内部の可視性の欠如が発見の遅れを招いた
同組織にはセキュリティツールが不足していたわけではない。問題は、内部ネットワーク上の活動に対する明確な可視性が欠けていた点にあった。その結果、SOCが対応に必要な十分な証拠を収集する前に、攻撃者が信頼できるシステム間を移動してしまうことがあった。
社内コミュニケーションの把握は困難だった
従来のアプローチは、境界防御とエンドポイントからのシグナルに大きく依存していました。これらの対策は既知の脅威を検知するのに役立ちましたが、内部システム間の通信に関する洞察は限られたものに留まっていました。その結果、ネットワーク内部での不審な動作が、即座に検知されることなく継続してしまう可能性がありました。
内部の可視性が十分に高くなければ、SOCは攻撃ライフサイクルの初期段階で攻撃者の動きを一貫して特定することができませんでした。ネットワークのセグメント化、機密資産、および重要な業務を基盤とする環境において、この制約は運用リスクを高めていました。
検知は、攻撃が拡大してから行われることが多かった
内部ネットワークのトラフィックは分析が難しいため、チームは詳細な調査を開始する前に、エンドポイントのアラートやシステムの異常な動作といった、発生から時間が経ってから現れる兆候を待つことが多かった。その時点で、攻撃者はすでに複数のシステムに侵入していたり、環境内のより機密性の高い領域に到達していたりする可能性があった。
その結果、対応が遅れ、困難を極めることになった。アナリストたちは、活動を早期に中断させるのではなく、事後的にその状況を再構築することになり、業務上の負担と任務のリスクの両方が増大した。
断片的な証拠が捜査の進展を遅らせた
インシデントの調査が始まると、チームは新たな課題に直面しました。それは、範囲と影響を迅速に把握するために十分な背景情報を収集することでした。アナリストは複数のツールやデータソースにまたがるシグナルを照合する必要があり、その結果、優先順位付けが遅れ、対応が遅延し、結論の正当性を立証することが困難になりました。証拠が断片化しているほど、その活動が無害なものか、不審なものか、あるいは実際に有害なものかを判断するのに時間がかかるようになりました。
内部の可視性、早期発見、そして行動を起こすための背景
同組織には、新たな独立したアラートソースは必要なかった。必要なのは、不確実性を低減し、アナリストの業務効率を向上させ、SOCがより確信を持って迅速に行動できるよう支援するネットワーク検知機能であった。
その要件は明確だった:
- 社内システム、クラウド環境、および外部接続にわたる継続的な内部ネットワークの可視化
- 脅威が拡大する前に、横方向の移動や指揮統制活動を検知できるよう、異常な動きをより早期に特定する
- 調査の背景情報をより網羅的に提供することで、アナリストが断片的な証拠を手作業でつなぎ合わせることなく、より迅速に調査範囲を評価できるようにする
- 規制対象、セグメント化、およびネットワーク接続が途絶する可能性がある環境を含む、連邦政府の運用環境との互換性
- 連邦政府のサイバーセキュリティ要件を満たすための、コンプライアンスに準拠した監視および報告
ネットワークの動向を、より迅速かつ的確な意思決定につなげる
NDR導入後、同組織のSOCは、不審な内部行動をより早期に検知し、より多くのコンテキスト情報を基に調査を行うことができるようになった。導入当初から、ネットワーク可視性の拡大、攻撃者の行動の検知精度向上、SOCによる調査の迅速化という3つの優先事項に重点が置かれていた。
環境全体での可視性の拡大
この導入では、戦略的なネットワークセグメントを対象とし、主要な集約ポイントにセンサーを設置することで、内部システム、クラウド環境、および外部接続間の通信全体にわたる可視性を向上させました。これにより、アナリストは環境全体の活動をより統合された視点で把握できるようになり、SOCがネットワークの境界だけでなく、内部で何が起きているかを監視できるようになりました。
高度な攻撃者の行動をより早期に検知する
MetaDefender NDR 、そのテレメトリデータをNDR 、異常なトラフィックパターン、ラテラルムーブメント、およびコマンド&コントロール活動の検知を支援しました。機械学習を活用した検知、行動分析、統合脅威インテリジェンスを組み合わせることで、このプラットフォームは、従来は通常のトラフィックに紛れていた不審なパターンを特定するのに役立ちました。その結果、SOCは、脅威が重要なシステム全体にさらに拡散する前に、悪意のある行動をより早期に特定することが可能になりました。
SOCに向けた調査の加速
同様に重要なのは、調査が容易になったことです。アナリストは、何が起きているのかを理解するために、複数のシステムに散在する断片的な証拠に頼る必要がなくなりました。より詳細なテレメトリ、追加されたコンテキスト、迅速なインシデントの相関分析、そしてより広範なセキュリティ運用ワークフローとの相互運用性により、調査はより的を絞った効率的なものとなりました。
早期発見、迅速な調査、確かな信頼
最も顕著な成果は、検知の遅れから、ネットワーク情報を活用した早期検知への転換でした。導入後、同組織は不審な活動をより早期に特定する能力を向上させ、脅威が重要な業務に支障をきたす前に、SOCが状況を評価し、封じ込め、対応するための時間を確保できるようになりました。
この改善は、日々のセキュリティ運用全般にわたり顕著に見られました:
- アナリストは、安全な内部ネットワーク内での通信について、より詳細な可視性を得ることができた
- 不審な通信や攻撃者の動きが、先に確認されていた
- 根本原因の分析がより迅速かつ効率的になった
- インシデント対応の際、セキュリティ運用チーム間の連携が改善された
- 監視および分析は、連邦政府のサイバーセキュリティ要件との整合性がより高まった
- セキュリティチームは、高度な内部脅威から重要システムを保護する上で、より有利な立場にあった
検知、調査、および任務の保護に対する運用上の影響
| MetaDefender NDR導入前 | MetaDefender NDRの後 | 業務への影響 |
|---|---|---|
| 社内の東西方向のトラフィックに関する可視性が限られている | 社内ネットワーク、クラウド、および外部ネットワークのアクティビティ全体にわたる可視性の向上 | 不審な動きの早期発見 |
| 調査は、エンドポイントやシステムレベルの指標が現れた後に開始されることが多かった | アナリストはネットワークのテレメトリデータから直接調査を行うことができる | より迅速かつ積極的な対応 |
| 複数のツールをまたいで証拠を一つにまとめなければならなかった | より詳細な状況情報と事象の相関分析により、調査ワークフローが改善された | アナリストの業務効率の向上と意思決定の確信度の高まり |
| 監視体制の不備が、分断された連邦政府の環境においてリスクを生み出していた | 継続的な監視により、規制対象業務の運用がより適切に支援された | 重要システムのセキュリティ体制の強化と、ミッション保護の強化 |
より能動的なセキュリティ運用モデルの構築
この組織は、単に新たなセキュリティツールを追加しただけではありません。SOCが脅威を検知、調査、対応する体制を強化したのです。内部ネットワークの挙動に対する可視性が向上し、攻撃者の活動をより早期に把握できるようになり、調査の背景情報もより充実することで、チームは事後対応型の調査から、より積極的な検知と対応へと移行しました。これにより、アナリストは状況をより明確に把握し、迅速に意思決定を行い、機密性の高いシステムをより確信を持って保護できるようになりました。
同様の課題に直面している連邦政府機関にとって、得られる教訓は明白です。攻撃者が信頼されたシステム間を密かに移動しようとする場合、エンドポイントや境界からのシグナルだけでは不十分です。ネットワーク全体を可視化し、豊富なコンテキスト情報を活用した検知を行うことで、セキュリティチームは、より迅速に対応し、確信を持って運用を行い、重要な業務をより確実に保護するために必要な基盤を得ることができます。
連邦政府環境全体の可視性を高め、内部の脅威をより早期に検知する準備はできていますか?OPSWAT にご相談ください。
