薄暗いオフィスで、光るモニターに覆いかぶさるように作業する影に隠れた開発者たち。暗闇の中で、目に見えないデジタル脅威が形になりつつあるかのように、コードの行が明滅している。.

セキュリティオペレーションセンターをSOARで強化

ユーザーアバター
ケイティ・バイコウスキー
3 1分間の読書

 

COVID-19は、今日のセキュリティオペレーションセンター(SOC)にとって既に困難な脅威環境をさらに悪化させており、悪意のある攻撃者はこの混乱に乗じて攻撃を仕掛けています。関連する脆弱性としては、フィッシング攻撃の増加、疑わしいドメイン登録、VPN監視の強化などが挙げられます。.

セキュリティオーケストレーション、自動化、対応(SOAR)ソリューションは、組織の人員、プロセス、テクノロジーを統合しながら、時間のかかるインシデント対応タスクを自動化することで、SOCの機能を最適化します。この前例のない状況において、SOARの3つの用途はますます重要になっています。フィッシング、ドメイン監視、VPN監視です。次の投稿では、これらのユースケースをそれぞれ詳しく検討し、 インフォグラフィック 最後に!

フィッシング

ある CIO Diveの最新レポート, 2020年2月から3月にかけて、ウイルスを題材にしたフィッシング攻撃は667%増加しました。 フォーブスの最近のレポート 関連するフィッシング Web サイトで 350% が急増しました。.

フィッシング トリアージを自動化する場合、組織は次のような文書化されたプロセスに従うことがよくあります。

  1. SOAR ソリューションは、ユーザーがスパムやフィッシングの疑いのあるメールを送信する組織のメールボックスを監視するように設定されます。.
  2. メールが届くと自動的に解析されます。.
  3. ヘッダー、件名、本文、電子メール アドレスなどの詳細は、ケース レコードのデータ フィールドに配置されます。.
  4. IP アドレス、URL、ドメイン名などのその他の潜在的な指標も電子メールから解析され、適切なレコード フィールドに追加されます。.
  5. SOAR プラットフォームが使用する他のツールとの統合により、データが充実し、ケースの処理方法を決定するのに役立ちます。.

フィッシングの使用例 メールが悪意のあるものと判断された場合、適切な対応としては、隔離タグを適用するか、エンドポイント検出・対応ツール(EDR)またはエンドポイントポリシー管理ツールを使用してホストシステムを隔離することが考えられます。SOARソリューションは、Slack、SMS、メールなどのメッセージングツールを使用して、SOCとメール送信者に即座に通知を送信できます。ユーザーには、自動化されたワークフローのステータスの最新情報を提供し、送信と潜在的な脅威の検出への協力に感謝の意を表すことができます。また、悪意のあるメールはすべてのユーザーのメールボックスから削除することで、さらなるリスクを回避できます。無害なメールの場合は、メールを送信したことへの感謝と結果を伝える通知をユーザーに送信できます。他にも様々な対策が可能です。.

ドメイン監視

ドメイン監視 現在の緊急事態に関連する他のドメインを検出してブロックするために使用できます。例えば、「COVID」や「ワクチン」といった名前、あるいは組織が評価したいあらゆる名前などです。.

A Computer Business Reviewの最新レポート 1週間で登録された6,000件のドメインのうち、3分の1以上が疑わしいと判断され、すでに疑わしいと判断されていたドメインのうち93件が、報告時点で悪意のあるドメインであることが確認されました。攻撃者は必ずしもドメインをすぐに有効化したり、武器化したりするわけではないことを覚えておくことが重要です。ドメインは一定期間休眠状態になり、その後悪意のあるドメインになることもあります。最終的には、93件よりもかなり多くのドメインが悪意を持って使用された可能性があります。.

SOARを使用することで、SOCチームは監視対象ドメインのセットを定義し、潜在的なスクワッティングドメインを監視できます。SOARソリューションは、カスタマイズ可能な間隔(通常は1日1回)で、新規登録されたドメインをダウンロードし、監視対象ドメインのリストとパターンの類似性を比較します。.

SOCチームは記録を確認し、それが真のスクワッティング攻撃であるかどうかを判断できます。解決できないドメインについては、記録はキューに保持され、SOARプラットフォームは定期的に接続を試行し続けます。サイトがアクティブになると、スナップショットが作成され、アナリストキューに追加されます。アナリストは各記録を確認し、ドメインを悪意のあるドメイン、無害なドメイン、または不明なドメインに分類できます。.

VPN監視

従業員の大半がリモート環境に移行したため、様々なIoTデバイスからサイバーセキュリティ意識の低い従業員まで、SOCチームは多くの脆弱性を追跡する必要に迫られています。さらに、企業はVPNを介してオフィスリソースへの安全なリモートアクセスを提供しようとしています。.

VPN監視 SOARを活用することで、スタッフはVPNのステータスを迅速に把握し、発生している障害を特定し、サービスの再起動などの基本的なトラブルシューティングを実行できます。多くの場合、SOARプラットフォームはサービスを自動的に復旧するか、ユーザーがVPNの問題を特定し、初期トリアージを試行し、残存する問題をエスカレーションすることが可能です。.

SOARのメリットは、これら3つのユースケースだけにとどまりません。SOARにより、SOCは既存のリソースを有効活用できます。オーケストレーション、自動化、そしてレスポンスがマシンスピードで実行されるため、人員は手作業で反復的な、時間のかかるタスクに縛られることはありません。さらに、真のSOARソリューションは既存のツールと統合され、最適化されたSOCのための単一の統合された武器を形成します。.

「セキュリティ オーケストレーション、自動化、対応 (SOAR) による SOC の強化」と題されたスイムレーンのインフォグラフィックには、パズルの破片で形成された影付きの人間のシルエットが表示され、人間の脆弱性を悪用する攻撃者に対する警告と、Google が報告したフィッシング サイトの急増が示されています。.

セキュリティオーケストレーション、自動化、レスポンスでSOCを強化

攻撃者は現状につけ込み、組織の既存および新たな脆弱性を悪用しています。セキュリティ運用チームにとって、既存のリソースを最適化することは不可欠です。そこで、セキュリティオーケストレーション、自動化、そしてレスポンス(SOAR)ソリューションが役立ちます。その方法については、こちらのインフォグラフィックをダウンロードしてご確認ください。

今すぐダウンロード

タグ

飛翔

2019年2月7日
パートナーシップはセキュリティオペレーションセンターのエコシステムを支援
続きを読む
2022 年 12 月 14 日
セキュリティオペレーションセンター(SOC)とは?SOCガイド
続きを読む
2024 年 3 月 19 日
最新のセキュリティオペレーションセンター(SOC)を構築する方法
続きを読む

ライブデモをリクエストする