SIEMの進化 ログを越えて進化することが非常に重要である理由 セキュリティへの投資は 拡大しているにもかかわら ず、 危険性が認められるレ ートで脆弱性が発生して います。 43% 従来のSIEMは、 セキュリ ティの課題に対応する進 化が不十分です。 ログ中心のSIEMでは、 攻撃に対する防御が不 可能です。 サイバー スパイ 活動に対する 脆弱性のうちで 99% RSA Security Analytics は、 ログ中心のSIEMで残さ れていたギャップを解消し ます。 ...実際に、私が知る限り他 のどのSIEMよりもSecurity Analyticsは効果的です。 83% 検出されるまで 数週間以上 データの 脆弱性が発生した 企業の割合 (出典:VERIZON BREACH REPORT 2014) 成功した 攻撃がログで 未検出である割合 67% 5% 検出されるまで 数か月 数年間検出され なかった BOB CHEONG CISO / LOS ANGELES WORLD AIRPORTS 1 進化の予兆 進化前のセキュリティ環境の現実 セキュリティへの投資は拡大しているにもかかわらず、 依然として危険性が認められるレートで脆弱性が発生しています。 企業メールを通じてフィッシング攻撃またはマルウェア攻撃を仕掛けるサイバ ー犯罪者、組織の知的財産権を狙う国家、機密データを悪用する内部関係 者が存在する中で、 その結果がどうであれ、現在の環境では脆弱性の防止は 不可能です。成功した攻撃では、有効なユーザー資格情報、信頼されるアクセ ス パス、新しい攻撃手段を使用することが多く、配置された防止措置の各レ イヤーをバイパスし、 そのために予防的統制で検出されないままになります。 サイバー犯罪者による新たなセキュリティの脅威の発生頻度を考えれば、 企業は、 セキュリティに対するアプローチを変える必要があります。 2 存続の危機 従来のSIEMは、 セキュリティの課題 に対応する進化が不十分です SIEMシステムは当初、 コンプライアンスとログ管理のために意図されていました。 その後、 攻撃の検出と調査に使用されるようになりました。 ただし、 ログ中心のSIEMでは成功した 攻撃の検出を困難にする不備がいくつかあり、 またその調査はさらに困難です。 ログ中心のSIEMでは、 ログによって異なる防御レイヤー内の異常間で点を接続 することにより、 エンタープライズ全体での事象について一定レベルの可視性を セキュリティ担当者に提供します。 ただし、 ログでは環境内で何が本当に発生して いるか理解するための高度な可視性と詳細を欠いています。 実際、成功した攻撃の99%は、 ログでは発見できませんでした。 (出典:VERIZON BREACH REPORT 2014) 3 迫られる進化 ログ中心のSIEMでは、攻撃に対する防御が不可能です 企業は、 ビジネス遂行のために一部のトラフィックについてすべての防御レ イヤーを通過させることを余儀なくされるので、 トラフィック フローには予 防的統制が必要になります。 どのようなトラフィックが通過したかについて 一部の情報のみがログに記録されます。 ログ中心のSIEMでは、予防的統制 で識別された情報のみをレポートできます。 ただし、異常なクライアント アク ティビティ、 プロトコルの異常、不正な接続、疑わしいマルウェア アクティビ ティなどの攻撃技術の検出と調査を行うことはできません。 組織がより強力な予防的統制を追加すると、 それに伴って生成されるデータとイベントが増大し、最も熟練した セキュリティ チームであっても対処できなくなる可能性があります。 これにより、 さらなるノイズの増大に結びつ き、 シグナル (攻撃に関する情報) が喪失するか、発見までの時間が長引く可能性があります。 実際、 サイバースパイ活動の脆弱性の83%が検出までに数週間以上かかり、 そのうち67%が数か月、 5%が数年間を要しました。 4 実現した進化 ログ中心のSIEMを越えて RSA Security Analyticsは、独自の方法でログ中心のSIEMの問題を解決します。 従来のSIEMのようにログ データを取り込むことができますが、未フォ ーマットのパケット データを取り込むことにより予防的統制をバイパ スするトラフィックに入り込むことができ、格段に高度な可視性を実現 し、組織全体の包括的なビューを提供します。 さらに優れているのは、 Capture Time Data Enrichmentによりこうしたデータの価値が高まり、 攻撃の発見と調査をより効率的 に実施できることです。 5 SIEMとして存続するために SIEMが意図していたもの RSA Security Analytics は、 (エンドポイント、 Netflow、 マルウェア解析に加えて) ログとパケット間で、 セキュリティ データを関連づけることができる唯一のプラットフォームです。 ログおよび未フォーマット パケット データの両混在間でイ ベントの関連づけが可能になり、予防的統制をバイパスする 適正および不正なネットワーク トラフィックに加えて、防御 境界でのイベントの詳細なビューをアナリストに提供できる ようになりました。 これによって組織には、 インシデントの検 出、調査、 コンプライアンス レポート、高度なセキュリティ解 析のための統合型プラットフォームが提供されます。 RSA Security Analyticsによってセキュリティ チー ムは、他のどのツールよりも迅速かつ詳細に、 アラート から調査、 そしてレスポンスへと対応できます。 ログ イベントを出力トラフィ ックに関連づけ、 セキュリティ イン テリジェンス フィードに一致させる ために、 RSA Security Analytics ソ リューションを選びました。 この強 力な関連づけ機能によって、 内外の 脅威を検出できます。 Security Analyticsによって、 実際に検出能 力が向上しました。 BOB CHEONG CISO / LOS ANGELES WORLD AIRPORTS
© Copyright 2024 ExpyDoc
