セキュリティ運用 (SecOps) 規範を開発するときは、この記事を使用して、一般的な SecOps アンチパターンを特定、回避、修正します。
このガイダンスは、SecOps の最新化を計画または参加するすべてのユーザーに対して、一般的な SecOps アンチパターンを特定、回避、修正するのに役立ちます。
SecOps アンチパターンとは
アンチパターンは、最終的には効果のない一般的な繰り返し動作です。 アンチパターンは有効性を損なったり、実際にリスクを増大させたりするものであり、対応時間の長期化、アナリストのバーンアウト、インシデントの再発、そしてビジネスインパクトの増大を招くことが少なくありません。
SecOps では、通常、チームが測定可能なセキュリティの結果よりもツール、データ、または組織のサイロに優先順位を付けると、アンチパターンが出現します。 これらの動作は修正されず、検出と対応が遅くなり、攻撃者のアクティビティがあいまいになり、インシデントからの組織の学習が妨げられます。
SecOps のアンチパターンを回避すると、組織は次のことに役立ちます。
- 攻撃をより迅速に検出して封じ込めます。
- 運用上のノイズとアナリストの疲労を軽減します。
- セキュリティ、IT、エンジニアリング チーム間のコラボレーションを向上させます。
- 繰り返しの作業ではなく、インシデントを永続的なリスク削減に変えます。
この記事のアンチパターンを使用して、繰り返すのではなく、既知の間違いから学習します。
アンチパターンを回避する
すべての SecOps アンチパターンは、ツールファーストの考え方から成長します。 高い成果を上げる SecOps プログラムは、まず次のことから始まります。
- SecOps ミッションを明確に定義する。
- 結果と成功メトリックを特定する。
- テクノロジの前に人とプロセスを調整する。
- 時間の経過と同時に防止と応答を向上させる学習ループを構築します。
Microsoft の構造化されたセキュリティ導入モデル は、SecOps の決定をツールの蓄積ではなくビジネス成果に固定することで、アンチパターンの落とし穴を回避するのに役立ちます。
一般的な SecOps アンチパターン
このビジュアルは、一般的な SecOps アンチパターンを示しています。
次のアンチパターンは、すべてのサイズの組織で繰り返し表示されます。 形式は異なりますが、SecOps ミッションと日常の実行の間のミスアラインメントという共通の根本原因を共有しています。
目隠しを身に着けている
データがないと、SecOps は何が起こったのか、なぜ発生したかを調査できません。
SecOps に攻撃の検出または調査に必要なテレメトリがない場合、インシデントは可視性や説明責任なしで展開されます。
ログがなければ、次のことを確実に行う方法はありません。
- 攻撃者のアクティビティを検出する
- タイムラインを再構築する
- 根本原因を特定します
- 攻撃者が同じ手法を使用して戻らないようにする
これは、多くの場合、コストの懸念、所有権の不明確さ、プライバシーの不確実性、または最も重要なログに関する明確さの欠如に起因します。
修正方法
可視性は省略可能ではありません。 まず、ID 侵害、エンドポイント アクセス、コントロール プレーンの変更など、最もリスクの高い攻撃シナリオに直接関連付けられた最小限の優先順位付けされたログベースラインから開始します。 アナリストがこのデータにアクセスして使用できることを確認してから、意図的に拡張します。
主なプラクティス
このアンチパターンを回避するための主なベスト プラクティス:
- ビジネス上の損害につながる攻撃シナリオのユース ケースを定義します。 セキュリティ アーキテクトと連携して、予防と検出に対する調整されたアプローチを確保することが理想的です。
- シナリオに優先順位を付ける 影響の大きい脅威に関連するアクティビティのログ記録を最初に有効にできるように、リスクの高いシナリオに優先順位を付けます。
- ログ ベースラインを確立します。 主要な攻撃シナリオにマップされた重要なデータ ソース (ID、エンドポイント、クラウド コントロール プレーン) を定義します。
- インジェストを検証します。 ログが流れ、アナリストと自動化で使用できるかどうかを確認します。
- アドレスの所有権: ログの構成、保持、およびコスト管理にアカウンタビリティを割り当てます。
- 継続的な改善: テレメトリを段階的に追加し、新しいソースごとに実用的な検出または調査がサポートされるようにします。
コレクションは検出ではない
より多くのデータを収集しても、セキュリティは自動的に向上しません。
このアンチパターンは、組織が明確な検出目標なしで大量のテレメトリを取り込む場合に発生します。 その結果、アラートの疲労、高いストレージ コスト、ノイズに埋もれた重要な信号が発生します。
テレメトリはイネーブラーであり、目標ではありません。 検出とは、攻撃者の動作と通常のアクティビティを区別することです。これには、ボリュームではなく関連性が必要です。
修正方法
すべてのデータ ソースを、定義された検出または調査の結果に合わせます。 ログが攻撃の検出や対応に大きく役立たない場合は、運用上の責任です。
主なプラクティス
このアンチパターンを回避するための主なベスト プラクティス:
検知とは、脅威アクターの振る舞い(異常)を、通常のユーザーやシステムの振る舞い(正常)と区別することです。したがって、品質は量よりも関連性に左右されます。
- 目標を揃える: 主要なデータ ソースごとに特定の検出結果を定義します。 データ ソースを特定の保護目標にマップします。
- データのスプロールを回避する: 検出またはコンプライアンスの要件をサポートしていない冗長または低価値のログを排除します。
- 責任を確立する: データの品質、正規化、スキーマの整合性、保持に対する責任を割り当てます。
- 検出値を測定する: データ ソースごとに生成された検出を追跡して、運用上の影響に合わせて投資を確実にします。
- 継続的にチューニングする: 分析、プレイブック、インジェスト パイプラインを定期的に確認して、関連性を維持し、ノイズを軽減します。
家族から秘密を守る
SecOps の分析情報が SOC 内に閉じ込められたままになると、組織は繰り返し発生するインシデントのサイクルで停止します。
インシデント学習が共有されていない場合:
- アーキテクトは全身の弱点を修正できない
- エンジニアは予防コントロールに優先順位を付けることができない
- 指導者は変化を正当化するために必要な証拠を欠いている
SecOps は、学習機能ではなく、場当たり的な火消し対応になってしまいます。
修正方法
アラートとインシデントの管理と対応中に分析情報がキャプチャされ、共有されない場合、弱点が何度も悪用され、改善の機会が見逃されます。
有効な SecOps では、これらのループを閉じ、根本原因分析を実行し、防止、ログ記録の改善、その他の対策を必要に応じて実装できるユーザーと情報を共有する必要があります。
アーキテクチャ、エンジニアリング、リーダーシップ チームとインシデントの分析情報を共有するための、軽量で反復可能なメカニズムを確立します。
主なプラクティス
このアンチパターンを回避するための主なベスト プラクティス:
- インシデントを技術的な脅威インテリジェンスに変換する: 侵害の兆候やその他の調査結果が検出と防止の戦略をフィードしていることを確認します。
- 機能間のインシデント レビューを確立する: IT チーム、アーキテクチャ チーム、およびセキュリティ チームを、インシデント後の短い構造化されたレビューに参加させ、予防措置を特定し、優先順位を付けます。
- レッスンをワークフローに統合する: スプリント振り返りまたはメンテナンス期間を使用して、インシデント処理中に特定された機能強化を実装します。
- 結果を文書化して共有する: 軽減策、構成の更新、検出の変更に関する組織全体の目に見える記録を維持します。
- コラボレーションの文化を育む: チーム間でオープンな対話を促進し、運用上の分析情報が戦略的な防御の改善を確実に通知できるようにします。
- 反射による速度のバランス: 新しい優先順位に移行する前に、解決されたインシデントを分析する時間を割り当てて、各イベントが長期的な回復性に貢献することを確認します。
ネットワークだけが真実の源ではない
最新の攻撃では、ID の不正使用、クラウド API、SaaS 統合、ソーシャル エンジニアリング (トリッキー)、その他の攻撃を使用して、従来のネットワーク境界制御ポイントを日常的にバイパスします。
主にネットワークテレメトリに依存している組織は、次の点を見落としています:
- トークンの不正使用と資格情報の盗難
- コントロールプレーンの操作
- アプリケーションからアプリケーションへの攻撃
- 承認されたチャネルを介したデータ流出。
テレメトリを多様化する組織は、ID サインイン、条件付きアクセスの結果、エンドポイント センサー テレメトリ、クラウド コントロール プレーン イベント、データ アクセス パターン、ネットワークの異常など、さまざまなデータ ソースの関連付けから始まります。
主なプラクティス
この問題を解決することは重要です。 まず、このシフトの重要性を認識し、SecOps スキルを拡張するための新しいツールと教育に投資します。
このアンチパターンを回避するための主なベスト プラクティスは次のとおりです。
- ネットワークを超えて広げる: ネットワーク ツールに加えて、ID、エンドポイント、アプリケーション、データなどのツールとシグナルを含めて、最新の攻撃パスをキャプチャします。
- ソースの関連付け: ネットワーク データを ID およびクラウド信号に関連付ける
- ID とコントロール プレーンに優先順位を付けます。 ネットワーク トラフィックと共に、サインイン パターン、トークンの使用状況、特権操作を監視します。
- ゼロトラストの原則を採用する: すべてのリクエストを信頼しないものとして扱います。 ネットワーク インジケーターだけでなく、使用可能なすべてのシグナルを使用して明示的に確認します。
- 継続的な検証: 検出ギャップを定期的に確認し、継続的に進化する攻撃者の手法に対応するために収集戦略を調整します。
ここでは発明されていません
SecOps チームが既定でカスタム ツールを構築する場合、時間を無駄にし、脆弱性を高めます。
カスタム ソリューションでは、環境、攻撃者、プラットフォームの変化に合わせて一定のメンテナンスが必要です。 貴重なエンジニアリング サイクルは、実際のリスク削減を改善するのではなく、コモディティ検出を維持して消費されます。
修正方法
この問題を修正することは重要であり、既定ではなく、カスタム作業を例外にする必要があることを認識して始まります。
主なプラクティス
このアンチパターンを回避するための主なベスト プラクティスは次のとおりです。
- "カスタマイズする前に構成する" を採用します。 一般的な脅威にはベンダー ツールと分析を使用し、独自のビジネス リスクについてはカスタム エンジニアリングにフォールバックします。
- カスタム コンテンツの監査: 冗長性や脆弱性を特定するために、自作の検出とパーサーを定期的に確認します。
- メンテナンス コストを測定する: 特注ソリューションの修正と検出範囲の改善に費やされた時間を追跡します。
- ベンダーの更新プログラムを活用する: ベンダーが提供する分析と脅威インテリジェンスを常に最新の状態に保ち、重複を減らします。
- 差別化に重点を置く: カスタム開発を、カスタマイズされた検出ロジックの恩恵を受けるシナリオに向けて行います。
光沢のある物体症候群
SecOps チームは多くの場合、高度な攻撃手法に重点を置きますが、基本的な機能は未成熟のままです。
これにより、次の結果が得られます。
- 基本的なコア検出とインシデント対応機能の弱点。
- SecOps の有効性が低下した理由:
- 一般的な攻撃手法は、高度な手法よりもはるかに多くの組織に影響を与えます。
- SecOps は、基本的な検出、自動化、または衛生管理がまだ未熟な場合に、高度なケースの処理に苦労することがよくあります。
結果は、無駄なリソースとリスクの増加のサイクルです。
修正方法
このパターンを修正することは重要であり、新しいテクノロジとサイド クエストでは有効性が生まれないという認識から始まります。運用上の規範と成熟度です。
主なプラクティス
このアンチパターンを回避するための主なベスト プラクティス:
- 最初に基本事項に優先順位を付けます。 高度な検出機能と SecOps 機能を追求する前に、インシデント対応プロセスと一般的な攻撃検出機能が成熟していることを確認します。
- 評価基準を定義します。 新しいツールや投資に対して、明確なユース ケースの配置、測定可能な価値、統合の可能性が必要です。
- 展開する前に操作可能にする: 複雑さの追加レイヤーを導入する前に、既存のテクノロジを完全にデプロイして測定します。
- イノベーションを成果に合わせる: 定義されたギャップを解決するか、検出時間と応答時間のメトリックを改善することにイノベーションの取り組みに焦点を当てます。
- レビュー チェックポイントを確立します。 パイロット プロジェクトと新しいツールが生産価値に移行したかどうかを定期的に評価します。
それらをすべてルールする 1 つのツール
最新の攻撃の全範囲を検出または対応できるツールは 1 つもありません。
その魅力は理解できる。 1 つのツールで、シンプルさと可視性を実現します。 しかし、最新の攻撃は複数のレイヤーを悪用します。 ただし、セキュリティ情報およびイベント管理 (SIEM) システム、エンドポイントの検出と応答 (EDR) ソリューション、またはファイアウォールのみに依存すると、ID、クラウド、データなどの可視性が低いスポットが残ります。
ログでいっぱいの SIEM は強力ですが、ID シグナル、エンドポイント テレメトリ、クラウド コントロール プレーン イベントがない場合は、重要なコンテキストを見逃します。 同様に、EDR だけでは、資格情報の不正使用や SaaS データ流出を検出できません。 効果的な防御には、ツールが連携し、データを共有し、応答を自動化する階層化されたアプローチが必要です。
目標は、プラットフォームの統合を放棄することではなく、1 つのツールが完全な保護と等しいと考えるというトラップを回避することです。 成熟した SOC は、統合された基盤に基づいて構築され、補完的な機能で拡張されます。
修正方法
この誤解を修正することは重要であり、最初に、1 つの製品が完全な攻撃面全体で完全な検出を提供できないという認識から始まります。
このアンチパターンを回避するための主なベスト プラクティス:
- レイヤーで考える: ID、エンドポイント、ネットワーク、クラウドのテレメトリを組み合わせて、全範囲の検出を行います。
- Leverage プラットフォーム統合: Microsoft のセキュリティ エコシステムを使用して、シグナルを統合し、ドメイン間の応答を自動化します。
- カバレッジを検証: どの攻撃手法に対応できており、どこにギャップが残っているかを定期的に評価します。
- ツールをユース ケースに合わせます。 各機能が定義された検出または対応目標をサポートしていることを確認します。
- 相互運用性のための設計: プラットフォーム内であっても、コンポーネントがデータを共有し、アクションを調整する方法を文書化します。
Toolapalooza!
チームが統合または運用化できるよりも速くツールを蓄積すると、結果を改善することなく複雑さが増します。
新しい各製品は、可視性の向上や迅速な対応を約束しますが、統一戦略がなければ、結果は Toolapalooza になります。これは、アナリストが簡単な調査を実行するために複数のコンソール、クエリ言語、およびアラート キュー間を移動する必要がある過剰なツールセットです。 この断片化により、認知負荷が増大し、対応が遅れ、重要なデータが個々の製品内に閉じ込められたままになっているため、防御の行き届かない領域が生まれます。
この救済策は、意図的な結果主導のツール戦略です。 各テクノロジには、検出の平均時間の短縮、調査の高速化、封じ込め整合性の向上など、特定のビジネスまたは運用上の結果にマップされた定義済みの目的が必要です。
重複が存在するツールを統合し、自動化を使用して、手動作業の新しいレイヤーを追加するのではなく、必要なシステムをブリッジします。 ツールセットを簡略化しても、機能を犠牲にするわけではありません。これは、検出、対応、回復の効果を実証的に進めるツールに焦点を当てることを意味します。
主なプラクティス
この問題を解決することは重要であり、より多くのツールがより多くのセキュリティと等しくないという認識から始まります。
このアンチパターンを回避するための主なベスト プラクティス:
- インベントリ: まず、既存のツールの完全なインベントリを実施し、それぞれが実際にサポートされている結果にマッピングします。
- ツールの目的と値を定義します。 各プラットフォームを明示的な運用成果にマップし、測定可能な影響がないツールを廃止します。
- 実用的な場所を統合する: コンテキスト切り替えを減らし、可視性を一元化する統合ソリューションを優先します。
- 製品前のプロセスに重点を置く: 新しいテクノロジを導入する前に、明確なワークフローと検出の優先順位を確立します。
- 統合の自動化: API、プレイブック、オーケストレーションを使用してツールを接続し、アナリストエクスペリエンスを合理化します。
- ツール ポートフォリオを定期的に確認する: 年次または四半期ごとの評価を実施して冗長性を特定し、セキュリティ戦略との整合性を確認します。
次のステップ
- SecOps 規範を確認する
- 始めましょう。セキュリティ目標の達成に役立つ、推奨されるビジネス シナリオを確認できます。