の創設者兼 CEO として、セキュリティ チームがクラウド ファーストの世界で攻撃者よりも賢く、迅速に対応できるように支援しています。 パンサー.
ゲッティ
最近のセキュリティ チームは、管理しなければならないことがたくさんあります。データの急激な流入、追跡するクラウド アプリケーションとサービスの増加、複雑さの増大により、組織の安全を維持するための高いハードルがすでに高まっています。 さらに悪いことに、セキュリティ チームが使用するツールやシステムの一部は、役に立たず、害を及ぼしています。 スケーリングが十分に速くなく、低品質のアラートを生成し、1 回限りの手動プロセスが必要です。 セキュリティ チームは、これらの増大する課題に対応できるようサポートできる、より優れたアプローチを必要としています。
これらの優れたアプローチの 1 つは、セキュリティ チームを最新の検出チームに進化させることです。
最新の検出チームは、スケーラビリティと効率性を優先しています。 ソフトウェア エンジニアリングの原則を適用して、セキュリティ オペレーションを管理します。 何よりも、彼らはコードとしての検出の考え方を採用しています。 検出の信頼性が向上し、大量のデータを分析できるなど、メリットは非常に大きいです。 また、チームはスケーラブルで協調的なセキュリティ ワークフローを作成し、運用上の安定性を高め、オーバーヘッドを削減することもできます。
セキュリティ チームが将来に向けて拡張するためのより効果的な方法を探している場合は、次の 5 つのステップに従う必要があります。
1.コードとしての検出を使用して、データ収集を自動化します。
セキュリティ チームを弱体化させる最大の要因の 1 つは、手動プロセスに費やす時間と、追いつかない SIEM を介してますます大量のデータを収集しなければならないという課題です。 これが、特にクラウド環境をスケーリングする際に、データ収集にコードとしての検出を採用することが最初のステップである理由です。 インフラストラクチャを自動化するということは、プロビジョニングするものに対する制御と一貫性が向上し、安定性、予測可能性、およびスケーラビリティも向上することを意味します。
まず、オープンソース GitHub のようなプラットフォームを採用してインフラストラクチャを管理し、コードとしての構成プラットフォームを見て、集中ログ用にシステムを構成します。 コードとしての検出を採用するときは、選択した構成とインフラストラクチャ管理が、環境に存在するすべてのクラウド プラットフォームとオペレーティング システムに適用されることを確認してください。
2. 基本的なソフトウェア エンジニアリングの原則についてチームをトレーニングします。
次のステップは、行動と考え方の両方を含む、基本的なソフトウェア エンジニアリングの原則についてチームを強化することです。 チームがまだ知らない場合は、Python や SQL などの汎用コーディング言語を教えてください。
セキュリティ チームは何年にもわたって Python スクリプトを書いてきたかもしれませんが、コードとしての検出を利用することで、そのコードを高度に調整されたアラートとワークフローに活用して、全体的により優れた検出を提供できるようになります。 コードとしての検出により、テスト、自動化、およびピア レビューを利用できます。
3. 適切な SIEM プラットフォームを選択します。
もちろん、適切な SIEM プラットフォームを使用することで、チームの効率とスケーラビリティの基盤が確立されます。 コードとしての検出 (事前に構築された検出機能) と、ログをセキュリティ データ レイクに送信する機能を中心とするクラウド ネイティブの SIEM プラットフォームを選択します。 これらの機能を備えたプラットフォームは、データの正規化、リアルタイム分析、構造化データの調査、および環境に対するその他の洞察に必要なパイプラインをセットアップします。 待つ時間が長ければ長いほど、技術的負債が増えることに注意してください。
4. チームに検出フレームワークを提供します。
次のステップは、エンドポイント データ ソース全体でさまざまな疑わしいアクティビティを識別する検出フレームワーク、一連の標準ルール、または事前に構築された検出を選択することです。 言い換えれば、「理由だけで」検出を作成したり、何を検出したいかを念頭に置いて最終目標なしに検出を作成したりしたくないということです。 検出をより戦略的に行うことで、有効性を高めることができます。
MITRE ATT&CK のようなフレームワークから始めることを検討してください。これにより、悪意のある攻撃者が現在使用しているすべての一般的な戦術と手法の検出を作成できます。 フレームワークはプロセスに構造をもたらし、システムを安全に保つためのより体系的なアプローチを提供できます。
5.もっとオートマトン。
プラットフォームを稼働させたら、次のステップは、引き続き自動化を強化することです。
ただし、突然すべてのタスクを一度に自動化しないでください。 一般的なタスクと特定のユース ケースから始めて、それらをコーディングします。 次に、より洗練された自動化とワークフローを構築します。これにより、アナリストは真に悪意のあるアラートにより集中できるようになります。 自動化の向上は、運用効率の向上とオーバーヘッドの削減も意味します。
明日に備えるために、今日、最新の検出チームを作成します。
セキュリティ チームは窮地に立たされています。 彼らは組織を保護する任務を負っており、組織を保護することを効果的かつ大規模に望んでいます。特に、今日の組織に対するデータ侵害の平均コストは 386 万ドルであるためです。 しかし、今日のワークロードに対応できていないツールやアプローチでは、プロアクティブな保護を行うことは困難です。 最新の検出チームになることで、成功のための適切なツールとシステムを利用できるようになるだけでなく、将来に向けて規模を拡大することができます。
Forbes Technology Council は、世界クラスの CIO、CTO、テクノロジー エグゼクティブ向けの招待制コミュニティです。 私は資格がありますか?
.