脅威検知とは、セキュリティエコシステム全体を分析して、ネットワークに侵入する可能性のある、悪意のあるアクティビティを特定することを指します。脅威が検知された場合、現在ある脆弱性を悪用される前に、脅威を適切に無害化する緩和作業を実行する必要があります。
侵害による被害は悪夢のシナリオです。そして、自社の情報を重視する多くの組織では、有能な人材やテクノロジーを問題を起こす可能性がある人物から防御するためのバリアとして配置します。しかし、セキュリティは継続的なプロセスであり、保証はありません。
組織のセキュリティプログラムにおける「脅威検知」という概念には多面性があります。最高のセキュリティプログラムであっても、誰かまたは何かが防御テクノロジーをすり抜けて脅威になる場合に備えて、最悪のケースのシナリオを準備しておく必要があります。
脅威を検知して緩和するには、スピードが決定的に重要です。攻撃者に機密データを探し回る時間をあまり与えないように、セキュリティプログラムは迅速かつ効率的に脅威を検知するものである必要があります。企業の防御プログラムで脅威の大半を食い止めることができるのが理想です。過去に検知されたことがある脅威も少なくないため、脅威への対処方法を知っているからです。そうした脅威は「既知の」脅威であると見なされます。しかし、組織が検知しようとしている新しい「未知」の脅威も別にあります。これは攻撃者が新しい手法やテクノロジーを使用しているなどの理由により、組織が遭遇したことがない脅威が存在することを意味します。
既知の脅威が最良の防御手段をくぐり抜けてしまう場合もあります。そのため、多くのセキュリティ組織が環境内において、既知と未知の両方の脅威を積極的に検知しようとしているのです。それでは、組織はどのようにすれば既知と未知の脅威の両方を検知できるでしょうか?
防御側にはいくつかの役に立つ方法があります。
脅威インテリジェンスとは、以前に検知された攻撃から署名データを調べ、エンタープライズデータと比較して脅威を特定する方法です。この方法は既知の脅威を検知する際に特に効果的ですが、未知の脅威に対しては効果がありません。脅威インテリジェンスは頻繁に利用されており、セキュリティ情報/イベント管理(SIEM)、アンチウイルス、侵入検知システム(IDS)、Webプロキシテクノロジーにおいて大きな効果があります。
ユーザー行動分析により、組織は従業員の通常の行動についてそのベースライン、例えばアクセスするデータの種類、ログオンする時間、物理的な滞在場所などを想定することができます。この方法によると、普段ニューヨークで午前9時から午後5時まで勤務しており、出張する必要がない人が、上海で午前2時にログオンするような突然かつ異常な出来事があれば、イレギュラーな行動であると認識され、セキュリティ分析が必要と見なされます。
攻撃者の行動分析では、情報を比較するためのアクティビティの「ベースライン」がありません。代わりに、ネットワーク上で検出された小さく一見無関係に見えるアクティビティが、実際には背後に攻撃者が潜んでいるアクティビティのトピックパスである可能性があります。こうした情報をまとめるにはテクノロジーと人間の頭脳の両方が必要ですが、組織のネットワーク内で攻撃者がどう行動するかのイメージを形成するのに役立ちます。
攻撃者が見過ごせないような、非常に魅力的なターゲットというものがあります。セキュリティチームはそれを知っており、攻撃者が「えさに食いつく」ことを期待してトラップを設置します。組織のネットワークにおける侵入者トラップには、ネットワークサービスを収容しているように見えるハニーポットターゲット(これは攻撃者にとりわけ魅力的に映ります)や、機密情報を扱うシステムやデータにアクセスするために攻撃者が必要とするユーザー権限を有するように見える「ハニー認証情報」などがあります。攻撃者がこの「えさ」を追いかけるとアラートが生成され、これによりセキュリティチームは、調査すべき疑わしいアクティビティがネットワークに存在することを認識できます。さまざまなタイプのディセプションテクノロジーに関する詳しい内容はこちら。
セキュリティアナリストは組織のネットワークに脅威が出現するのを待つのではなく、自らのネットワーク、エンドポイント、セキュリティテクノロジーにおいて積極的に脅威ハンティングを行い、まだ検知されていない脅威や攻撃者を捜すことができます。これは通常、熟練したセキュリティアナリストや脅威アナリストによって実施される高度な手法です。
組織の従業員、データ、重要な資産のセキュリティを監視するため、十分に開発されたセキュリティ脅威検知プログラムには、上記のすべての戦術が含まれるのが理想的です。
脅威検知には人的要素と技術的要素の両方が必要です。人的要素には、トレンドやデータ、行動、レポートのパターンを分析し、異常なデータが潜在的な脅威であるか誤報であるかを判断できるセキュリティアナリストが含まれます。
しかしながら、脅威検知テクノロジーも検知プロセスにおいて重要な役割を果たしています。脅威検知に特効薬はありません。また、万能なツールもありません。その代わりに、ツールを組み合わせることで組織のネットワーク全体を端から端までカバーするネットとして機能し、脅威が深刻な問題になる前に検知し、捕捉します。
堅牢な脅威検知プログラムは以下のようなテクノロジーを利用しています。
こうした防御手法を組み合わせることで、迅速かつ効率的に脅威を検知し、緩和する機会が増えます。セキュリティは継続的なプロセスであり、何も保証はありません。ビジネスの安全を最大限に確保するのは、お客様とお客様が導入したリソースやプロセス次第です。