** 本記事は、Getting started with threat hunting: five steps to support successful outcomes の翻訳です。最新の情報は英語記事をご覧ください。**
昨年 1 年間で、サイバー攻撃がより複雑になっていることを実感している組織は 59% に上りました1。悪意のある攻撃者はこれまで以上に狡猾になり、ステルス技術を駆使して攻撃を行うケースが増えています。
セキュリティチームはこのような高度な脅威を阻止するために脅威ハンティングを実践していますが、これは簡単なことではありません。
新しいガイド「Getting Started With Threat Hunting (脅威ハンティングの始め方)」では、脅威ハンティングとは何か、なぜ脅威ハンティングがセキュリティ対策に不可欠な要素となったのか、そして脅威ハンティングの方法について解説しています。また、最新の脅威を先取りし、潜在的な攻撃に迅速に対応するために、セキュリティチームが活用しているツールやフレームワークの概要についても詳しく解説しています。
脅威ハンティングの準備に役立つ 5 つのステップ
セキュリティオペレーションにおいては、準備が成功のカギを握ります。本格的なハンティングを開始する前に、正しい土台を築くことが重要です。組織とチームを成功に導くために、次の 5 つのステップをおすすめします。
- 現在のサイバーセキュリティオペレーションの成熟度を把握する
脅威ハンティングを開始するための体制がどの程度整っているか (あるいは整っていないか) を確認するためには、自社のプロセスを、サイバーセキュリティ成熟度モデル (CMMC など) に照らし合わせることが非常に有効な方法です。また、自社の警戒姿勢を監査して、脅威の影響を受けやすいかどうかを判断するのも良い方法です。 - 脅威ハンティングの方針を決める
サイバー成熟度の確認ができたら、脅威ハンティングを自社で行うか、全てをアウトソーシングするか、あるいはその 2 つを組み合わせて行うかを決定します。 - テクノロジーギャップを確認する
既存のツールを検証し、効果的な脅威ハンティングを行うために追加で必要なツールがないかを確認しましょう。現在使用している防御技術の有効性、その防御技術が脅威ハンティングの機能を備えているかなどを重点的に確認してください。 - スキルギャップを確認する
脅威ハンティングには専門的なスキルが必要です。社内に十分な経験がない場合、必要なスキルを身につけるためのトレーニングコースを受講することを検討しましょう。また、サードパーティプロバイダーと連携し、自社チームを補強することも検討しましょう。 - インシデント対応計画を策定して実施する
あらゆる対応を確実に測定・管理するためには、本格的なインシデント対応計画の策定が不可欠です。すべての主要な関係者が直ちに実行できる十分に準備・理解された対応計画を備えることで、組織に対する攻撃の影響を劇的に軽減することができます。
詳しくは「脅威ハンティングの始め方」をご覧ください。
脅威ハンティングを成功させるためのポイント
効果的な脅威ハンティングを行うためには、次世代のテクノロジーと人間による広い専門的知識の組み合わせが必要です。
防御テクノロジー – 大量のシグナルを削減
セキュリティアラートが氾濫してしまうと、脅威ハンターは自らの役割を効率的に果たすことができません。対処方法の 1 つとして、クラス最高の防御テクノロジーを導入することで、防御者は数少ない正確な検出に集中し、その後の調査や対応プロセスを効率化することができます。
Sophos Intercept X によるエンドポイント保護の防御機能は、99.98% の脅威2 をブロックするため、防御者は人的介入が必要となるシグナルに集中できます。
Intercept X Endpoint の詳細および試用版は、こちらから入手できます。
脅威ハンティングテクノロジー – EDR と XDR
脅威ハンティングの担当者が潜在的な悪意のある活動を特定し調査するためには、インプットと調査ツールが必要です。EDR と XDRのツールを使用することで、担当者は疑わしい検出をすばやく確認し、徹底的に調査できます。
EDR は、エンドポイントソリューションによるインプットを提供します。一方 XDR は、ファイアウォール、モバイル、メール、クラウドセキュリティソリューションなど、IT 環境全体のシグナルを統合します。サイバー犯罪者はあらゆる攻撃の機会を狙っているため、シグナルの網を広げれば広げるほど早期発見が可能になります。
Sophos XDR は、セキュリティアナリストと IT 管理者向けに設計されており、IT 環境全体におけるインシデントの検出、調査、対応を可能にします。脅威ハンティングと IT オペレーションのさまざまなシナリオをカバーする、カスタマイズ可能なテンプレートライブラリから、重要な情報を即座に入手することができます。
Sophos XDR の脅威ハンティング機能を試すには、製品版トライアル (Sophos Central アカウントをお持ちの場合) を開始するか、XDR が含まれる Sophos Intercept X Endpoint のトライアルをご利用ください。
脅威ハンティングサービス – MDR (Managed Detection and Response)
フルマネージドサービスとして提供される MDR により、24 時間 365 日体制で潜在的な脅威を探索するセキュリティアナリストの専門チームが組織をサポートします。ESG Research の調査により、51% の組織が、脅威の検出と対応のためのテレメトリデータの統合を支援する、MDR (Managed Detection and Response) サービスプロバイダーを利用していることが明らかになっています。
ソフォスの Managed Threat Response (MTR) のような MDR プロバイダーには、社内だけのセキュリティオペレーションプログラムとは異なるさまざまな利点があります。その中でも最も大きな利点は、豊富な経験です。
ソフォスの MTR チームは、何千時間にも及ぶ経験を持ち、敵からのあらゆる攻撃をその目で見て対処してきました。また、1 つの組織に対する攻撃から学んだことを、すべての顧客に適用することができます。もう 1 つの利点は規模の大きさです。Sophos MTR チームは、3 つのグローバルチームによって 24 時間 365 日体制のサポートを提供することができます。
Sophos MTR がお客様の組織をどのようにサポートするかについては、ソフォスの担当者にご相談いただくか、問い合わせフォームをご活用ください。また、最新の MTR リサーチとケースブックもご覧ください。
1ランサムウェアの現状 2022年版 – ソフォス
2AV-Test の平均スコア:2021 年 1 月 – 11月