ネットワークの脅威を包括的に検出して対応するために XDR に依存することは信頼できるでしょうか?

ネットワークの脅威を包括的に検出して対応するために XDR に依存することは信頼できるでしょうか?

サイバーセキュリティ業界では、ネットワークの脅威の検出と対応は古くから行われている研究分野です。この問題を克服するには、私たちは常にもっと創意工夫を凝らさなければなりません。世界的に有名なIT情報コンサルティングおよび研究機関であるガートナーは、NTAからNDR、EPPからEDRまで、長年にわたってこの方向性を追求しており、昨年はスケーラブルな検出と対応であるExtended Detection and Responseの概念を提案しました。国内メーカーは常にホットなコンセプトを追求することに非常に熱心です。大手セキュリティ企業とニッチな分野で地位を確立した新興スタートアップ企業の両方が、XDR の波を追ってきました。それはコンセプトなのか、それとも方向性なのか、一時的なものなのか、それともまだ長い道のりなのか?本日はこの問題について簡単に説明します。

[[390913]]

1. XDR は何でも入れられるバスケットですか?

まず定義から始めましょう。 Gartner は、XDR を、複数のセキュリティ製品をネイティブに統合し、ライセンスされたすべてのセキュリティ コンポーネントを統合する統合セキュリティ運用システムにする、SaaS ベースのベンダー固有のセキュリティ脅威検出およびインシデント対応ツールと定義しています。つまり、XDR は、少なくとも「クラウドエンド トラフィック」構造を含む、複数のセキュリティ製品を統合セキュリティ オペレーティング システムに統合できる、特定のベンダーによる総合的な検出および対応ソリューションです。簡単に言えば、脅威の検出をうまく行うには、SIEM/SOC システムがより多くのものをより正確に検出できるようにする必要があります。

しかし、もっと詳しく知りたい場合は、さらに多くのセキュリティ製品に接続して、さまざまなログデータを収集する必要があるのが現実です。その結果、毎日数十、あるいは数百万ものアラートが発生し、それを正確に把握することは不可能になります。正確に把握したいのであれば、トラフィックからの脅威を検知するNTA/NDR、エンドポイントからの脅威を検知するEDR、さらにはUEBA、ハニーポット、資産および攻撃対象領域のインベントリなど、さまざまなセキュリティ製品に接続して、それらをすべて使用する必要があります。これにより新たな問題が生じます。たとえ各製品が非常に優れていたとしても、特にサプライヤーが特定のセグメントで競合している場合は、ネットワークの脅威の分析において協力することは依然として困難です。

XDR は「壊れた瓶」アプローチに似ています。他の製品との接続はできないので、すべて自分でやったほうが良いです！完全な製品ラインを持つ大手メーカーは喜び始めました。必要なモジュールはすべて揃っているので、XDR を作るのは簡単です。今はお金がなくても、お金があれば問題は解決できます。必要なものを買ったほうがいいのではないでしょうか？すでに、一点優位性を持つ新興企業が密かに取り組み始めている。トラフィックを持つ企業はエンドポイントに注力し、エンドポイントを持つ企業は脅威ハンティングに注力し、ハニーポットから始めた企業はこれらすべてを望んでいます...しばらくの間、XDR はバスケットになり、検出と対応に関連するすべての製品/サービスをそこに入れることができるように見えました。

2. XDR とは何ですか?

本当にそうなのでしょうか？現象の背後にある本質を見るためには、まずXDRがなぜ提案されたのかを明らかにする必要があります。 XDR の出現の背景にある要求は、単一のセキュリティ シナリオでは、検出および対応機能が多かれ少なかれ制限され、セキュリティ インシデントのストーリーが完結しないという点です。まるでオフィスビルに常習窃盗団がいるようだ。トラフィック検出では、移動経路に基づいて悪者かどうかしか判断できませんが、エンドポイント検出では各オフィスでの行動を明確に記録しますが、2 つのシナリオ間のつながりを確立する方法はありません。単一のシナリオ内の低リスクのアラームを集約して、完全な高リスクの攻撃インシデントにする必要がありますが、これは単一の検出製品ではできないため、検出と対応に盲点が生じます。

したがって、XDR システムの主な機能には次のものが含まれる必要があります。

1. 既存のセキュリティ製品をすべて統合します。
2. 分析とクエリのために、できれば SaaS ベースの中央リポジトリでデータの処理と保存を集中化して標準化します。
3. 他のセキュリティ製品と連携して検出精度を向上します。
4. ワンクリックで対応する攻撃ポイントを素早く閉じます。

簡単に言えば、XDR は複数のセキュリティ シナリオを統合し、ワンクリックで攻撃インシデントを処理し、攻撃インシデントの原因と結果を明確に説明する必要があります。したがって、これに基づくと、ストーリーテリングを支援できるモジュールはどれも優れたモジュールです。 XDR は長期的な計画を必要とするソリューションのようなもので、バスケットに何を入れるかは完全にメーカー次第です。現在、典型的な統合方法としては、非常に高い市場価値を持つ CrowdStrike が、ログ管理プラットフォーム Humio を買収し、特に XDR 機能を補完することが挙げられます。分野を超えて自社のモジュールを補完する企業としては、Eラウンドで5億人民元を調達し、新製品OneEDRを発売したWeibu Onlineなどがある。同社は、以前のトラフィック検出製品である TDP と組み合わせて、XDR ルートを採用することも計画しています。 XDR に取り組みたい、またはすでに取り組んでいる他の国内企業としては、Future Intelligence や AsiaInfo Security などがあります。 1社はスタートアップAラウンド企業、もう1社は科学技術イノベーションボードへの上場申請を提出している老舗のセキュリティ企業です。これは、XDR が国内外を問わず大企業と中小企業が同じ舞台で競争できる新たな分野となることを示しています。

3. XDR の使用方法にはどのようなものがありますか?注目すべき重要なスキルとポイントは何ですか?

前述のように、XDR の基本バージョンは「クラウド + 端末 + トラフィック」の要件を満たすことです。エンドポイントとトラフィックに加えて、会社の資産と攻撃対象領域のインベントリも非常に重要です。ゲートウェイ、電子メール、ファイアウォール、DNS 解決、ユーザー行動分析などの製品はすべて、それ自体または API を介して接続する必要があります。理論的には、全体的な脅威の検出および処理機能を向上させるには、XDR 製品を SIEM/SOC と深く統合する必要があり、一部の XDR は SIEM/SOC の手頃な代替手段として使用できます。企業組織に SIEM/SOC を構築するためのエネルギー、人員、予算がない場合は、優れたサプライヤーを選択して XDR を入手するのも良い選択肢です。

現在、ガートナー社の「Innovation Insight for Extended Detection and Response」レポートに掲載されているサプライヤーのリストは、シスコ、トレンドマイクロ、マカフィー、マイクロソフト、シマンテック、パロアルトネットワークスなどの大手メーカーに限られています。また、CrowdStrikeやRapid7のように、ある製品から始まり、世界最高のセキュリティ企業にランクインした企業もあります。これらの大企業にとっては、XDR のビジョンを実現するのは簡単かもしれませんが、XDR には依然として製品に対するいくつかの要件があります。

まず、製品が十分にオープンであること、そして各製品の API 化の度合いが高いことが必要です。また、XDR はあらゆる方向からのログを処理する必要があるため、ネットワーク帯域幅とコンピューティング リソースの占有率が少なく、処理能力が高く、データ交換がスムーズな製品が求められます。一言で言えば、「絹のように滑らか」でなければなりません。

第二に、XDR 製品の現在の一般的な傾向は、二足歩行です。検出を効果的に行うには、脅威インテリジェンスと機械学習機能が不可欠です。一方は敵を知る責任があり、もう一方は自分自身を知る責任があります。クラウドベースの脅威インテリジェンスは、大量かつ高精度で、頻繁に更新される必要があります。機械学習は、企業独自の脅威インテリジェンス ライブラリや企業の誤報特性などの動的モデリングを通じて、企業が独自の検出および対応システムを構築するのに役立ちます。これら 2 つの柱のどちらも欠けることはできませんが、理論的には、脅威インテリジェンスに長けたベンダーは一般的に機械学習の分野で豊富な実績を蓄積しており、脅威インテリジェンスは正確な検出の中核機能でもあるため、優れた脅威インテリジェンス機能を備えたベンダーは、XDR に移行する際に固有の利点を持つことになります。これは、ガートナーがリストしたリストからもわかります。このリストの大部分は、ガートナー社の「グローバル脅威インテリジェンス市場ガイド」の信頼できるサプライヤー リストと重複していると言えます。

3 番目に、大手メーカーが独自の XDR ソリューションを発売すると、「パッケージ全体を購入してほしいだけだ」というジレンマに陥りがちです。さまざまな製品ラインの機能の不均一性は、XDR の効果と顧客満足度に大きく影響します。しかし、中小メーカーや新興企業の XDR ソリューションには、欠けているものが多くあることがよくあります。結局のところ、彼らは一つの点からスタートしたのであり、万能人になりたければ、虹を見る前に風雨を乗り越える必要があるのです。したがって、XDR がセキュリティ企業の戦略として今後も実装されるかどうかは、依然として、製品の研究開発を整理し、反復する能力のテストとなるでしょう。

ここまで述べてきましたが、理想的な XDR とはどのようなものなのでしょうか?おそらく、セキュリティ運用担当者が最も注目するモジュールは、ホームページのリスク モジュールです。次々に発生する攻撃イベントをディメンションとして使用し、企業内に現在どれだけのネットワーク脅威が存在するかを示します。低レベルの脅威は自動的に処理および追跡されますが、中レベルおよび高レベルのリスクには、セキュリティ運用担当者またはアナリストの介入が必要です。その背後には、ゲートウェイ、DNS 解決、電子メール、ハニーポット、トラフィック、端末など、さまざまな場所からデータを収集し、攻撃の対象となる可能性のある企業のサーバー、ポート、IP ドメイン名、アプリケーション コンポーネント、プロセス、その他の資産を可能な限り枯渇させることが目的です。同時に、脅威インテリジェンスと機械学習が継続的に動作して、このような結果を提示します。しかし、このレベルに到達するには、大手メーカーも中小メーカーもまだ長い道のりがあることは明らかです。結局のところ、製品スタックがすべてではありません。 XDR が使いやすいかどうかは、誤報率と見逃し率によって決まります。