偽のセキュリティ アラートにどのくらいの時間を費やしていますか?
2016 年 12 月 5 日 - Microsoft Secure Blog スタッフ - マイクロソフト
このポストは「How much time do you spend on false security alerts? 」の翻訳です。
グローバルな脅威 (悪意のある Web サイト、信頼できない IP、マルウェアなど) に関する最新のデータは、企業が脅威を検出し、すばやく対応するうえで役立ちます。ここで課題となるのが、ひいき目に見ても脅威インテリジェンス フィードの品質にはばらつきがあることです。
情報セキュリティ専門家の約 70% が現在の脅威フィードには瞬時性に関する重大な問題が存在すると述べています。また、それらの脅威インテリジェンスについて精度が非常に高いと評価した情報セキュリティ専門家の割合はわずか 31% に過ぎません。
この精度の欠如は、IT スタッフがフィード自体の精度を確かめる必要があることを意味します。そして、それを行うには、時間だけでなく、IT リソースも必要になります。セキュリティ専門家の 68% が、偽のアラートを追跡し、毎週 17,000 を超えるマルウェア アラートをふるいにかけるプロセスに時間を費やしていると述べています。
この膨大なデータから最も関連性の高いアラートのみに絞り込む解決策は、データを減らすことではなく、データを改善することです。セキュリティ チームの効率性向上を支援するうえで重要となる要素は 3 つありますが、Operations Management Suite (OMS) 内のセキュリティ ソリューションはそれらの各要素に関する支援を提供します。
- データの多様性、規模、および種類の増大
- 機械学習と行動分析の導入
- 軽減策を効率化するシンプルなツールの使用
Operations Management Suite のダッシュボードは、すべての環境を見渡せる総合的かつ包括的なビューを提供することで、生のデータを実用的な洞察へと変える支援をします。
Microsoft Threat Intelligence: 脅威の情勢を示すグローバル ビュー
はじめに、お客様はさまざまなソースから適切なデータを取得し、何が起こっているかを真の意味で理解する必要があります。Microsoft Threat Intelligence は、マイクロソフトのフットプリント全体からデータを収集します。
マイクロソフトのプレジデント兼最高法務責任者の Brad Smith は、「マイクロソフトには、数十億ものエンドポイントから供給される数兆ものデータ ポイントがあります。そのデータに基づいて理解し、洞察を獲得して、アクションを実施できる能力で大きな変化をもたらすことが可能です」と述べています。
これに加えて、自社の環境 (Azure や Office 365 など) を保護するために、マイクロソフトでは、Digital Crimes Unit (DCU) から、Cyber Defense Operations Command Center (CDOC)、より広範な組織に至るまで、一流のセキュリティ専門家を数千名採用しています。マイクロソフトは、OMS を通じて、これらの組織が収集した情報をお客様と共有し、急速に進化し続ける脅威の情勢に関する前例のない洞察を提供しています。
分析: ノイズからのシグナルの分離
Operations Management Suite は、お客様のデータ センター全体 (Windows、Linux、Azure、オンプレミス、および AWS) からデータを収集し、最新のマイクロソフトの脅威インテリジェンスとそのデータを関連付けて、お客様の組織を狙った攻撃を検出します。提供されるのは数日遅れの攻撃リストではなく、リアルタイムに更新される情報です。また、行動分析と異常検出を用いて、既知の攻撃パターンとの整合性がある新しい脅威を特定します。すぐに活用でき、問題がもたらす潜在的脅威によって便利な優先順位付けが行われた、最も差し迫った問題のリストが提供されます。
既存の悪意のある IP アドレスへのネットワーク トラフィックを示すビジュアル マップにより、真の脅威が存在する場所をすばやく特定し、理解することができます。
ツール: 迅速かつ効率的なアクションの実施
資格のある情報セキュリティ担当者に対する需要がこれまで以上に高くなっています。2016 年における情報セキュリティの求人数は全世界で 100 万件に達すると見られています。マイクロソフトはセキュリティ担当者の追加採用を直接支援することはできませんが、Operations Management Suite 内の脅威インテリジェンスによってお客様の IT リソースの効率性を向上させ、サイバー脅威の特定やその対応に要する時間を短縮できるよう支援します。
例:
Operations Management Suite は、既知の悪意のある IP と通信するコンピューターのいずれかを検出します。送信トラフィックは特に憂慮すべきものです。お客様は、わずか数クリックで以下を行うことができます。
- その特定マシンを隔離
- その IP に対して通信ネットワーク全体をブロック
- 高速な検索機能を用いて、ネットワーク内のどこかで攻撃者によって実施された他のアクションを検出
Operations Management Suite とマイクロソフトのセキュリティに対するアプローチに関する詳細をご確認ください。
今日、攻撃者がどのように組織を狙っているかについては、Anatomy of a Breach を参照してください。