TDR(脅威検知・対応)とは、ユーザーの振る舞いを分析することで脅威を特定するサイバーセキュリティツールを指します。これらのツールは、高度な回避型の脅威を防ぐだけでなく、侵害を封じ込め、エンドポイントセキュリティを向上させるためにも役立ちます。脅威の検知と対応は、企業がマルウェアやその他のサイバー脅威に対処するのにも役立ちます。
脅威の検知と対応ツールの構築には、すべてのユーザーに頻繁に認証が必要なゼロトラストなど、さまざまなモデルがあります。モデルおよび脅威検知方法に関係なく、脅威の検知と対応はお客様のビジネスニーズを満たしている必要があります。効果的な脅威の検知と対応により、アプリケーションと機密データを高度な攻撃から保護することができます。
脅威の検知と対応
TDR(脅威検知・対応)は、サイバー脅威を特定して防御するように設計されたサイバーセキュリティツールです。一般的に、既知の脅威、未知の脅威、および標準的なマルウェア保護では見逃される可能性のある高度な回避型マルウェアを阻止できます。脅威の検知と対応の各要素がどのように機能するかを理解することが、ビジネスに適したツールを見つけるための最初のステップになります。
脅威検知とは
脅威検知は、セキュリティエコシステムを全体的なレベルで分析して、悪意のあるユーザー、異常なアクティビティ、およびネットワークを侵害する可能性のあるすべてのものを検出するプロセスです。脅威検知は、戦略的、戦術的かつ運用可能なツールを含む脅威インテリジェンスに基づいて構築されています。高度な回避機能を持つサイバー脅威が、脅威の検知と対応ツールの主な焦点です。
脅威対応とは
脅威対応は、サイバー脅威が脆弱性を生じさせる前にこれを無効化したり防いだりするための軽減作業で構成されます。これらの作業では、システムをリアルタイムで監視し、サイバー脅威や悪意のある振る舞いを検知した際にアラートを作成します。脅威対応も脅威インテリジェンスに基づいて構築されています。
脅威検知の仕組み
MDR(マネージド検知・対応)のアクティブモニタリングにより、脅威検知は脅威インテリジェンスを使用して既知および未知の脅威を見つけることができます。脅威が特定されると、脅威対応はアラートを作成するか、攻撃者がシステムや機密データにアクセスできないようにするための別のアクションを実行します。優れた脅威の検知と対応ツールは、さまざまなサイバー脅威を阻止できます。
2023年版脅威ハンティングレポート
2023年版脅威ハンティングレポートでは、クラウドストライクのCounter Adversary Operationsチームが、攻撃者の最新の手口を明らかにし、侵害阻止に役立つ知識とインサイトを提供しています。
今すぐダウンロードサイバー脅威の例
サイバー脅威は、一般的なサイバー脅威と持続的標的型攻撃に分けることができます。優れた脅威の検知と対応ツールは、多様な種類のサイバー脅威に対して効果的であるべきですが、そのほとんどは、回避性の高い脅威を優先して構築されています。
一般的なサイバー脅威の例
一般的なサイバー脅威には、ランサムウェア、マルウェア、分散型サービス拒否 (DDoS) 攻撃、フィッシングがあります。この種の攻撃は、多くの場合、企業の外部から行われますが、インサイダー脅威によって使用されることもあります。このコンテキストのインサイダーとは、通常、企業に関する深い知識を持つ現在または以前の従業員です。ランサムウェア(ファイルを暗号化し、企業が金銭を支払うまでアクセスをブロックするように設計されたソフトウェア)は、一般的なサイバー脅威の中で最も蔓延しています。
持続的標的型攻撃の例
持続的標的型攻撃とは、攻撃者がネットワーク上に存在を確立して、長期的にアクセスを獲得する攻撃活動です。これらの攻撃者の目標は、ハクティビズムからサイバースパイ、金銭的利益まで多岐にわたります。このようなサイバー脅威は、検知されずに侵入し、マルウェアを挿入して認証情報を収集した後、こっそり脱出するように設計されています。その一例が、ハッカー集団と疑われているDEEP PANDAによる2015年の米国政府職員記録400万件以上のデータ侵害です。
TDR(脅威検知・対応)の焦点となる脅威
高度な回避機能を持つサイバー脅威が、脅威の検知と対応ツールの主な焦点です。これらのサイバー脅威は、アンチウイルスソフトウェア、エンドポイント検知、その他のサイバーセキュリティソリューションによる検知を回避するように設計されています。脅威の検知と対応ツールは、さまざまな方法を使用して、これらの回避機能を持つサイバー脅威を防ぐように構築されています。
脅威検知の方法と種類
脅威検知は一般的に4つの種類に分類され、それぞれが異なる状況で優れた性能を発揮します。脅威検知の多くの方法は、クラウドセキュリティを優先して設計されています。これらの種類の脅威検知には、高度な脅威検知と脅威モデリングの方法が含まれています。
高度な脅威検知の定義
高度な脅威検知は、永続的なマルウェアの脅威を特定して対応するためにマルウェアの専門家によって使用される、進化型の一連のセキュリティ手法です。これらの手法には通常、サンドボックス化という、疑わしいファイルを仮想環境内に隔離するセキュリティ手法が含まれます。
脅威ハンティングは、進行中の脅威を特定するために使用される高度な脅威検知の一種です。脅威ハンティングは、日々のアクティビティとネットワークトラフィックを監視して、異常や進行中の悪意のあるアクティビティを検出します。高度な脅威検知に、複数の脅威モデリング手法を含めることもできます。
脅威モデリングの手法の例
脅威モデリングは、サイバー脅威の特定と対応に役立つ戦略です。MITRE ATT&CK®は、攻撃者の手法と戦術に関する世界的にアクセス可能な知識の基盤であり、脅威モデリングの一例です。各脅威モデリングプロセスでは、脅威インテリジェンスの適用、アセットと軽減機能の特定、リスクの評価、脅威マッピングの実施を行う必要があります。その他の脅威モデリング手法には、共通脆弱性評価システムやVisual, Agile and Simple Threatなどがあります。
さまざまな種類の脅威検知
脅威検知には、設定、モデリング、インジケーター、脅威の振る舞いの4つの種類があります。設定は、既知のアーキテクチャを基にコードに対する逸脱を検出することで、脅威を特定します。モデリングは、「正常な」状態を定義し、逸脱を脅威としてマークする数学的なアプローチです。
インジケーターは、ファイルまたはデータの状態を特定する情報の要素に従って、これらを正当または不正としてマークするために使用されます。脅威の振る舞いは、ネットワークやアプリケーション内で行われたアクションの分析を利用して、検知のために攻撃者の振る舞いを体系化します。それぞれの種類の脅威検知は、それぞれ異なるシナリオにおいて優れています。自分のビジネスニーズを理解することで、使用する脅威検知ツールを決定できます。
脅威検知のシステム、ツール、ソフトウェア
脅威検知は、新たなサイバー脅威や進化するサイバー脅威に対応するために進歩し続けています。脅威検知ツールやソフトウェアの最も重要な側面は、それがお客様のビジネスに有効であるということです。さまざまな種類の脅威検知システムがさまざまな保護機能を提供しているため、多数のオプションから選択できます。
脅威検知ソフトウェアが備えている必要がある機能
現在の脅威検知ソフトウェアはセキュリティスタック全体にわたって機能し、脅威に対する可視性とインサイトをチームに提供します。少なくとも、脅威検知ソフトウェアには、ネットワークイベント、セキュリティイベント、エンドポイントイベントに対する検知技術が含まれている必要があります。
ネットワークイベントでは、検知は疑わしいトラフィックパターンを特定します。セキュリティイベントでは、認証やアクセスなど、ネットワーク全体のアクティビティからデータが収集されます。エンドポイントの脅威検知では、悪意のある可能性があるイベントの脅威調査に役立つ情報を収集する必要があります。
さまざまな脅威検知システム
従来の脅威検知は、セキュリティ情報およびイベント管理 (SIEM)、EDR(エンドポイント検知・対応)、ネットワークトラフィック分析などの技術を使用しています。SIEMは、セキュリティアラートを生成するためのデータを収集しますが、脅威に対応する機能はありません。
ネットワークトラフィック分析およびEDR(エンドポイント検知・対応)は、局所的な脅威を特定するのに非常に効果的ですが、回避型の脅威は検知することができず、複雑な統合が必要です。侵入検知システムは、ポリシー違反や悪意のあるアクティビティがないかネットワークを監視できます。高度な脅威の検知と対応は、脅威インテリジェンスを使用して、従来の脅威検知を回避する攻撃がないかシステム全体を監視します。
さまざまな脅威検知ツール
サイバー脅威を検知して防御するツールは複数あります。
- 欺瞞技術。ネットワークに侵入した攻撃者からのサイバー脅威を防ぎます。
- 脆弱性スキャン。アプリケーションおよびネットワークセキュリティの脆弱性を自動的に特定しようとします。
- ランサムウェア保護。ランサムウェアが操作を開始するときにそれを特定し、ファイルの暗号化を防ぎます。
- ユーザーの振る舞い分析。モニタリングシステムを使用して、アクティビティとデータを追跡および評価します。
それぞれの脅威検知ツールは、特定の脅威防御に関して強力です。ツールを統合したり、高度な脅威の検知と対応システムを使用したりすることで、企業はより優れたサイバーセキュリティを実現することができます。
高度な脅威防御の価値
高度な脅威の検知と対応は、既知および未知の脅威に対するセキュリティをビジネスに提供できます。また、最も回避性の高いサイバー脅威に対しても効果的です。お客様のニーズに適した脅威検知の種類とお客様のビジネスに適したツールを選択することが重要です。
CrowdStrike Falcon®プラットフォームは脅威インテリジェンスとリアルタイムで連携して、脅威の検知と対応を提供します。詳しくはこちらをご覧ください。
トゥイ・グエンは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、Falcon OverWatchの脅威ハンティングサービスを担当しています。前職では、MicrosoftでAIと機械学習、特にオープンソースソリューションと責任あるAIにおける向上とソートリーダーシップの推進を担当していました。ミシガン大学でMBAを取得し、テクノロジーとマーケティングを専攻しています。現在は、マサチューセッツ州ボストン在住です。
