ULTRA-Playbookによる自動化で、 SOCのアラート疲れとバーンアウトを回避

この10年の間にサイバー犯罪者による、攻撃とビジネスの方法が大きく変化しました。あらゆる業界でリモートワークが拡大する一方で、サイバー犯罪者は常に新たな攻撃テクノロジーを活用して、ますます高度で危険なサイバー攻撃を行っています。ところが企業や組織は、ネットワークセキュリティや機密性の高いアセット保護に関する対策の強化が進んでいません。つまり、企業や組織におけるネットワークの防御戦略はまだ成長途上なのに対して、サイバー犯罪者によるサイバー攻撃のTTP（戦術、技法、手順）は大きく飛躍に前進しているのです。「いくらうわべが変わっても、本質は変わらない」ということわざがありますが、過去数十年間は結果的に、サイバー攻撃から強固に防御できてきたが、その防御レベルをこれからも維持しようとすれば、ビジネスリーダーはネットワークセキュリティを大幅に変更する必要があります。特に大きな変更として挙げられるのが旧式で手作業の多いアプローチから、新たなテクノロジーを使った自動化戦略への移行です。このような戦略によってサイバーセキュリティの効率化、組織のモラル、業界の満足度を高めることができます。本ブログでは手作業と比較した場合の自動化された脆弱性管理プラットフォームを利用した時の利点と、サイバーセキュリティ業界に及ぼす多大な影響を説明します。

Security Operations Centers：セキュリティオペレーションセンター（以下、SOCという）は長年人材不足に悩まされており、SOCアナリストがインシデント対応作業に専念してきました。SOCアナリストは貴重なスキルセットを持ち、高度な教育を受けた希少な人材から構成されています。しかしながら、前述のように、インシデント通知量が驚くほど膨大なものになっているため、SOCアナリストは作業に忙殺されている状況です。SOCアナリストの60%が昨年だけでも作業量が大幅に増加したと報告しています。さらにIoC（Indicatorsof Compromise）の日常的な分析が主な作業になっており、高いスキルを備えたSOCアナリストが得意とする戦略的で高度な作業に割ける時間がありません。その結果、多くの誤検出で発生する「多数のアラート」によって燃え尽き症候群や失望感が誘発されてしまいます。ほとんどのSOCアナリストは誤検出に対する作業を好んでいないにも関わらず、最も頻繁に行わざるを得ない状況なのです。このような事実はSOCアナリストの不満につながり、セキュリティエンジニアとしてのキャリアパスの再考や変更につながる場合もあります。SOCアナリストの64%が1年以内に新たなキャリアパスを選択する予定があると回答しています。SOCアナリストがこの種の単調なルーチン作業に携わることは、インシデント対応上まったく効果的な戦略ではないことも、問題をさらに深刻なものにしています。意欲をそぐような、終わりの見えない作業はエラーや間違いを招きやすく、長期的には企業や組織にとって多大なコスト負担となります。ただし、企業や組織は、SOCに適切なツールを提供しても、それが活用されない場合もあるため、高いスキルを持っているにも関わらず、非効率な人材投資をする必要はありません。以下で説明するように、SOCにいくら適切なツール類を提供しても大きなメリットがない場合があるからです。

前述のように、SOCチームは非常に優秀で希少な人員で構成されていますが、人材不足に陥っていることが多いのです。SOCチームの人材は退屈で終わりの見えないインシデント対応よりも、プランニングや分析・解析のような業務に適しています。したがって、ほぼすべてのSOCアナリストが、平凡なルーチン作業を自動化したシステムが代行できると考えています。そのためSOCマネージャはコーディングされた自動化プロセスの推進と開発によってインシデント対応プラットフォームの簡略化を模索する必要があります。自動化されたSOCプラットフォームの推進によって、SOCアナリストやジュニアなアナリストの膨大な作業時間を削減できます。これにより企業や組織は年間数百万ドルを削減でき、SOCアナリストの無駄な作業時間を毎日数十時間も省くことができます。その結果、運用報告書の作成、高度な検出ルールの開発、システムやログの追加統合、インテリジェンスの精査による誤検出削減といった高度な業務に専念できるようになります。さらにはSOCアナリストが無数のIoC対処に没頭するのではなく、創意工夫やクリエイティビティを発揮できるようになれば、職場のモラルや満足度も大幅に向上します。

自動化された脅威管理対応システムを活用しても、SOCにはあまりメリットはありません。一方で自動化されたIoC分析の推進によって、様々なメリットが得られます。たとえば、精度の飛躍的な向上、運用コストや必要なリソースの大幅な削減、既存のスタッフのスキルセット向上、はるかに良好で活気に満ちた業務環境を作り、そして何よりも重要なのが、多数のアラートによる燃え尽き症候群の発生を最小化できます。自動化プラットフォームの推進によって、高度なスキルを備えたコード開発能力が求められる脆弱性アナリストは、需要や規模の変化を考慮しながら、新たな自動化プラットフォームの開発に、多くの時間を割けるようになります。長期的に見ると、これも人材への貴重な投資になります。コンピュータフォレンジック技術が、将来的なSOCのパフォーマンス向上に直結するからです。

そのためULTRA REDではGartnerのCTEM（ContinuousThreat Exposure Management）に基づく専用のソリューションを提供し、多数のアラートによる燃え尽き症候群を解消しています。CTEMではセキュリティチームの業務の自動化の推進を可能にすることで、サイバー脅威に迅速に対応できます。

ULTRAREDのULTRA-Playbookについて：

APIを使った統合

WebAPI（ApplicationProgramming Interfaces）を使用したプロセスの自動化は、ワークフローの簡略化、手作業によるエラー解消、時間とリソースの削減につながる強力な方法です。基本的にはウェブAPIによって様々なソフトウェアアプリケーションがインターネット上で相互に通信やデータ交換することができるので、タスクやプロセスをシームレスに自動化できます。

ULTRAREDのサイバーセキュリティソリューションでは、WebAPIを使用して既存の自動化ルーチンに統合でき、アクションのトリガーや通知受信がリアルタイムに行えます。これにより既存のユーザーワークフローやツールと,

弊社のセキュリティソリューションをシームレスに統合することができます。

よくある質問：

新しい脅威ベクターを検出した場合、どのようなPlaybookを作成すればよいのか？ 

• 新しいレポートを生成する。
• インシデント対応のためにSOARに送信する。
• Slackメッセージを送信する。
• ServiceNow/Jiraの問題を作成する。

新しいアセットを発見した場合、どのようなPlaybookを作成すればよいのか？ 

• アセットを割り当ててスキャンする。
• ファイアウォールのフィルタルールを適用する。
• WHOISに送信して追加情報を入手する。
• 他のソースからの追加情報を追加して、アセット情報を強化する。
• Slackメッセージを送信する。

古くなったテクノロジーやソフトウェアの更新が見つかった場合、どのようなPlaybookを作成すればよいのか？ 

• 更新・パッチを自動的にインストールする。
• ベンダー情報を入手する。
• ServiceNow/Jiraの問題を作成する。

新しいアセットのデータを強化した場合、どのようなPlaybookを作成すればよいのか？ 

• SSL証明書を自動的に更新する。
• 機密情報入力フィールドを分析する。
• ServiceNow/Jiraの問題を作成する。

ビジネスリーダーは20年前と同じネットワークセキュリティ標準を使用したいと思っています。そのためにはサイバー犯罪環境での攻撃の変化に注意して、脅威アクターからの攻撃に対処できるように、社内の環境を強化・更新させる必要があります。完全に自動化されたインシデント検出・対処プラットフォームをSOCチームに導入することで、プロセスの簡略化、燃え尽き症候群の削減、人材の維持、全体的な業務環境の向上が可能になります。まずはここからスタートするのが確実な方法です。職場のモラルを向上しながら脅威検出・対処効率を高めるためには、完全に自動化されたSOCツールの推進ほど優れた戦略はありません。自動化システムの導入方法について詳しく知りたい場合は、業界をリードするシステムについてULTRAREDにお問い合わせください。Bottom of Form

‍