Extended Detection and Response (XDR) は、セキュリティインシデントの検知、調査、対応の次の進化形と考えられていますが、XDR とは何か、何ではないのかについては、いまだに混乱があるようです。
VMware Carbon Blackのシニア・テクニカル・マーケティング・マネージャーであるEvin Hernandez氏に、XDRの定義、メリット、ITおよびセキュリティ・チームへの影響、そしてXDRにおけるMITRE ATT&CKフレームワークの役割が組織にどのような付加価値をもたらすのかについてお話を伺いました。
XDR をどのように定義しますか?
XDR は、従来のエンドポイント検出・応答 (EDR) を強化したアプローチです。これは、エンドポイント、ネットワーク、サービスアプリケーションとしてのソフトウェア、クラウドインフラストラクチャ、およびあらゆるアドレス指定可能なリソースにまたがる攻撃を検出するモデルを提供します。
XDRは、ネットワークとアプリケーションスタックのすべてのレイヤーを可視化する必要があり、イベントの検出と自動相関を提供します。そして、機械学習を重ねることで、より実用的なイベントを明らかにします。
XDRとSIEMの違いは何ですか?
私の考えでは、両者は非常に似ていると思います。義理の兄弟のようなものでしょうか?SIEMはすべてのログデータを収集するもので、数人の高度なSOCアナリストがそのデータをふるいにかけ、収集したばかりの異常や攻撃を見つけ出します。そして、発見された異常や攻撃を自動化するように設定します。
XDRとの最大の違いは、SOCアナリストの手からこのプロセスを取り除き、アラートの真の有効性を提供しようとしている点だと思います。また、収集しているデータは、特にセキュリティ イベントと、プラットフォーム上でネイティブに実行できる自動化、そしてアナリストに送信する必要のあるデータに特化しています。
Extended Detection and Response で得られるものは何ですか?
時間です。
XDR では、侵入された場合やインシデントが発生した場合、時間が非常に重要になると思います。違反通知が出る前に、そのインシデントがどのようにして発生したのか、そして何が起きたのかを素早く理解する必要があります。そして、すべての関係者を巻き込む必要があります。また、何が、どこで、どのように触られたのかを理解し、結果として何らかのアクションが取られ、適切なチームに警告を出す必要があります。
つまり、リスクや滞留時間、横方向への動きを軽減するためには、時間が重要なのです。XDRはそこに光を当てています。
ユースケースについて少しお話いただけますか?それは何ですか?
脅威狩り脅威ハンティング、トリアージ、調査などがユースケースの一部です。
脅威狩り脅威ハンティングの観点からは、XDR は TAU チーム (VMware Threat Analysis Unit™) に、すべてのものがどのように通信しているか、また、攻撃がどのように環境を通過しているかをよりよく理解させることができます。環境とは、パブリック・クラウドやプライベート・クラウド、アプリケーション、エンドポイント、ユーザーが実際に座っている場所などを意味します。このように、専門家がこれらすべての情報を調べ、脅威を探している場合、データはすでに相関しているので、相関させる必要はありません。ポイント製品を見てパズルのピースを組み合わせるのではなく、攻撃キャンペーンがどのように起こったかに集中することができます。
トリアージと調査は、脅威狩り脅威ハンティングと密接に関連しています。虚偽のアラートやセキュリティに関係のないアラートをトリアージして、このネットワークデータはすべてXDRの意味では有効ではないと言えるようにしなければなりません。違反があると思ったら、それを調査できるようにすることも必要です。
そして、収集されたすべてのデータを調査した上で、それらの個々のポイントをピアリングして、トリアージするのです。
XDRはセキュリティ専門家にとってどのように役立ち、企業にどのような影響を与えていると思いますか?
私は、セキュリティ専門家がより多くの経験を積むことができるようになると思います。多くの場合、セキュリティ専門家には、自分の好きなドメインがあります。しかし、XDRを利用することで、攻撃のライフサイクルをより明確に学び、理解することができます。
また、ネットワークセキュリティやアプリケーション・セキュリティについても、セキュリティの観点から理解できるように、すべてのイメージを文脈の中で組み合わせているので、何か新しいことを学ぶことができるかもしれません。
XDRにおけるMITRE ATT&CKフレームワークの役割と付加価値について教えてください。
MITREは素晴らしいフレームワークです。スペースに理解をもたらしてくれる。攻撃がどのように行われているかを理解するための唯一のフレームワークではありませんが、非常に広範で詳細なので、素晴らしい理解をもたらしてくれると思います。
XDRに関しては、その理解が深まり、実行可能なアラートや遠隔測定データを使って、キルチェーンの行動を見ることができるからです。1つの視点だけではなく、全体としての理解を深めることができます。これにより、リメディエーション・インシデントの修復への対応に関しては、フレームワークを介して迅速に問題を解決し、攻撃者をよりよく理解し、その価値を必要とする組織に予防策を提供することができるため、多くの価値が付加されます。
XDRについて
XDRに関して言えば、顧客がプラットフォームへの移行を検討している場合、そのプラットフォームがどのようにデータを収集し、まとめているのか、そしてそのデータがどこから来ているのかを理解しなければならないと思います。そうすれば、組織が使用したいと思うような方法でデータを実行可能なものにすることができます。
これは、検知、対応、予防だけでなく、毎日自分の組織を見ていて安心できるということでもあります。毎朝起きて車に乗り、シートベルトをしています。それと同じようなものです。
ですから、プラットフォームを検討する際には、セキュリティが組み込まれている必要があります。そして、それらのアラートは、プラットフォームの観点からお互いを理解し、できるようにしなければなりません。サードパーティのツールを介さずにアクションを起こせるように。
もっと詳しく知りたい方は、VMworld Japan のセキュリティ関連のオンデマンドセッションをご視聴ください。多数のコンテンツを取り揃えております。
お問い合わせは、こちらまでご連絡ください。
Info JP VMware Carbon Black : [email protected]