クラウドコンピューティングを活用してネットワークインテリジェンスを実現する

業界の専門家は、出力データセットを融合し、情報を共有することで、企業内の不審な活動に関するリアルタイムの洞察が得られると指摘しています。

[[286026]]

最近のニューヨーク・タイムズの論説記事で、国家安全保障局の法務顧問グレン・ガーステル氏は、第二次世界大戦後に米国が開発した国家安全保障システムが、ミサイル発射や戦車、飛行機、船舶、潜水艦の動きなど、外国の軍事動向の早期警報を確実に提供していると述べた。また、テレメトリデータと高度な監視技術を組み合わせることで、米国は安全保障と緊急事態への対応能力に一定の自信を持つことができます。ガーステルは説得力のある議論を展開しているが、それはもはや真実ではない。ガーステル氏は、技術革命が米国の国家安全保障インフラと機関の運営方法を一変させたと述べた。

このように考える米国当局者はガーステル氏だけではない。中央情報局のジョセフ・ヒル局長代理も、サイバー空間が米国の国家安全保障における最大の弱点だと考えている。米国安全保障局が最近、あらゆる規模の米国企業を対象に実施した調査では、政府や軍隊に加えて、サイバーセキュリティが回答者の最大の懸念事項であることが判明した。

第二次世界大戦後のアメリカの戦略が成功した理由は、外国の軍事動向に関する情報をリアルタイムで統合したことであった。しかし、米国は現在、自国が知っているものを統合するよりも、より優れた技術の追求に重点を置いている。

セキュリティ侵害を阻止する時が来た

業界の専門家は、セキュリティ運用を強化するために 15 個のツールを購入するための承認を得る方法について議論していますが、CISO は出力データセットを統合して企業内の疑わしいアクティビティに関するリアルタイムの洞察を得る方法についてはほとんど知りません。

CISO は、日々の猫とネズミのゲームに勝つのが難しく、圧倒されているアナリストに焦点を当てる必要があります。アナリストは、多数のイベントを扱いながら、過去に見たり聞いたりしたこととの関連を見出す必要があります。そして、こうした取り組みの背後にある組織は、そのような戦略はあまりにも多くの混乱を生むだろうと認めている。ツールや脅威フィードが多すぎると、アナリストの負担が大きくなり、組織のコストが増大し、セキュリティが低下します。業界組織がサイバーインテリジェンスの管理と統合に規律あるアプローチを取るのではなく、「手段化」を選択した場合、この大規模な戦略はさらに非効率的でコストのかかるものになります。より優れたテクノロジーや機器の取得を目指すのではなく、戦略を再考し、すでに持っているツールを組み合わせて自分自身を安全に保つ必要があります。

すでに持っているものをどう使うか

組織は、セキュリティ チームが従来のセキュリティ脅威にどのように対処するかから始めて、クラウド内のエコシステムを統合しています。通常、3つの段階に分かれます。

フェーズ1。クラウド コンピューティング テクノロジーを採用する組織は、内部システムからのアラートと外部インテリジェンス プロバイダーからのアラートを融合します。これには、アナリストのワークフローを中断することなく、既存のテクノロジー スタック (SIEM、EDR、ケース管理、オーケストレーション) からの出力を内部リソースからの入力と簡単に統合できることが必要です。

フェーズ 2。セキュリティ関連の活動では、セキュリティ操作に加えて、詐欺や不正使用も発生します。これらはいずれも、組織内および下流の企業の両方でセキュリティの問題を引き起こす可能性があります。たとえば、アカウント乗っ取り (ATO) は、組織内での悪意のある活動に使用されるだけでなく、攻撃者がアカウントを悪用して他のユーザーを攻撃する可能性もあります。

ステージ 3: 組織は他の企業と連携して、共通のセキュリティおよび詐欺の課題に関する情報を交換します。組織は、サプライ チェーンの保護から業界内および業界間の特定の脅威への対処まで、さまざまなニーズに基づいてパートナーを選択するため、クラウド コンピューティング テクノロジーは大きな利点を発揮します。クラウド コンピューティングを導入することで、公共機関と民間部門が相互に連携できるようになります。組織は情報を共有できるだけでなく、ユースケースを定義し、データを迅速かつシームレスに交換および分析できるようになります。クラウド コンピューティングにより、組織は自社内の洞察や傾向を把握できるだけでなく、他社との比較もできるようになります。

新しいモデル: LA サイバーラボ

多くの組織はすでに、内部データと外部の脅威情報を統合するためにクラウドベースのモデルに移行しています。セキュリティ イベント管理システムからエンドポイント検出、ケース管理システム、サードパーティ インテリジェンスまで、さまざまなツールからサイバー インテリジェンスをキャプチャして強化します。成功するプラットフォームは、構造化データと非構造化データの抽出と正規化、権限とアクセスの管理、データのブレンドと強化、機密情報と独自情報の編集などの機能を組み合わせています。このプラットフォームは、組織内および組織間のセキュリティ オペレーション センター、不正行為、内部調査などの個別のセキュリティ関連オペレーション間でデータを統合できるように、拡張可能である必要もあります。

ロサンゼルス市長のエリック・ガルセッティ氏は、公共部門、民間部門、地方自治体、消費者からのデータを統合するために、9月にロサンゼルスサイバーラボ（LAサイバーラボ）を立ち上げました。疑わしいイベントデータを交換することで、調査が迅速化され、傾向が特定され、最終的には安全性が向上します。このプロジェクトは、ロサンゼルス市、米国国土安全保障省、IBM、イノベーション・テクノロジー・プラットフォーム、およびロサンゼルスのビジネスリーダー数名によってサポートされています。

ロサンゼルスのモデルを複製することで、疑わしい出来事に関する統合データの新しいエコシステムを構築できる可能性があります。リーダーは、脅威の主体がさまざまなセクターや地方、州、連邦政府にまたがって攻撃を作成し、複製することを認識する必要があります。情報共有分析センター (ISAC) や情報共有分析組織 (ISAO) などのセクターベースの共有モデルは引き続き重要です。しかし、ロサンゼルスのモデルは異なります。ツールや部門間のサイロ化されたデータではなく、接続されたシステムの観点からセキュリティについて考え始めると、統合の潜在的な力は非常に大きくなります。サイバー攻撃環境の包括的な可視性を実現するには、サイバーインテリジェンスシステムを統合する必要があります。