CrowdStrike Counter Adversary Operationsの定義

CrowdStrike Counter Adversary Operations (CAO) は、2023年夏に、CrowdStrike IntelligenceチームとCrowdStrike^® Falcon OverWatch^®脅威ハンティングチームの2つのチームが統合されて誕生しました。これまでにないこの新しいチームは、今日の攻撃者を妨害し、最終的に攻撃者のビジネスコストを増大させることを目的として結成されました。

CrowdStrike Counter Adversary Operationsは、 Falcon Adversary OverWatch、CrowdStrike Falcon^® Adversary Intelligence、CrowdStrike Falcon^® Adversary Intelligence Premium、 CrowdStrike Falcon^® Counter Adversary Operations Eliteの4つのモジュールを提供します。

セキュリティチームに脅威インテリジェンスと脅威ハンティングが必要でな理由および従来の脅威インテリジェンスでは不十分である理由

今日の攻撃者はこれまで以上に速度と回避能力が高く、動機と戦術は急速に変化しています。攻撃者を検知、妨害、阻止するには、脅威インテリジェンスと脅威ハンティングを組み合わせることが不可欠です。

脅威インテリジェンスは、最新のサイバー攻撃者に関するインサイトをセキュリティチームに提供し、プロアクティブに保護を調整できるようにします。残念ながら、多くのセキュリティチームは脅威アラートで過負荷になっており、脅威インテリジェンスを検知、調査、対応するための適切なコンテキストに変換するのが遅れています。この不要な遅延により、攻撃者は検知を回避してネットワークに侵入する機会を得ることができます。

脅威ハンティングは、ネットワーク内で検知されずに潜んでいるサイバー脅威を積極的に探すことで、このギャップを埋めます。サイバー脅威ハンティングでは、初期のセキュリティ防御をすり抜けて環境内に存在している悪意のあるアクターを見つけるための堅固なテレメトリが必要です。攻撃者がネットワーク内でラテラルムーブメントするのにかかる時間はわずか数分です^（1）。そのため、脅威ハンティングはあらゆる防御戦略に不可欠な要素です。

多くの組織には、脅威ハンティングを実行するために必要なリソースやスキルがないため、攻撃者が障害に遭遇することなく侵入し、ラテラルに移動して機密データを侵害する機会を与えています。

^{（1）クラウドストライク2024年版グローバル脅威レポート。サイバー犯罪 (eCrime) のブレイクアウトタイムの最速記録2分7秒を更新}

脅威インテリジェンスと脅威ハンティングにおけるこれらの非効率性を修正するためにチームに必要なもの

このような非効率性を回避するには、セキュリティ組織は攻撃者のツール、手法、および戦術に関するリアルタイムのインテリジェンスを持ち、その情報を環境とツールに即座に適用する必要があります。グローバルな攻撃者に関するインサイトの緊密で継続的なフィードバックループは、ローカルの脅威ハンティングからの脅威アクティビティで改善され、環境に関連する攻撃者アクティビティへの可視性を防御側に提供します。これらの改善されたインサイトは、より関連性が高く、セキュリティチームは攻撃前と攻撃中に脅威をより的確に検知、調査、阻止することができます。

脅威インテリジェンスと脅威ハンティングからのインサイトを統合する利点

脅威インテリジェンスと脅威ハンティングを組み合わせることで、セキュリティチームはネットワーク内外の攻撃アクティビティを完全に可視化できます。これにより、検知を迅速化し、対策をよりすばやく展開することができ、最終的にはセキュリティポスチャが改善されます。

実際の攻撃から得られたグローバルな脅威インサイトは、セキュリティチームが自分たちに何が起こるかを理解し、攻撃者の攻撃を予測するのに役立ちます。ローカルの脅威ハンティングから得られたインサイトは、このグローバルな可視性を補完し、現在何が起こっているかについての情報を提供します。

このように、グローバルな脅威インテリジェンスとローカルの脅威ハンティングから得られるインサイトの組み合わせることで、セキュリティ組織内の複数のチームに利点がもたらされます。詳しく見てみましょう。

• 最新の攻撃に関する綿密な技術的詳細は、セキュリティエンジニアに包括的な検知および防止ポリシーを展開するために必要なコンテキストを提供します。
• 検出された最新の攻撃者の振る舞いに関するインサイトは、脅威ハンターにハンティングの対象に関する新たな手がかりを与え、より迅速かつ効果的なハンティングが可能になります。
• リアルタイムの脅威コンテキストは、SOCアナリストがアラートに優先順位を付け、調査を加速するのに役立ち、より迅速かつ効率的なリスク軽減が実現します。
• アトリビューションと詳細な脅威アクタープロファイルを提供することで、対応者は、悪用されているすべての関連する振る舞いと脆弱性を把握し、悪意のあるアクティビティを効果的に排除できます。
• セキュリティプランナーと意思決定者は、脅威に関する信頼できる戦略的インサイトとともに、傾向および業界固有のレポートを利用できます。この知識により、リスクポスチャを評価し、セキュリティ戦略を策定できるようになり、投資収益率が向上します。

Counter Adversary Operationsが対処するセキュリティ問題

攻撃者はこれまでになく攻撃のスピードを上げ、巧妙になっており、防御側は追いつけず、侵害に対して脆弱な状態になっています。適切な保護策を講じなければ、防御側はブランド、評判、財務状況を損なうリスクがあります。これらの脅威リスクの背後には、いくつかの理由があります。

1. セキュリティツールは絶対確実というわけではない：アクターは、さまざまなツール間のギャップに紛れることを好みます。セキュリティチームは、高度な脅威に対応するために、エンドポイント、アイデンティティ、クラウド、犯罪者の地下活動全体で脅威ハンティングを行い、セキュリティソリューションを強化しようとしています。
2. セキュリティチームはリソースを浪費している：従来のSIEM（セキュリティ情報およびイベント管理）ソリューションなどのレガシーツールに多額の投資を行っているにもかかわらず、セキュリティチームは期待している価値を実現するのに苦労しています。検知ガイダンスが不十分でフォールスポジティブが多いと、アナリストやセキュリティエンジニアリングの時間が失われます。
3. 熟練したセキュリティチームは費用がかさむ：高度なサイバーチームは費用がかさみ、脅威インテリジェンスまたは脅威ハンティングの専門チームを配置できる組織はほとんどありません。また、高度なサイバーチームを雇う余裕のある多くの組織は、進化する脅威に適応できず、無関係なインテリジェンスや古いインテリジェンスにとらわれたままになっています。

これらの問題を解決するために組織に必要なもの

既存のセキュリティイベントをより的確に検知し、理解するために、セキュリティチームは、攻撃対象領域を減らし、防御を改善し、脅威ハンターと検知エンジニアを導き、リーダーシップを更新するためのリアルタイムコンテキストを提供する信頼性の高い包括的な脅威インテリジェンスを必要としています。

このコンテキストは、理解と意思決定を加速するために、アナリストの日常のワークフローでシームレスに利用できる必要があります。インシデントの検知、調査、対応から、対策を即座に展開するまでの時間を短縮するには、自動化が重要になります。

リソースが不足している小規模な組織には、費用対効果の高いソリューションが必要です。個々のセキュリティ制御のみに依存すると脆弱になるため、最新の攻撃から保護するために必要なスキルと可視性を獲得する必要があります。

CrowdStrike CAOオファリング

CrowdStrike Counter Adversary Operationsは、AIと人間の専門知識、自動化、最先端の脅威インサイトを組み合わせて提供することで、セキュリティチームが攻撃者から防御できるようにします。

• CrowdStrike Counter Adversary Operationsの脅威エキスパートは、AIと最先端のインテリジェンスを使用して攻撃者のハンティングを行い、お客様のエンドポイント、クラウド、アイデンティティデータ全体ですべての攻撃者の動きをリアルタイムで追跡します。CrowdStrike CAOは、これらの検出結果をお客様の環境に適用し、リアルタイムのアラートによってあらゆる脅威について常に情報を提供します。
• CrowdStrike CAOは、セキュリティチームが調査と対応時間を短縮し、侵害前に脅威を阻止することに集中できるよう支援します。
• CrowdStrike Counter Adversary Operationsは、防御を強化し、攻撃を阻止し、攻撃者のコストを引き上げられるように、信頼できる業界をリードするインサイトを提供します。

これらの機能の提供方法

クラウドストライクは、クラウドストライクの精鋭脅威ハンターと業界をリードする脅威インテリジェンスを結集した4つのモジュールを提供しています。これは、攻撃者を追跡し、阻止する比類のない力を備えた業界初の組み合わせです。これらのソリューションは、脅威アクターを追跡して発見し、調査と対応時間を短縮し、防御を強化するために構築されています。

• CrowdStrike Falcon Adversary OverWatch：AIを活用した脅威ハンティングエキスパートによって、エンドポイント、アイデンティティ、クラウドワークロードにわたる24時間体制の保護が提供され、組み込みの脅威インテリジェンスが攻撃者の戦術、脆弱性、盗まれた認証情報を明らかにします。
• CrowdStrike Falcon Adversary Intelligence：エンドツーエンドのインテリジェンス自動化によって、セキュリティスタック全体の対応時間を短縮し、セキュリティチームが潜在的な脅威をAIを活用したサンドボックスに即座に送信し、侵害の痕跡を抽出して対応を展開できるようにします。詐欺を継続的に監視しながら、ブランド、従業員、機密データを保護します。
• CrowdStrike Falcon Adversary Intelligence Premium：最先端のインテリジェンスレポート、テクニカル分析、脅威ハンティング、および検知ライブラリにより、組織は高度な国家、サイバー犯罪 (eCrime)、ハクティビスト攻撃者を理解して防御するために必要な時間とコストを削減できます。
• CrowdStrike Falcon Counter Adversary Operations Elite：業界をリードするインテリジェンスと脅威ハンティングの融合により、巧妙な攻撃者を迅速に阻止するために作成された業界初の唯一の卓越したサービスです。クラウドストライクのCounter Adversary Operations担当アナリストは、高度な調査ツールと脅威ハンティングツールを使用して、お客様のIT環境内外の攻撃者を特定し、阻止します。

CrowdStrike Counter Adversary Operationsによるビジネスとセキュリティの成果

CrowdStrike Counter Adversary Operationsは、調査時間、ワークロード、人件費の削減、セキュリティポスチャの改善など、ビジネスとセキュリティに関するさまざまな成果をもたらします。

以下は、CrowdStrike Counter Adversary Operationsモジュールの1つを実装した後のお客様のインタビューから導き出された明確なビジネス価値メトリックです。

• 脅威ハンティングの人件費を95%削減（1）
• 攻撃者や新たな脅威の調査にかかる時間を97%削減（1）
• 新しいアラートの調査を85%削減（1）
• セキュリティポスチャが80%増加（1）

^{（1）クラウドストライクのビジネス価値評価（CrowdStrike Business Value Assessments (BVAs)）。クラウドストライクのBVAの数値は、プリセールスの段階でお客様から提供された記録の指標に基づいて、クラウドストライクの価値とお客様の現行のソリューションを比較した平均的なメリットの推定値です。実際に実現された値は、個々のお客様のモジュールの展開と環境によって異なります。}

Counter Adversary Operationsからメリットを得るのは誰か？

CrowdStrike Counter Adversary Operationsポートフォリオは、あらゆる規模、業種、地域の組織向けに設計されており、インテリジェンスと脅威ハンティングの専門知識を組み合わせて攻撃者を追跡し、侵害を阻止する使いやすいモジュールを提供します。

中小企業 (SMB) の場合、Falcon Adversary OverWatchは、エンドポイント、アイデンティティ、クラウドワークロード全体で24時間365日の保護を実現するのに役立ちます。これは、他の方法ではコストがかかりすぎます。

CrowdStrike Falcon Adversary OverWatch

SOCを導入した企業は、Falcon Adversary Intelligenceによる自動インテリジェンスオーケストレーション、コンテキストエンリッチメント、AIを活用した調査ツールを通じて、企業のセキュリティスタック全体の有効性を最適化することができます。

CrowdStrike Falcon Adversary Intelligence

専任の脅威ハンティングチームや検知チームを持つ最も成熟した組織の場合、Falcon Adversary Intelligence Premiumにより、セキュリティチームはサイバーセキュリティ管理を強化し、侵害をより効果的に阻止するためのセキュリティ戦略を策定できます。

CrowdStrike Falcon Adversary Intelligence Premium