The man in glasses standing on screens background
VMware Carbon Black セキュリティ

XDRを定義する


エンドポイント検出・対応(EDR)市場は、現在、最大の変化と革新の時期を迎えています。

歴史的に、EDRはシステムの境界線保護を提供するために作られました。これは、攻撃を受けたエンドポイントをカバーし、その結果、多くのセキュリティギャップや死角をカバーするエンドポイントセキュリティを提供します。

しかし、EDRだけでは環境を保護したり、環境の完全な可視性を提供したりすることはできません。しかし、EDRは攻撃者がエンドポイントに対して行っている行動を可視化し、そこから実行できることを制御することができます。EDRを効果的に使用するには、他の監視・検知ツールとの連携や、NGAVなどの他のエンドポイント保護ソリューションとの緊密な統合が必要です。

次の波は、エンドポイントを超えてEDRを拡張し、アプリケーション、ネットワーク、ユーザーなどの他の制御ポイントのファブリックにEDRを縫い付けることです。そして、この変化に伴い、新しいアプローチが登場します。XDRです。

XDRとは?
Extended detection and response (XDR) は、セキュリティインシデントの検出、調査、対応を進化させたものです。これは、ネットワーク、エンドポイント、およびその他のシステム全体のデータの完全な可視性を提供することで、EDR がカバーしてきたテレメトリーの収集、対応という範囲を超えています。拡張EDR(またはXDR)は、この情報ギャップを埋めるために設計されました。エンドポイントに対してEDRが行うのと同じレベルの可視性と制御を、ITインフラストラクチャ全体のセキュリティ・ランドスケープ全体に提供します。

XDRは、セキュリティチームがより効果的かつ効率的に活動できるように工夫されています。

  • 隠れた脅威や高度に洗練された脅威の特定
  • より多くの自動化を促進
  • 検出と対応速度
  • 複数のシステムにまたがる脅威の追跡

XDRと他のセキュリティソリューションの違い
XDRが他のセキュリティツールと異なるのは、脅威検知とインシデント対応のユースケースに焦点を当てている点です。複数のソースからのデータを一元化、収集、分析し、完全な可視化を可能にします。これらのソリューションはアラートの検証をより適切に行うことができるため、セキュリティチームが冗長なアラートや不正確なアラートに費やす時間を削減することができます。

EDRとセキュリティインシデントおよびイベント管理
(SIEM)を組み合わせても、同様の結果を得ることができます。ただし、XDRはターゲットとなるソースから深いデータを収集するのに対し、SIEMソリューションは多くのソースから汎用的なデータを収集します。

XDRが解決する問題点
XDRは、現代のSOCチームが直面している主な課題を解決することを目的としています。具体的には、行動分析、脅威インテリジェンス、行動プロファイリング、分析のネイティブサポートを含む、時代遅れの製品、標的型攻撃への効果的な検出と対応ができないことなどです。

XDRが具体的に何を解決しているのかを理解するために、SOCの次のような課題を考えてみましょう。

検知
SOCには、いつ、どこで注意を払うべきかを警告する何らかのメカニズムが必要です。従来のSIEMは、サードパーティのセキュリティ製品からアラートやイベントを収集し、アラートをフィルタリングするためにある程度の相関関係を行います。 しかし、SIEMには、インフラストラクチャで実際に何が起こっているかを理解するための生データや分析機能がありません。また、その規模のデータを収集して分析するように設計されていません。 そのため、不審なアクティビティや正当なソフトウェアを利用した攻撃に対して警告を発する機能は限られています。XDR にはこのような機能があり、エンドポイントやワークロードのテレメトリーの域を超えて、この種の分析を拡張します。

調査
SOCは感染したマシンのリストを必要とし、攻撃の「キャンペーン」(すべてのマシン、攻撃者がどのように侵入したか、何を変更したか、どこに永続化メカニズムを残したかなど)を理解する必要があります。

  • 環境全体を検索する(例:この種の活動を見たことがある場所をどこでも教えてくれるなど
  • 時間の前後を検索する(例:カメラを巻き戻して、その活動に至るまでの経緯とその後の状況を表示する

組織は、このモデルをより多くのユーザー、ネットワーク、およびアプリのテレメトリーにまで拡張しようとしています。  従来、SIEM製品はこの種のデータをネイティブに収集しておらず、代わりにセキュリティ管理からアラートやイベントを収集していました。SIEM製品を拡張してこれらの機能をサポートするには、この規模のデータと分析に対応するために、根本的に異なるアーキテクチャが必要です。

レスポンス
XDR は、EDR で利用可能な対応アクションを拡張し、他のコントロールポイントとの連携と統合を強化する。完全なキャンペーンが理解されると、それが必要になります。

封じ込め 攻撃者が他のシステムに侵入したり、痕迹を消去したり、データを外部に流出させたりするのを阻止します。
クリーンアップ すべての遠隔操作が可能な仕組み(コマンド&コントロール)を削除します。
接種 二度と同じことが起こらないように、ハーデンングや防御ポリシーを変更してください。同じことを二度も調査するのは無意味です。

そして、これはまさに今日のEDRがエンドポイントやワークロードで行っていることです。しかし、ドメインをまたいで対応できることは大きなメリットです。

5つの属性
上記のSOCの課題以外にも、今後ますますXDRの重要性を増していくであろう5つの重要な属性があります。

アナリティクス 行動分析と水平/時間軸検索:「悪い」攻撃者が使用している「良い」アプリケーションやプロセスを 特定できるようにします。
データ環境内の正常なアクティビティのベースラインを作成して、異常なアクティビティをより迅速かつ確実に特定できるようにします。
ドメイン エンドポイント、ワークロード、ネットワーク、ユーザー、アプリなど、すべての要素を考慮します。
自動化 自動化を活用して複雑なプロセスを完了させることで、スピードを向上させ、対応時間を短縮し、効率を向上させます。
クラウド 拡張されたデータセットと分析のための分散型エンタープライズとスケールコンピュートに対応します。

EDRの未来
組織は、検出と対応のプロセスと技術の変更を必要としています。従来のソリューションには限界があります。従来のソリューションでは、今日の企業や攻撃者に対応するための柔軟性や規模を提供することができません。

現在のEDRは、1つの対処型ソリューションですが、攻撃に対する単一の視点を提供しています。XDRは、エンドポイント、ネットワーク、クラウドを横断したより広範な可視性を提供します。より効果的な機械学習分析と統合と組み合わせることで、XDRは脅威の探索、調査、検出、および対応の状況を変える可能性があります。

もっと詳しく知りたい方は、VMworld Japan のセキュリティ関連のオンデマンドセッションをご視聴ください。多数のコンテンツを取り揃えております。

お問い合わせは、こちらまでご連絡ください。
Info JP VMware Carbon Black : info-jpvmcb@vmware.com