脅威インテリジェンス(TI)フィードは、攻撃者の行動についての重要な情報を提供し、企業の防御を脅威の状況に適応させます。 これらのフィードがなければ、セキュリティツールやセキュリティプロバイダーが使用するツールは、サイバーオペレーションと資産を防御するために必要な基本的な情報を欠くことになります。
ただし、オープンソース、共有コミュニティ、および商用プロバイダーからのTIフィードは、品質に大きな違いがあります。 すべての既知の脅威を網羅しているわけではなく、しばしば誤検知を含み、正当なネットワークトラフィックをブロックし、ビジネスに悪影響を及ぼすことがあります。 Cato Networksのセキュリティチームは、業界のベストプラクティスを適用した後でも、30%のTIフィードには誤検知が含まれるか、悪意のある侵害指標(IoC)が見逃されることを発見しました。
この課題に対処するために、カトは目的別に開発された評判評価システムを開発しました。 統計的に、機械学習モデルとAIを使用して利用可能なネットワーク機器andセキュリティ情報を関連付けることで、すべての偽陽性を排除します。。 これが私たちの行ったことです。自分でそのようなシステムを構築する時間やリソースがない場合でも、同様の対策をネットワークで行うためのプロセスは以下の通りです。
あらゆるセキュリティチームが直面する最大の課題は、ビジネスプロセスを最小限に中断しながら、脅威を特定し阻止することです。 攻撃者のイノベーションの範囲と速度が、平均的な企業を防御姿勢にさせます。 ITチームは、脅威を阻止するための必要なスキルとツールが不足していることがよくあります。 それらの原材料を持っていたとしても、企業が全体的な脅威状況のごく一部しか見ていないことがよくあります。
脅威インテリジェンスサービスは、このギャップを埋め、脅威を特定して阻止するために必要な情報を提供すると主張しています。 TIフィードは、潜在的に悪意のあるIPアドレス、URL、ドメインなどのIoCリストで構成されます。 多くの場合、脅威の深刻度と頻度も含まれます。
これまでに、数百の有料および無料のTIフィードが市場に登場しています。 脅威の状況全体を理解せずにフィードの品質を判断するのは困難です。 誤検出を最小限に抑えるための正確さは特に重要です。 誤検出が多すぎると、セキュリティチームが圧倒され、正当な脅威を見逃してしまいます。 誤検出はビジネスにも支障を来し、ユーザーが正当なリソースにアクセスできないようにします。
セキュリティアナリストは、複数のフィードに共通するIoCを観察することで、誤検出を防ごうと試みてきました。 より多くの共有されたIoCを持つフィードは、より権威があると考えられてきました。 しかし、この方法を30のTIフィードで使用しても、Catoのセキュリティチームは、正確とみなされるフィードの78%が依然として多くの偽陽性を含み続けていることを発見しました。
図 1。 このマトリックスでは、TIフィード間のIoCの重複度を示します。 色が明るいほど重複が多く、フィードの正確性が高いことを示します。 全体的に見て、75%のTIフィードは顕著な重複度を示しました。
セキュリティフィードをさらに洗練させるために、ネットワーク機器データでセキュリティデータを拡張することで、フィードの正確性を劇的に向上させることができることを発見しました。 過去には、ネットワーキングフローデータを活用することは多くの組織にとって実用的ではありませんでした。 イベントデータをセキュリティおよびネットワーク機器から抽出し、データを正規化し、データを保存し、そのデータストアを問い合わせるための必要なクエリツールを用意するために、大規模な投資が必要でした。
しかし、セキュアアクセスサービスエッジ(SASE)への切り替えにより、ネットワークとセキュリティが一つに統合されます。 これにより、セキュリティアナリストは以前は利用できなかったネットワーク機器のイベントデータを利用してセキュリティ分析をより豊かにできるようになります。 この分野で特に役に立つのは、特定のIoCが実際のユーザーの間でどれだけ人気があるかです。
私たちの経験では、合法的なトラフィックは圧倒的にユーザーが頻繁に訪れるドメインまたはIPアドレスで終わります。 私たちはこれを直感的に理解しています。 ユーザーが頻繁に訪れるサイトは、通常、しばらくの間運営されています。 (頻繁に新しいサーバーを立ち上げる研究環境を扱っている場合を除く。) それに対して、攻撃者はしばしば新しいサーバーやドメインを立ち上げて、URLフィルターによって悪意のあるものとして分類され、ブロックされるのを避けようとします。
したがって、実際のユーザーがどの頻度でIoCターゲットを訪れるか、つまり私たちが人気度スコアと呼ぶものを決定することによって、セキュリティアナリストは偽陽性である可能性があるIoCターゲットを特定することができます。 IoCターゲットに向かうユーザートラフィックが少ないほど、人気度スコアは低くなり、そのターゲットが悪意のある可能性が高くなります。
カトでは、すべての顧客のユーザーのすべてのフローのメタデータから構築されたデータウェアハウスで機械学習アルゴリズムを実行することにより、人気度スコアを導き出しています。 ネットワークの様々なログや機器からネットワーキング情報を取り込むことで、同様のことができます。
TIフィードで見つかった偽陽性を分離するために、フィードを「重複度リスクスコア」と「人気度リスクスコア」の2つの方法でスコアリングしました。「重複度リスクスコア」はフィード間で重複するIoCの数を示します。 理想的には、TIフィードが高いオーバーラップスコアと低い人気度スコアを持っていることを望みます。 本当に悪意があるIoCは、複数の脅威インテリジェンスサービスによって識別される傾向があり、実際のユーザーによってアクセスされることはほとんどありません。
しかし、私たちが見つけたのはまったく逆でした。 多くのTIフィード(30%)は、IoCが低いオーバーラップスコアと高い人気度スコアを持っていました。 これらのTIフィードでIoCをブロックすることは、不必要なセキュリティアラートを引き起こし、ユーザーを苛立てます。
図2。 ネットワーク情報を考慮に入れることで、通常脅威インテリジェンスフィードで見つかる誤検知を排除することができます。 この例では、30の脅威インテリジェンスフィード(名前は削除されています)の平均スコアを確認できます。 線の上にあるものは正確であると見なされます。 スコアは、フィードの人気度に対して他のTIフィードとの重複の数を比例させたものです。 全体として、フィードの30%が偽陽性を含むとされました。
ネットワーク情報を使用して、ほとんどの偽陽性を排除することができ、それ自体が組織にとって有益です。 このインサイトをセキュリティプロセスに反映させることで、結果はさらに向上されます。 アセットが侵害されていると判明した場合、外部の脅威インテリジェンスは、ホストが作成するすべての通信で自動的に豊富にされ、新しいインテリジェンスが生成されます。 感染したホストが接続したドメインとIP、ダウンロードされたファイルは、悪意のあるものとして自動的にマークされ、さらなる保護のためにセキュリティデバイスに送られるIoCに追加されます。
Catoは、顧客の内部脅威検出機能をシームレスに拡張し、攻撃されたマルウェア感染エンドポイントをネットワークで継続的に監視します。 ネットワークのトラフィックがCatoを通過するため、エージェントやデバイスをインストールせずに持続的な脅威のゼロフットプリント検出を提供できます。
Catoは、ネットワークと接続デバイスを検出、調査し、セキュリティを確保するのに役立つ管理された脅威検出と対応 (MDR) サービスを提供しています。 Cato MDRは、ネットワークトラフィックを調べて妥協を示す指標を探す機械学習アルゴリズムと、検出された異常活動の人間による検証の組み合わせを使用します。 その後、Catoの専門家がお客様に、侵害されたエンドポイントの修復方法を案内します。
サイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。
0件のコメント
サインインしてコメントを残してください。