンテンツと、世界中の何千もの顧客との連携から得られた洞察が含まれています。

このスイートには、アラートの発生元に関係なく、複数のシステムにわたってアラートを自動的に調査し (フェデレーテッド ハンティング、脅威インテリジェンス、SIGMA を活用)、調査結果と推奨される対応アクションを 1 つの使いやすいタイムラインに集約する、革新的な自動調査機能が新たに搭載され、アナリストが迅速に確認して実行できるようになります。

アナリストのエクスペリエンスのために設計

統合されたアナリスト エクスペリエンスを中心に構築された QRadar Suite は、EDR/XDR、SIEM、SOAR、セキュリティ ログ管理 (SLM) にわたる調査、対応、脅威ハンティングのワークフローでセキュリティ アナリストを支援します。この新しい統合エクスペリエンスは、オープン スタンダードとフェデレーテッド検索に基づいているため、IBM QRadar Suite だけでなく、40 を超えるサード パーティー テクノロジーでも機能します。このエクスペリエンスは、当社のセキュリティ チームと専門家の協力のもと設計され、彼らの専門知識と洞察を取り入れて、「何を」「誰が」「どこで」「いつ」を提供します。そして重要なことは「次に何をすべきか？」シンプルで簡単なワークフローが必要です。

QRadar Suite は、現在および将来のセキュリティ運用とハイブリッド クラウド環境のニーズを満たすように構築されており、SOC アナリストが脅威の検出と対応機能を強化しながら、より迅速に適切な意思決定を下せるよう支援します。 SOC の近代化を目指す組織は、不確実性と複雑さに直面しても、より自信とサポートを感じることができるようになります。

出典: IBM セキュリティインテリジェンス