検出工学：SimSpaceで優位性を取り戻す

無数のホストやBYODデバイスが24時間365日通信している今日の巨大なネットワークでは、無限のログ、データ、アラートに目を通しながら、果てしなく続く砂漠を捜索している隊員のような気分になっていませんか？潜在的な脅威を適切に監視し、防御側に警告を発するための適切なツールはありますか？実際のセキュリティ・インシデントが発生する前に、検知ルールが適切に機能していることを信頼していますか？この記事では、今日の課題に対処し、組織を保護するための準備を確実にするために、検知エンジニアリング技術をどのように使用できるかについて説明します。

検出工学とは何か？

まず、検知エンジニアリングを定義しよう。これは、サイバーセキュリティチームが脅威や異常な行動をより簡単に、より少ない誤検知で検知できるようにするためのルール／アラートを作成、調整、検証することを目的とした継続的なライフサイクルである。これには、SIEM、EDR、NDR などでベンダーが提供するルールのテストと検証、および利用可能なインテリジェンスに基づく既知の脅威に対するカスタム検出ルールの作成が含まれます。

経験豊富な検知エンジニアは、既知の脅威やIOCに対する検知ルールが存在することを確認するだけでなく、未知の脅威の検知を支援するための振る舞いベースの検知ルールを作成することもできる。これらの振る舞いベースのルールは、ネットワーク全体に張り巡らされた一連の仮想的なトリップワイヤであり、最も高密度に、最も王冠の宝石に近づけるものだと考えてください。攻撃者は事実上、あなたのドアに侵入してくるかもしれないが、適切なトリップワイヤがあれば、アナリストやレスポンダーは、深刻な被害が出る前に攻撃者を特定し、その足跡を止める能力を高めることができる。

なぜ検知工学ラボが必要なのか？

検知エンジニアリング用に指定された独立したラボ環境を持つことで、エンジニアは、破壊的な攻撃手法を使用する可能性のある検知ルールを構築し、テストするための、結果の影響を受けないスペースを得ることができる。本番環境でいくつかの検知ルールを構築して検証することは可能だが、より複雑なルールは、専用のラボで開発する方が適している。また、ラボでは、特定の脆弱なシステムやソフトウェアのバージョンをテスト用に立ち上げることができます。

私が推奨するのは、本番環境で使用されているホスト／デバイスのタイプ、OS／アプリのバージョン、および検知ルールの構築／検証／チューニングを希望するセキュリティ・ツールの十分なサンプルを含むラボを構築することである。また、ホスト分析、ネットワーク分析、マルウェア分析、攻撃的セキュリティのためのツールを追加して、あなたが注目している脅威／挙動を完全に理解できるようにするのもよい考えです。ある種の攻撃が実行されると、個々のシステム、あるいは場合によってはラボ全体の再構築／リビルドが必要になる可能性があることに留意してください。

SimSpaceサイバーレンジが探知ラボに最適な理由は？

確かに、クラウドやオンプレミスに独自のラボを構築することもできますが、その場合、ラボ環境のセットアップやメンテナンスに多くの時間を費やすことになります。脅威ハンターや検知エンジニアがシニアレベルのリソースであることが多いことを考えると、基本的なシステム管理機能を実行するために、コストのかかるリソースをかなりの割合で浪費していることになる。より良いソリューションを使用し、経験豊富なリソースに好きなことに時間を使わせ、付加価値を高め、組織のリスクを軽減してみてはいかがでしょうか。

当社のプラットフォームは、すぐに使用できる多くのサイバーレンジのラボ環境を提供します。カスタムラボのニーズに対しては、技術者はSimSpace Rapid Rangeを使用して、検出エンジニアリングラボにどのような種類のシステムを含めたいかを素早く定義し、ラボのレンジをデプロイし、当社のプラットフォームに環境を自動的に構築させることができます。SimSpaceは、多くの一般的な技術/セキュリティソリューション用のVMテンプレートを提供し、展開を容易にします。また、SimSpaceのカタログにまだ含まれていないものについては、技術者がカスタムツール/VMを持ち込むこともできます。お客様の技術者は、システム管理作業のほとんどを省略し、お客様が必要とする高度な検出エンジニアリングタスクのためのラボの使用に直接飛び込むことができます。

SimSpace Automated Attack Platform (SAAP)は、フルキルチェーン攻撃の実行に使用でき、レッドチーマーの出番を待つことなく、敵対者がモデル化した脅威アクションを確実に生成できます。SimSpaceはまた、サイバーレンジ内のエンドポイント上で現実的なユーザアクションを生成する比類のないユーザエミュレーション（UE）機能を提供します。UEアクティビティは、法医学的に正確なホスト/ネットワークアーティファクト、ログエントリ、セキュリティアラートを生成し、検出ルールのチューニングや誤検出の低減に利用できます。

破壊的な攻撃を実行したり、後戻りが困難な複雑な設定変更を行った場合、SimSpaceプラットフォームでは、個々のVMまたはラボ環境全体を以前の状態に簡単に戻すことができます。これにより、攻撃を開始し、結果を分析し、必要に応じてシステムを元に戻し、そのプロセスを繰り返しながら、検知エンジニアリングのプロセスを反復することができます。最終的に、SimSpaceを使用することで、検知エンジニアは、本番環境に導入する前に、ルール/アラートが適切に機能し、チューニングされていることを確認することができます。これにより、SOCアナリストのアラート疲労を軽減し、組織の監視と防御の効率と能力を向上させることができます。

まとめ

膨大なデータとログが存在する大規模な環境では、攻撃者が優勢であるかのように感じられ、圧倒されることがよくあります。より効率的な検知エンジニアリング機能により、SimSpaceはサイバー防御者が優位性を取り戻すことを可能にします。ベンダーの提供するすべての検知ルールとカスタムの検知ルールが、攻撃に先駆けて適切に機能しているという確信を得ることができます。ネットワーク全体に包括的なトリップワイヤの網が張り巡らされていることを確認する。攻撃者が既存のルールを回避して侵入する新しいテクニックを使用した場合でも、発見、エスカレーション、横方向への移動、データの流出または破壊という目的の旅の間に、少なくとも他のトリップワイヤを踏むことになります。

新しいコンセプトをテストする場所を確保するために、存在しない空き時間にシステム管理者になることにうんざりしていませんか？今すぐご連絡の上、デモをご予約ください。年間を通して継続的に使用できる、完全に機能するラボを素早く簡単に立ち上げる方法をご紹介します。