セキュリティ運用における3つの大きなミス

最近のウェビナーでは、Swimlaneの創設者兼CEOであるCody Cornell氏が次のように話しました。 4つの主な原因 持続不可能なセキュリティ運用の課題：前例のない攻撃数、アラート疲れ、時代遅れの対応ツール、そして有能なサイバーセキュリティ人材の不足。これらの課題に対処するため、組織は様々なセキュリティ対策の導入を試みてきましたが、中には効果的なものもあれば、実際にはメリットよりもデメリットをもたらすものもあります。.

「“セキュリティ運用の自動化,コーネル大学は、組織がこれらの課題を克服する方法に関して一般的に犯す 3 つの間違いを調査し、以下で説明します。.

1. アラートの100%ではなく、アラートの優先順位付けに重点を置く

多くの企業は、どのアラームにどの順番で対応すべきかを判断するために、優先順位付けの方法に頼っています。しかし、このアプローチの問題点は、受信するアラームの量が膨大であるため、組織が手動で処理できる量には限界があることです。その結果、多くのアラームが未対応のまま残されてしまいます。これは一般的な不正行為であるだけでなく、管理されていないイベントがネットワーク環境に放置されることで、監査リスクを引き起こし、組織にとって多くの意図しない結果につながる可能性があります。.

コーネル氏の説明によると、組織が低優先度のアラートにようやく対応する頃には、滞留時間が非常に長くなっていることになります。つまり、不審なネットワークアクティビティが検出されてからアラートに対応するまでの時間が長すぎるということです。その結果、組織が脅威を初期段階で封じ込める能力が低下します。.

“「現在発生しているアラート数に対応し、チームの対応能力を高めるために、組織があらゆるセキュリティイベントや活動に対応する方法を拡充、最適化、合理化する方法を検討しています」とコーネル氏は述べた。現状では、アラートの優先順位付けだけでは十分ではない。.

2. セキュリティ運用ライフサイクルの半分、つまりインシデント対応を無視している

今日の組織は、ユーザー行動分析からセキュリティ情報およびイベント管理 (SIEM)、エンドポイント検出および対応 (EDR)、脅威インテリジェンス ツールに至るまで、さまざまな最新の検出テクノロジを使用して、セキュリティ アラーム、アクティビティ、タスクを識別しています。.

多くの組織は、過去数十年にわたり、こうした検知ツールに多額の投資を行ってきました。しかし、現在、ライフサイクルのバックエンド、つまりインシデント対応こそが成熟すべきであると認識し始めているというパラダイムシフトが起こっているようです。高度なバックエンドセキュリティ運用の必要性を無視したり、認識できなかったりする組織は、深刻な影響を受ける可能性があります。.

3. 時代遅れの、あるいは手動の対応ツールに頼る

組織が脅威の解決に、メモ帳やスプレッドシート、古いチケットシステムといった時代遅れの対応ツールを使い続けているのは、決して珍しいことではありません。あるいは、あらゆるアラートに対してコマンドラインアクションを活用している組織も存在します。.

これらのツールとメカニズムがこれらの組織で今でも使用されているのは、単にこれが最前線のスタッフが知っていて実行するように条件付けられているからです。. 研究によれば、 平均して、組織は1日あたり1万件以上のセキュリティイベントに対処しており、これは1日あたり333時間という不可能とも言える労働時間に相当します。手作業や旧式のプロセスは非現実的であり、メリットよりもデメリットの方が大きいことは明らかです。.

同時に、セキュリティアラートやタスクを適切に処理できる人材は少なく、組織にとってそのような訓練を受けた人材を雇用するには多額の費用がかかる可能性があります。これは今日の組織にとって大きな課題であることは明らかです。.

セキュリティ運用のベストプラクティスや、潜在的に危険な方法に代わる効果的な方法についてもっと知りたいですか？Swimlaneの最新ウェビナー「“セキュリティ運用の自動化.。」”