このブログ投稿は、Microsoft Intelligent Security Association のゲスト ブログ シリーズの一部です。 MISAの詳細をご覧ください。
組織のサイバーセキュリティの準備を改善するには、検出および防止テクノロジが意図したとおりに機能し、セキュリティ プログラムが最大限に機能していることをテストする必要があります。 Poneman Institute の調査によると、さまざまなセクターの 500 人を超える情報技術とセキュリティのリーダーのうち、53% がサイバーセキュリティ機能の有効性とパフォーマンスについて確信が持てないと述べています。 1理由は?最も高度なセキュリティ制御でさえ、人為的エラーや構成のずれにより失敗し、失敗した場合は黙って失敗します。パフォーマンスを保証するために、継続的にテストする必要があります。類推すると、世界最高のスポーツ チームでさえ、防御を行使して攻撃に備える必要があります。訓練しないと萎縮します。準備を整えるために、誰もが既知の脅威に備える必要があります。
MITRE ATT&CK® を使用したセキュリティ効果の測定
幸いなことに、MITRE ATT&CK フレームワークは、攻撃者が攻撃を行うために使用する既知の戦術、手法、および行動をサイバー防御者に提供します。現在、Microsoft と AttackIQ は、 Microsoft Evaluation Labなどを通じて協力して、MITRE ATT&CK と脅威に基づく防御を使用してテストを自動化しています。 AttackIQ は、Microsoft インテリジェント セキュリティ アソシエーション (MISA) の一部です。MISA は、独立系ソフトウェア ベンダーとマネージド セキュリティ サービス プロバイダーのエコシステムであり、増大する脅威に対する防御を強化するソリューションを統合しています。 MISA は、セキュリティ組織間のサイロを打破して、より適切に組み合わせたソリューションを構築し、世界のサイバーセキュリティ体制を改善するのに役立ちます。
AttackIQ を使用すると、Microsoft のお客様はMicrosoft Defender for Endpoint 、 Azure ネイティブ クラウド セキュリティ コントロール、およびMicrosoft Sentinelの使用をテストし、セキュリティ プログラムに対して敵対者のエミュレーションを実行して、チームが使用できる詳細なデータを生成できます。詳細なパフォーマンス データを使用して、顧客は人、プロセス、およびテクノロジに関する十分な情報に基づいた意思決定を行い、セキュリティ プログラムの全体的なパフォーマンスを向上させることができます。
両社が連携する方法のいくつかを見てみましょう。
Microsoft Defender for Endpoint をテストするために敵対者をエミュレートする
サイバーセキュリティの準備状況を検証するために、 AttackIQ は Microsoft Defender for Endpoint と統合して、サイバー攻撃を現実的かつ特異的にエミュレートします。大規模かつ継続的にこれを行い、Microsoft Defender for Endpoint の機械学習と AI 対応テクノロジをテストして、セキュリティ プログラムのパフォーマンスに関する詳細なデータを生成します。
Microsoft Azure と Microsoft Sentinel のテスト
Microsoft Defender for Endpoint のテストに加えて、AttackIQ Security Optimization Platform は、調査を活用してMicrosoft Azureのネイティブ クラウド コントロールに対して評価とシナリオを実行します。 Azure のネイティブ セキュリティ コントロールを MITRE ATT&CK にマップするMITRE Engenuity の Center for Threat-Informed Defenseから。 AttackIQ は、ネイティブ クラウド コントロールの有効性を測定するための評価を構築しました。 Azure のネイティブ コントロールに加えて、AttackIQ はMicrosoft Sentinelと統合されているため、Microsoft Sentinel ユーザーは、組織全体で検出パイプラインをテストし、セキュリティ プロセスを微調整できます。
実用的なパフォーマンス データの生成
セキュリティ チームは、Microsoft Defender for Endpoint および Microsoft Azure に対して必要な頻度で評価を実行するようにスケジュールを設定できます。継続的なテストに基づいて、AttackIQ セキュリティ最適化プラットフォームは、セキュリティ制御のパフォーマンスに関するポイント イン タイムおよび縦断データを生成し、チームにプログラムの全体的な準備状況を知らせます。
MITRE ATT&CK と Microsoft の連携
AttackIQ は、MITRE ATT&CK と緊密に連携して、Microsoft のセキュリティ機能の自動化されたセキュリティ コントロールの検証を行い、戦術、手法、およびサブ手法の詳細なシナリオ ライブラリを活用して、セキュリティ プログラムのパフォーマンスを検証します。
AttackIQ のシナリオ
以下は、Microsoft Defender for Endpoint の基本的な機能チェックを提供する AttackIQ インターフェイス シナリオのイメージです。 AttackIQ Security Optimization Platform 内で、ユーザーはプラットフォーム内のさまざまなシナリオからこのシナリオを選択して、Microsoft Defender for Endpoint の有効性を検証できます。そこから、ユーザーは Microsoft Defender for Endpoint に対して実行するシナリオを割り当てて、インフラストラクチャを通じてその有効性を検証できます。
シナリオを実行した後、AttackIQ Security Optimization Platform は、Microsoft Defender for Endpoint がその防止機能と検出機能でどの程度うまく機能したかの結果を示し、顧客のセキュリティ チームに構成上の課題やその他の注意が必要な問題を提示します。
次の図に示すように、AttackIQ Security Optimization Platform には、Azure ブログ ストレージ アカウントをテストするためのシナリオも含まれています。
Microsoft Defender for Endpoint が攻撃者の戦術、技術、および手順 (TTP) を検出および防止する際にどれだけうまく機能するかのアトミック テストを超えて、AttackIQ の解剖学的エンジンは、MITRE ATT&CK フレームワークに合わせて TTP を連鎖させ、現実的で包括的な敵対者の攻撃フローで組織に対してさまざまな敵対的 TTP を実行します。 AttackIQ のアナトミック エンジンは、Microsoft Defender for Endpoint、Microsoft Azure、Microsoft Sentinel などの高度な AI および機械学習対応の防御機能をテストするように設計されており、あらゆる段階で特異性とリアリズムを備えて敵をエミュレートします。
テストが実施されると、AttackIQ は単一の時点から、または一定期間にわたって縦断的にレポートを生成し、セキュリティ コントロールまたは一連のセキュリティ コントロールが MITRE ATT&CK に沿ったシナリオおよび AttackIQ が持っている攻撃フローに対してどのように実行されたかを示します。ビルドして実行します。以下の説明図は、AttackIQ がセキュリティ コントロールの検出と防止の失敗と成功のパフォーマンス データを生成する方法を示しています。
自動テストの利点は、単一のポイント イン タイム分析にとどまりません。検出と防止の結果を縦方向に集計して、時間の経過に伴うプログラムのパフォーマンスを示すことができます。チームは、実際のパフォーマンス データを使用して、組織の防御態勢におけるコントロールの失敗やギャップを特定し、パフォーマンスを改善するための調整や投資を行い、運用に影響を与える可能性のある目に見えない根本的な問題を調査できます。
人間のパフォーマンス評価
何でこれが大切ですか?テクノロジーのテストだけではありません。当社のテクノロジーはすべて人間のチームによって運営されています。したがって、人的要因はセキュリティ プログラムのパフォーマンスにおいて重要な役割を果たします。セキュリティ チームに影響を与えている問題を発見するプロセスには、構成管理の単純な作業よりも深い調査が必要です。しかし、コントロールをテストしなければ、問題があるかどうかはわかりません。
AttackIQ ヘルスケアの大規模顧客の例を考えてみましょう。自動化されたテストにより、顧客の防御機能におけるセキュリティ制御の失敗が明らかになり、さらに調査したところ、マネージド セキュリティ サービス プロバイダー (MSSP) 契約の失効が原因であることがわかりました。セキュリティ リーダーがこの問題を調査したところ、彼の大規模なセキュリティ チームは、賃金表の不一致による人員削減の問題に直面していたことがわかりました。彼の次の電話は、給与の引き上げについて話し合うために人事部門の責任者に向けられたものでした。この場合、技術は問題ではありませんでした。問題は技術管理ではなく、給与の問題でした。継続的なセキュリティ検証のプロセスにより、高度なテクノロジを効果的に使用するチームの能力に悪影響を及ぼしていた人事の根本的な問題が明らかになりました。
包括的なパートナーシップ
セキュリティ制御はさまざまな理由で行き詰まります。継続的なテストは、顧客のセキュリティ プログラムの弱点と強みの領域を明らかにするのに役立ちます。 Microsoft と AttackIQ は、MITRE ATT&CK フレームワークに支えられた自動テストを通じて Microsoft のセキュリティ テクノロジを検証することで、サイバースペースの安全とセキュリティを確保するのに役立っています。 AttackIQ は、あらゆる段階でリアリズムと特異性を備えた敵をエミュレートすることで、Microsoft の顧客が同社のセキュリティ製品から最高の投資収益率を達成できるように支援します。
AttackIQについて
侵害および攻撃シミュレーション ソリューションの大手独立系ベンダーである AttackIQ は、継続的なセキュリティ制御の検証とセキュリティ プログラムの有効性と効率の向上のために、業界初のセキュリティ最適化プラットフォームを構築しました。 AttackIQ は、MITRE ATT&CK フレームワークに沿って、セキュリティの改善を特定し、サイバー防御が期待どおりに機能することを検証するために、世界中の主要な組織から信頼されています。同社は、無料の AttackIQ Academy、オープンな Preactive Security Exchange、 MITRE Engenuity の Center for Threat Informed Defenseとのパートナーシップを通じて、サイバーセキュリティ コミュニティに恩返しをすることを約束しています。詳細については、ウェブサイトをご覧ください。 Twitter 、 LinkedIn 、 YouTubeで AttackIQ をフォローすることもできます。
もっと詳しく知る
- Microsoft Defender for Endpoint にアクセスしてください。
- Microsoft Azureを探索します。
- 今日から Microsoft Sentinelの使用を開始してください。
Microsoft Intelligent Security Association (MISA) の詳細については、Web サイトにアクセスしてください。MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1セキュリティへの投資は増加しているが、53% のリーダーは有効性を確信していない、Jessica Davis、Health IT Security。 2019 年 7 月 30 日。
Comments