働き方が流動化し、テレワーク化が進む現在、管理対象のデバイスだけでなく管理対象外のデバイスも含めて脅威を検出し、確実に対応できるようにすることが、あらゆる組織にとっての急務となっています。シスコの EDR テクノロジーは、すべての管理対象デバイスを詳細に可視化して、追跡、制御します。また、NDR を使用して管理対象外のデバイスも管理します。
NDR は、エンティティモデリング機能を使用して、ネットワーク内やクラウド内のデバイスとエンティティ(サーバ、プリンタ、MRI マシン、温度コントローラ、コンテナなど)を分類します。また、100 を超えるさまざまな動作モデルと 400 を超える機械学習分類子を使用して、正常な動作のベースラインを設定します。
分類が完了すると、暗号化されたトラフィック内であっても、不正なエンティティや、注意が必要なエンティティ、異常なエンティティ、疑わしいトラフィックフローを検出できるようになります。SecureX は、管理対象デバイスと管理対象外デバイスの両方を可視化できます。そのため、HVAC システムがラップトップを使用して情報を送信した場合のように、両方に関連する悪意のあるアクティビティを検出してブロックすることができます。さらに、将来の調査で利用できるように、すべてのデバイスアクティビティが監視されて記録されます。そのため、侵害が発生した場合、ネットワーク、デバイス、ファイルレベルのすべてにわたって履歴情報を瞬時に確認できます。
SecureX をすでに導入しているチームからは、攻撃の修復に必要な時間を 85% 短縮できたとの報告が寄せられています。また、調査にかかる時間を週あたり 4 〜 6 時間短縮でき、自動化に要する時間を 1 ワークフローあたり 100 時間削減できたとの報告も上がっています。
時間はセキュリティにおいて極めて重要な要素の 1 つです。Cisco Secure ソリューションは、複数のセキュリティコンポーネントから収集された微弱なシグナルを組み合わせて強力なシグナルを生成できるため、悪意のある意図を確実に検出できます。その結果、パッシブな検出機能だけでなく、アクティブな検出機能も強化され、他の方法では見逃してしまうような脅威も検出してアラートを受け取ることができます。環境内では常に多層型の機械学習エンジン(教師あり、教師なし、統計ベース、振る舞いベース)が稼働しています。これらのエンジンは脅威アクターモデルを使用して各エンティティを分類し、暗号化されたトラフィック内の異常も検出して、既知の攻撃パターンやキャンペーンに関係付けます。また、これらの機械学習エンジンによって導き出されるアクティビティの説明や、新たな脅威のフォレンジックプロファイルにより、判定に必要な推論のレイヤーも提供されます。
その結果、ホストのスキャン、ビーコンの送信、データの蓄積といった、思いも寄らなかった疑わしい動作がリアルタイムで検出され、即座に対応できるようになります。さらに、特定の調査を迅速に行う必要がある場合は、脅威ハンティングをプロアクティブに実行することで、隠蔽された悪意のあるアーティファクトをリアルタイムに検出できます。また、攻撃がどのように発見され、どのように進化していて、実際に問題が起きする前にどのような対策を講じるべきかをインシデント レスポンス チームに対して説明することができます。シスコのセキュリティ プラットフォームでは、アーティファクトの名前を検索エンジンに入力するだけで、ネットワーク全体のレベルから各エンドポイントのレベルに至るまで、詳細なコンテキスト、ログ、テレメトリを検索できます。また、該当するアーティファクトが環境内で確認されているかどうかや、関連する地域、関連する通信、関連するデバイスなどの情報も瞬時に入手できます。環境内で実際に XDR 機能を使用しているお客様からは、検出時間が 95% 短縮され、脅威の滞在時間が 85% 短縮されたという報告が寄せられています。
業界最低水準の誤検出率を誇る SecureX と Cisco Secure ポートフォリオを利用すれば、今まで大量に発生していた誤検出のアラートが過去のものとなります。その結果、セキュリティチームは無駄な確認作業から解放され、時間を有意義に使えるようになります。Cisco Secure は、アラートが作成される前に、(ネットワーク、エンドポイント、クラウドなどで構成される)環境の詳細情報をインデックス化し、ファイルやトラフィックの分析を継続的に実行して、すべてのアセットの詳細を把握します。また、各アセットのポスチャ、関連するユーザ ID、関連するポリシー設定、一般的な動作パターンも分析します。
この情報には、各エンドポイントで発生したすべてのアクティビティについての詳細情報が追加されます。追加される情報には、そのファイルが最初に確認された日時、環境内に到着してからの動作、プラットフォームに接続されている他のセキュリティレイヤーとの相互関係などがあります。その後、多層型の機械学習エンジンにより、環境内で確認された脅威の動作と、世界各地で確認された脅威の動作が関連付けられ、侵害の兆候を示す悪意のある異常なネットワークアクティビティやクラウドアクティビティが検出されます。アラートが生成されると、これらすべての情報を 1 箇所で確認でき、数回クリックするだけで状況の全体像を把握できます。
すっきりと整理されていないものを理解するのは困難です。SecureX のインターフェイスには、イベントやホストごとに侵害の可能性がわかりやすく表示されます。また、脅威の重大度スコア順にアラートが表示され、推奨される修復方法も提示されます。アラートをドリルダウンするとフォレンジック情報が視覚的に表示され、すべてのデバイスとトラフィックフローだけでなく、電子メールの添付ファイルから Web リクエストに至るまで、すべての関連アーティファクトを示すファイルトラジェクトリ(感染経路追跡)が表示されます。
こうして根本原因を特定できれば、アウトブレイクは簡単に制御できます。 その方法については、ユースケース 6 をご覧ください。
特許を取得したシスコのレトロスペクティブ セキュリティ テクノロジーにより、すべてのファイルとフローの動きが常に追跡されているため、いつでもフォレンジックデータを利用できます。この継続的なモニタリングでは、新しい脅威情報が履歴データに関連付けられ、悪意のある動作を見せ始めたファイルは自動的に隔離されます。このように最新の脅威への対応が自動化されているため、検出時間が短縮され、マルウェアの拡散が大幅に減少します。侵害が発生した場合、セキュリティチームは、攻撃が開始された日時、発見された日時、使用された戦術の種類、攻撃の背後にあるマルウェア(またはファイルレスマルウェアや悪意のある内部関係者)の概要を確認できます。さらに、盗まれた情報のタイプや、情報が送信された日時と場所を確認でき、推奨される修復手順も提示されます。
調査の必要があるアラートの選択は、アラートの詳細度と正確性を高めることにより簡素化できる作業の 1 つです。しかし、これは第一歩にすぎません。次に、何が起きていて、どのように対応すべきかを正確に判断する必要があります。これは、必ずしも容易なことではありません。そのため、シスコのセキュリティソリューションと主要機能は MITER ATT&CK にマッピングされています。MITER ATT&CK は、攻撃者がシステムへの侵入に使用する戦術、手法、手順を理解することに重点を置いたフレームワークです。このフレームワークを活用すれば、利用可能な緩和策の種類、推奨される緩和策、緩和策を使用するタイミングを簡単に確認できます。
たとえばアラートをクリックすると、関連するアーティファクトと、MITER ATT&CK フレームワークにおけるアーティファクトの分類を確認できます。また、推奨される対応方法も提示されます。さらに、グローバルクエリを実行して特定の MITER カテゴリにマッピングすることで、セキュリティポスチャを簡単に評価し、隠蔽された侵害の領域を修復することもできます。
これらのクエリは、定期的に実行される広範なセキュリティプレイブックに挿入することもできます。シスコでは、これまで膨大な量の作業を実施して既存の IOC を MITER ATT&CK にマッピングし、現在もこの作業を継続しています。そのため、お客様が、さまざまなマルウェアの動作や、特定の修復手順、MITRE 自体に関する専門知識を身に付ける必要はありません。お客様は、シスコのセキュリティポートフォリオに組み込まれた専門知識を活用して、よりスマートな意思決定を迅速に行うことができます。
さらに SecureX には、Talos とシスコの調査/有効性チームの専門知識を活用してお客様の環境に潜む脅威をプロアクティブに特定できる脅威ハンティング機能も用意されています。これらの要素を組み合わせることで、人間主導の自動化された脅威ハンティングが可能になり、高精度なアラートが提供されます。シスコが培ってきた 20 年の実績は、セキュリティに関する知識や人員の不足を補って余りあるものです。
ATT&CK は、サイバー攻撃者がお客様の環境に侵入するために使用する手法のコレクションです。MITER は何百種類も存在するこれらの手法を整理し、41 種類の緩和策の比較的短いリストにマッピングしています。
これらの緩和策により、セキュリティについての会話が容易になります。また、「アクセストークンの盗難を防止するにはどうすればよいか」や、「ドライブバイ侵害を阻止するにはどうすればよいか」といった質問ばかりに終始するのではなく、「Web ベースコンテンツの制限」といった緩和策についても議論しやすくなります。
詳細については、 ブログ、最近のホワイトペーパー、 cisco.com を参照してください。
セキュリティ対応を迅速化し、自動化する機能は、XDR の重要なコンポーネントです。どのような規模のセキュリティチームであれ、すべてのアラートをくまなく調査する時間的な余裕はありません。その結果、現在のように脅威の滞在時間が長期化することになります。しかし、データ漏えいは侵害から 3 時間以内に発生するものであるため、検出されると同時に時間との戦いが始まります。シスコのセキュリティ プラットフォームのオーケストレーション機能には、脅威ハンティング(SecOps)、脆弱性管理(SecOps および ITOps)、トラフィック最適化(SecOps および NetOps)向けにあらかじめ設計されたワークフローが用意されています。つまり、お客様がワークフローを一から作成する必要はなく、事前に用意されたサンプルから設定方法を学ぶことができます。自動化されたプレイブックを独自に作成したり、サンプルをカスタマイズしたりする必要がある場合は、ドラッグアンドドロップ キャンバスを使用できます。このキャンバスには、対応アクションや承認といった組み込み済みのアクティビティの広範なライブラリが用意されています。
こうして修復作業は従来よりも大幅に簡素化され、プロセス主導型のものへと進化します。すべてのエンドポイントにわたって詳細なファイルトラッキングが行われ、ネットワーク、電子メール、Web のアクティビティに関連付けられます。また、実行前の分析やレトロスペクティブ分析の結果に基づいて自動的にファイルをブロックし、エクスプロイトを防止するように設定を行うこともできます。さらに、フォレンジック スナップショットの取得、ファイル分析の実行、ファイルとドメインのブロック、より積極的な保護スタンス(ネットワークアクセスのシャットダウンや検疫など)へのエンティティの移行といったポリシーアクションも自動化されています。これらを利用すれば、タイムリーな意思決定に専念できる時間が増えます。これらすべてが 1 つのビューにまとめられているため、スピードが勝負となるときに複数のコンソール間を移動する必要がなくなります。シスコのお客様からは、シスコのセキュリティ プラットフォームを導入したことで、修復時間を 97% 短縮できたとの報告が寄せられています。
統合されたセキュリティレイヤー、巨大なグローバルカスタマーベース、世界最大の非政府系脅威研究組織を利用できることの大きなメリットの 1 つは、何かが環境内に侵入した際に迅速かつ的確に対応できることです。環境内で検出されてブロックされた脅威は、侵害された他のエンドポイントからも自動的に削除されます。また、50 万人に及ぶ Cisco Secure 利用者のネットワーク、エンドポイント、電子メール、Web、クラウドからもブロックされます。たとえば、あるエンドポイントデバイスが特定の URL にアクセスして侵害され、その URL が悪意のあるものとして認識されると、そのドメインはすべてのデバイスでブロックされます。また、侵害されたエンドポイントは、脅威の拡散を防ぐために隔離されます。
大規模なログの保存、集約、分析は、経験豊富なセキュリティチームにとっても非常に困難な作業です。こうした作業を容易にし、今日のセキュリティチームが求めるアクセス速度を実現するために、Cisco Secure ソリューションは重要な要素をクラウドにオフロードします。トラフィックログや分析データに加え、エンドポイント、ファイル名、ファイルの移動、その他のパターンに関する履歴データはお客様の環境外に保存されますが、いつでも瞬時に利用できます。さらに、シスコの脅威インテリジェンスもクラウドを通じて共有され、リアルタイムで利用できる巨大な情報リポジトリに保存されます。
たとえば、エンドポイント上で見つかったファイル、電子メールに添付されたファイル、Web 経由でダウンロードされたファイル、ネットワークやクラウドを経由して送受信されたファイルなどがすべて追跡されます。未知のファイル(評価の良し悪しにかかわらず既知のレピュテーションがないファイル)は継続的に分析されます。それらのファイルは最初は無害に見えても、その後悪意のある動作を見せる可能性があるからです。シスコのセキュリティ プラットフォームは、クラウドネイティブのマルウェア分析機能を使用し、悪意のある動作が発生した場合、レトロスペクティブにアラートを発行します。さらに、ユースケース #3 および #7 との組み合わせにより、そのファイルが過去にどこで確認されたかが表示され、修復のためのワークフローを自動化したり、ワンクリックで実行したりすることができます。
コンプライアンスは多くの組織にとって定義することも達成することも難しい問題です。ルールの設定はファイアウォールで簡単に行えますが、どのようなケースをコンプライアンス違反と見なすかを判断するのは別の話です。人的ミスや、専門知識とトラブルシューティングの欠如は、しばしばコンプライアンスポスチャのギャップにつながります。ネットワーク、クラウド、すべてのエンドポイントを対象とした組み込み済みの分析機能を利用すれば、環境内外で発生するすべての通信を可視化できます。これにより、条件が緩すぎるルール、古い API キー、クラウド インフラストラクチャのネイティブ コンプライアンス アラートを検出して、設定のリスクを明らかにすることができます。また、ビジネスロジックに合わせて調整可能な監査証跡とポリシー違反アラームも用意されています。
すべてのエンドポイントを可視化できるため、OS のバージョン、ソフトウェアの脆弱性、最近のパッチといった、システムのステータスを簡単に確認してリスクを評価できます。これらのデバイスチェックとポリシーチェックは(Orbital と呼ばれるセキュアエンドポイント機能を使用し)、SecureX のライブデバイスクエリを通じて自動化することができます。また、ユーザとエンドポイントの保護を統合することで、コンプライアンスをリアルタイムで適用し、ゼロトラストを実現することもできます。さらに、エンドポイントエージェントからのテレメトリを分析ソリューションやアクセスソリューションと共有すれば、ロケーション、デバイス、ポスチャなどの情報を即座に考慮して、アクセスを自動的に調整することができます。これにより、企業をリスクにさらすことなく、適切なユーザに適切な権限を付与して、適切な情報にアクセスできるようにすることが可能となります。
シスコは、The Forrester Wave:Zero Trust eXtended エコシステム プラットフォームのベンダー評価で、2 度にわたりゼロトラスト分野のリーダーに選出されています。Forrester 社はシスコに対し、ZTX に対するビジョンと戦略、市場へのアプローチ、ZTX への取り組み、ゼロトラストインフラストラクチャの将来の状態の各評価項目で、満点のスコアを付けています。
Gartner 社が XDR 製品の分析で提起した最もわかりやすい懸念事項の 1 つは、ベンダーによる囲い込みです。これは当然のことと言えるでしょう。統合はそれ自体困難な作業です。競合他社のテクノロジーとの統合となると、別の意味でも困難が生じます。しかし常に最優先すべきは、お客様のセキュリティです。
SecureX はオープン性を考慮して構築されているため、組み込み型統合か、事前パッケージ型統合か、カスタム統合かを問わず、あらゆるツールを柔軟に組み合わせることができます。
組み込み型統合:シスコと特定のサードパーティ テクノロジー パートナーにより開発された統合です。お客様は SecureX 内で組み込み型統合を即座に設定できます。
事前パッケージ型統合:シスコまたはパートナーが開発したパッケージを通じて提供される統合です。お客様はあらかじめ用意されたスクリプトとお客様がプロビジョニングしたクラウド インフラストラクチャを使用して統合を構成できます。
カスタム統合:SecureX の脅威対応 API と他のテクノロジーベンダーの API を活用して、任意のカスタム統合を開発できます。
すでにさまざまなツールが上記いずれかの方法で統合されています。また、SecureX の統合機能をサードパーティ製のブラウザベースツールに拡張するためのブラウザ拡張機能も提供されています。シスコのテクノロジー パートナー エコシステムには、SecureX に組み込まれている脅威ハンティング機能とインシデントレスポンス機能を補強するインテリジェンスソース、SIEM や SOAR などの運用ツール、可視性ソリューション、保護ソリューションがすでに含まれています。実際、現在の顧客ベースの 82% から、シスコのサードパーティ統合により調査機能に有意義な付加価値が追加されたとの報告が寄せられています。