米マカフィーは、サイバー脅威ハンティングの役割とセキュリティーオペレーションセンター(SOC)の進化について調査したレポート「Disrupting the Disruptors, Art or Science?(脅威に対抗するのは、技術か科学か?)」を発表した。
アンケート調査は、2017年春に第三者データベースからさまざまな国や業界、会社規模を代表する700人以上のITおよびセキュリティー専門家を対象に実施。
回答者は、オーストラリア、カナダ、ドイツ、シンガポール、イギリス、アメリカを拠点とし、従業員1000人以上の組織で脅威調査業務を担当する人物だという。
レポートでは全4段階の進化レベルにあるセキュリティーチームに注目し、先進的なSOCはそれ以外のSOCに比べて実際の脅威調査に50%長い時間を費していることが明らかになった。
また、長年のサイバー犯罪者研究で培った感度や推測、経験に基づき、サイバー脅威を調査する専門のセキュリティーチームメンバーのことを「脅威ハンター」と呼び、レポートではSOCと脅威ハンターの現状について書かれている。
アンケート調査の主な結果は以下のとおり。
結果
・先進的なSOCの71%は、平均して1週間以内にインシデント調査を完了させている。さらに、そのうちの37%は24時間以内に脅威調査を完了させていることがわかった。
・経験の浅い脅威ハンターは、全攻撃の20%しか原因を特定できない。一方、経験豊かな脅威ハンターは90%の原因を特定している。
・熟練のSOCは、サンドボックスの利用、ワークフローの改善、コストと時間の削減、またほかのソリューションでは集められない情報を収集することなどを通じて、経験の浅いSOCと比べて45%も高い成果を上げている。
戦略
・回答者の68%は、さらなる自動化と脅威ハンティングにより、高度なサイバーセキュリティーを実現できると回答した。
・経験豊かなSOCは、2倍の割合で攻撃調査プロセスを部分的に自動化している。
・経験豊かなSOCの脅威ハンターは、ツールや技術のカスタマイズにかけている時間が、経験の浅いSOCと比べて70%も長い。
戦術
・先進的なSOCは、脅威調査を自動化している割合がそれ以外のSOCの3倍(平均23%対75%)。その結果、経験豊かな脅威ハンターは実際の脅威ハンティングに費やせる時間が経験の浅いSOCと比べて50%も長い。
・第一線のSOCの分析者にとってサンドボックスは最善のツールであり、これらの上級メンバーはここで高度なマルウェア解析とオープンソースを利用する。そのほか、SIEM、EDR、ユーザーの振る舞い分析などの標準ツールも使用している。また、そのすべてが自動化の対象になっている。
・経験豊かなSOCは経験の浅いSOCに比べて、50%高い割合で調査にサンドボックスを利用している。不審なものを検知するだけでなく、ネットワークに侵入してくるファイル内の脅威もサンドボックスで調査、検証する。
マカフィーのコーポレートセキュリティー製品担当バイスプレジデント兼ゼネラルマネージャーのラジャ・パテル氏は「組織は、サイバー犯罪者に攻撃されることを見越して計画を策定する必要があります。ビジネスを妨害しようとする敵対者の勢力を削ぐための計画の中で、脅威ハンターは極めて重要な存在ですが、成功にはその効率化が求められます。サイバー脅威を水際で食い止められる強力な人とテクノロジーのコラボレーションのための戦略を策定するには、脅威ハンターだけでなく革新的なテクノロジーも必要なのです」と述べている。