Blink Ops noc

ガートナーが最近、SOAR(セキュリティ・オーケストレーション、自動化、レスポンス)は段階的に廃止され、AIベースのジェネレーティブ・ソリューションが主流になると宣言したことを受け、この記事では、4つの主要なセキュリティ自動化のユースケースを詳しく紹介する。

1.侵害の指標(IoC)の強化

不審なIPアドレス、ドメイン、ファイル・ハッシュなどの侵害指標(IoC)は、セキュリティ・インシデントの特定と対応に不可欠です。

Enriching Indicators of Compromise

これらのIoCに関する情報をさまざまなソースから手動で収集することは、労力がかかり、対応プロセスが遅くなる可能性があります。

IoC のエンリッチメントを自動化することで、セキュリティ運用の効率を大幅に高めることができます。

自動化ワークフロー

  • IoC を抽出する:テキスト解析ツールまたはその他の自動化された方法を使用して、セキュリティ・ログまたはアラートから関連する IoC を自動的に抽出する。
  • IoC をインテリジェンス・サービスに送信します:抽出された IoC は、VirusTotalURLScanAlienVault など、さまざまな脅威インテリジェンス サービスに API を介して自動的に送信されます。これらのサービスでは、IPアドレスが既知の脅威と関連付けられているかどうかや、ドメインが疑わしい活動のフラグを立てられているかどうかなど、追加のコンテキストを提供できます。
  • 集計結果: これらのインテリジェンス・サービスからの結果は、単一の包括的なレポートに集約されます。このステップにより、すべての関連情報が一箇所で入手できるようになり、セキュリティアナリストによる脅威の評価が容易になります。
  • エンリッチデータの提供:エンリッチされた IoC データは、Slack などのコミュニケーション・チャネルを通じて配信されるか、セキュリティ管理システム内の関連するインシデント・チケットに直接追加されます。これにより、必要な情報はすべて、必要な人がすぐにアクセスできるようになります。

2.外部攻撃サーフェスのモニタリング

組織の外部攻撃対象領域には、攻撃者に悪用される可能性のある、外部に面したすべての資産が含まれます。

Monitoring Your External Attack Surface

これらの資産には、ドメイン、IPアドレス、サブドメイン、公開されているサービスなどが含まれます。

これらの資産を定期的に監視することは、潜在的な脆弱性が悪用される前に特定し、緩和するために重要です。

自動化ワークフロー

  • ターゲット資産を定義する:外部攻撃サーフェスを構成するドメインとIPアドレスを定義することから始める。これらは、自動化システムが参照できるファイルに文書化しておく。
  • 自動偵察: Shodanのようなツールを使用して、週単位または月単位でこれらの資産をスキャンする。Shodanは、オープンポート、公開されたサービス、その他の脆弱性を特定するのに役立ちます。
  • 調査結果のコンパイルと重複排除:スキャン結果は自動的にレポートにまとめられます。レポートが簡潔で実用的なものになるよう、重複する調査結果は削除されます。
  • 週次レポートの配信:最終レポートは、電子メール、Slack、またはその他のご希望のコミュニケーションチャネルを通じて配信されます。このレポートでは、新規または変更された資産、潜在的な脆弱性、リスクをもたらす可能性のある冗長アプリケーションをハイライトします。

3.ウェブアプリケーションの脆弱性スキャン

ウェブアプリケーションは攻撃者の頻繁な標的であるため、定期的な脆弱性スキャンはセキュリティの維持に有効である。

OWASP ZAPBurp Suite のようなツールは、古いソフトウェアや設定ミスなど、一般的な脆弱性を特定するプロセスを自動化します。

Scanning for Web Application Vulnerabilities

これらのスキャンは、入力検証の脆弱性も検出し、ウェブ・アプリケーションの安全性を確保するのに役立つ。

自動化ワークフロー

  • ウェブ資産を定義する:組織のウェブアプリケーションをホストするすべてのドメインと IP アドレスをリストアップすることから始める。これらの資産は、自動化システムで簡単に参照できるように、ファイルに文書化しておく。
  • 脆弱性スキャンの自動化:定義されたウェブ資産は、OWASP ZAP や Burp Suite のようなスキャンツールに自動的に送信される。これらのツールは包括的なスキャンを実行し、攻撃者によく悪用される脆弱性を含む脆弱性を特定する。
  • 結果の収集と優先順位付け:スキャン結果は自動的に収集され、検出された脆弱性の深刻度に基づいて優先順位が付けられます。クリティカルで深刻な脆弱性は、早急な対策のためにハイライトされます。
  • 結果の配信: 優先順位付けされた結果は、Slackまたはインシデント管理システム内のエンリッチチケットとして関連チームに配信されます。これにより、適切な担当者に脆弱性が通知され、適切なアクションを取ることができます。

4.盗まれた認証情報のメールアドレス監視

漏洩した認証情報を監視することは、組織のサイバーセキュリティ戦略の重要な側面である。

Have I Been Pwned(HIBP)は広く利用されているサービスであり、さまざまな侵害からのデータを集約して、個人や組織が認証情報が漏洩したかどうかを判断するのに役立ちます。

Monitoring Email Addresses For Stolen Credentials

HIBPを使用して、漏えいした認証情報をチェックするプロセスを自動化することで、組織は潜在的なセキュリティ・インシデントを迅速に特定し、対応することができます。

自動化ワークフロー

  • ユーザの電子メールとドメインをコンパイルする:監視が必要なユーザの電子メール・アドレスまたはドメインのリストを作成する。このリストには、組織内のすべての関連ユーザ・アカウント、特に特権アクセスを持つユーザ・アカウントを含める。
  • HIBP API をクエリする:作成したメールアドレスまたはドメインのリストを使用して、HIBP API に自動的にクエリを実行します。このステップでは、HIBPにリクエストを送信し、既知のデータ漏えいに該当するメールアドレスがあるかどうかを確認する。
  • 結果の集計と分析HIBPからの回答を収集する。情報漏えいのデータからメールアドレスやドメインが見つかった場合、情報漏えいの詳細(情報漏えいの発生源、漏えいしたデータの種類、情報漏えいの発生日など)を集計・分析します。
  • アラートとレポートの配信:漏洩した認証情報が検出された場合、自動的にアラートを生成します。このアラートは、電子メール、Slack、または優先度の高いチケットとして組織のインシデント対応システムに統合して送信できます。影響を受けたメールアドレス、漏洩の内容、推奨される措置(パスワードリセットの強制など)など、漏洩に関する詳細情報を含める。
  • 早急なセキュリティ対策を実施する:情報漏えいの深刻度に基づいて、システムは自動的にセキュリティ・アクションを実施することができます。たとえば、影響を受けたアカウントのパスワード・リセットを開始したり、関係するユーザに通知したり、漏洩したアカウントの監視を強化したりします。
  • 定期的な定期チェック:HIBP に対する定期チェックのスケジュールを設定する。こうすることで、組織は認証情報に関わる可能性のある新たな侵害を常に認識し、迅速に対応することができる。

よくある質問

以下では、上記の自動ワークフローに関するよくある質問と、実際にどのように役立つのかについてお答えします。

  1. サードパーティ・サービスは自動化ワークフローを提供していないのか?
    多くのサービスがAPIを提供しており、データの取得などワークフローの一部を自動化できる。しかし、エンド・ツー・エンドの自動ワークフローを構築するには、一般的にコーディングと設定が必要だ。ワークフロー全体をスクリプトで複製することは、柔軟性を提供するが、変更がそれを壊す可能性があるため、強力ではない。一元化された自動化プラットフォームで利用可能なAPIを活用することで、安定したスケーラブルなソリューションが提供される。
  2. bashスクリプトで全体を複製することはできないのでしょうか?
    はい、Bash/PowerShellスクリプトを書いて、この記事で述べたセキュリティ・タスクを自動化することは可能です。スクリプトは、手動プロセスには欠けている柔軟性を提供します。しかし、スクリプトには継続的なメンテナンスが必要であり、変更するとワークフローが壊れてしまう可能性があります。また、Blink Ops のような専用の自動化プラットフォームが提供する中央管理、スケジューリング、アラート、レポートなどの高度な機能が不足している場合もある。複雑で長期にわたる自動化要件には、適切なプラットフォームがより信頼性が高く効率的です。
  3. IoCエンリッチメントの自動化はどのように役立つのか?
    IoCエンリッチメントの自動化は、IP、ドメイン、ファイルハッシュなどの指標に関する脅威インテリジェンスをAPI経由で複数のソースから同時に収集することで、対応プロセスをスピードアップします。これにより、セキュリティチームは、さまざまなソースを手作業で検索して時間を費やすのではなく、脅威を迅速に評価するために必要なコンテキストを備えた単一の包括的なレポートを得ることができます。これにより、効率性と状況認識が向上し、十分な情報に基づいた迅速な意思決定が可能になります。

Blink Opsでサイバーセキュリティ態勢を改善する

Blinkは、SOCやインシデントレスポンス、脆弱性管理、クラウドセキュリティ、アイデンティティとアクセス管理、ガバナンス、リスク、コンプライアンスなど、幅広いユースケースのセキュリティを迅速かつ容易に実現したいと考えるセキュリティチームやビジネスリーダーにとって、ROI(投資利益率)を高めるツールです。

Blink ライブラリには何千ものオートメーションがあり、特定のユースケースに合わせてワークフローをカスタマイズできるため、Blink Opsはお客様のセキュリティ運用を大幅に改善することができます。

Blink Opsを始めよう

Blink Opsがスポンサーとなり、執筆しました。