ネットワークが最良の防御である理由：脅威の検出、調査、対応のための完全ガイド

この「Network-as-a-Sensor (センサーとしてのネットワーク)」モデルは、脅威の早期検出を可能にするだけでなく、認証ログ、VPNアクティビティ、システムイベントなどのテレメトリのパターンを相関付けることにより、詳細な調査にも役立ちます。

エンフォーサーとしてのネットワーク：ノイズからアクションへ

取り締まりを伴わない検出は、ノイズの抽出に過ぎません。そこで重要になるのが「Network-as-an-Enforcer (エンフォーサーとしてのネットワーク)」という概念です。これは、ネットワークで悪質なアクティビティを識別するとともに、ポリシーの適用や脅威のリアルタイムでのブロックも行うべきだという考え方です。

Splunkとシスコのソリューションを組み合わせれば、ネットワークの機能を強化できます。ネットワークに執行層としての役割を持たせ、MTTD (平均検出時間)、MTTR (平均対応時間)、MTTC (平均封じ込め時間)を短縮できます。たとえば、調査中に内部脅威が検出された場合(攻撃者が正規ユーザーの認証情報を悪用しているなど)、ネットワークポリシーによって、侵害されたデバイスを隔離し、ラテラルムーブメントによる拡散をすばやく阻止できます。Splunkとシスコの組み合わせには、テレメトリデータを統合して、より詳細な可視化と自動化によるスマートな対応を実現できるメリットもあります。Splunkの強力な分析とシスコとの統合を組み合わせることで、ネットワークを、プロアクティブな検出と迅速な修復の両方を行うための拠点にできます。これにより、ネットワークは、受動的な観察者から積極的な防御者へと進化します。

ユースケース：Enterprise Networking App for Splunk

ネットワークデータを最大限に活用するには、データを統合して効果的なアクションにつなげる必要があります。そこで役立つのが、Cisco Enterprise Networking App for Splunkです。このソリューションを使えば、すべてのシスコ製品で収集されたテレメトリをSplunkの単一のインターフェイス内にまとめることで、データの取り込み、相関付け、分析の複雑なワークフローを簡素化できます。

たとえば、Alfredというユーザーから、アプリケーションにアクセスできないという問題が報告されたとします。セキュリティチームは、Enterprise Networking Appと連携するSplunkダッシュボードで、以下の対応ができます。

• ネットワークの健全性に関するメトリクス(稼働時間、ホストの健全性スコアなど)をチェックします。
• ファイアウォールのドロップログを調査して、アクセス制限ポリシーへの違反を示すエントリーを探します。ICE (Identity Services Engine)のテレメトリを介して、エンドポイント、ユーザーアクティビティ、デバイス接続を相関付けます。

調査によって、Alfredのデバイスがセキュリティ対策の不備のために検疫ポリシーに違反していることがわかりました。そこで、Alfredのデバイスを隔離し、修復措置を講じました。これにより、Alfredが業務を続けられるようにすると同時に、脅威がネットワーク内で拡散するリスクを最小限に抑えることができました。

TDIR (脅威検出、調査、対応)の強化

今日のセキュリティ運用の中心となるのは、TDIR (脅威検出、調査、対応)です。Splunkとシスコは、このプロセスをサポートするために、以下の重要な4つの柱に重点を置いています。

1. データ

すべてのデータをSplunkに集約するのではなく、適切なデータを適切な場所で利用できるようにします。たとえば、以下のように使い分けます。

• リアルタイム検出では、ファイアウォールを通過した東西トラフィックなどのテレメトリを使用します。
• 詳細な調査では、Amazon S3などのデータレイク全体に対して統合サーチを実行します。

2. 分析

分析では、業界固有のリスクと攻撃者の行動に基づいて脅威をモデル化することが重要です。

たとえば、リテール(小売)企業の場合は、内部者による知的財産の窃取の検出を優先し、製造企業の場合は、ランサムウェアの防止に重点を置くといった対応が考えられます。

3. 自動化

増加の一途をたどる脅威に対応するには、定型作業を自動化することが必須です。たとえば、Splunk SOARのフィッシング対応ワークフローでは、インシデントの最大60%を自動修復できます。これにより、アナリストは、より優先度の高い脅威への対応に集中できます。

4. AIと機械学習

Splunkでは、リスクベースアラートやアノマリ検出など、可視化と予測を強化するためにAIを活用した機能を利用できます。事前構築済みの機械学習モデルを使って、DNSトンネリング、C2トラフィック、マルウェアの挙動と関連するパターンをより効果的に検出することもできます。

ユースケース：Splunk Attack Analyzerによる脅威分析の自動化

Splunk ES、Splunk SOAR、Splunk Threat Analyzerを組み合わせることで、マルウェア分析のような時間のかかるタスクを自動化できます。その仕組みは以下のとおりです。

1. 検出：Splunk ESによって、不審なURLにフラグが立てられます。
2. 自動化：不審なURLをワンクリックでSplunk Threat Analyzerに送信できます。Splunk Threat Analyzerでは、ペイロードがサンドボックス内で実行され、隠されたIOCが抽出され、マルウェアの挙動が数秒で明らかになります。
3. インサイト：Splunk Threat Analyzerによって判定結果とMITRE ATT&CKマッピングを含む詳細なレポートが作成されます。これにより、アナリストの手作業を削減できます。

ある事例では、フィッシング攻撃で悪意のあるSVGファイルが使われましたが(増加傾向にある攻撃手法です)、Splunk Threat Analyzerによって、ファイルに埋め込まれたJavaScriptが検出され、C2トラフィックにフラグが立てられたため、SOCは未然に対応して被害を回避することができました。

実践ポイント

Splunkとシスコを活用してTDIR能力を強化するためのポイントは以下のとおりです。

• 可視性の向上：ネットワークを、異常を検出するためのセンサー兼、脅威を隔離するためのエンフォーサーとして扱います。
• 統合の活用：Cisco Enterprise Networking App for Splunkなどのツールを活用して、環境全体でテレメトリを統合し、分析を簡素化します。
• スマートな自動化：Splunk SOARを導入して、フィッシング対応など、定型的なプロセスを自動化して負担を軽減すると同時に、Splunk Threat Analyzerを統合して、ペイロードの調査を自動化します。
• リスクベースアラートの導入：サイロ化したデータを調査する時間を節約して、忠実度の高いアラートや潜在的な攻撃チェーンへの対応に注力します。
• AIと機械学習への投資：Splunkの事前構築済みのモデルを利用して、悪質な挙動のパターンをプロアクティブに検出し、早い段階で詳細な調査を行います。適切なツールとアプローチを取り入れれば、ネットワークが、最新の脅威から組織を守るための強力な味方になります。さっそく取り組みましょう。

Splunkとシスコを組み合わせてセキュリティとネットワークを統合

Splunkとシスコの相補的な強みを活かせば、検出の迅速化、調査の効率化、対応の自動化を実現して、組織のセキュリティを維持できます。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。