XDR(eXtended Detection and Response)は、今日ほとんどのベンダーで使用されているサイバーセキュリティの頭字語です。これは新しい戦略ではありません。それはしばらく前からありましたが、顧客とベンダーで実際に利用されているかというと、多くの理由でまだあまり進んでいないと言える状況です。マカフィーにとって、XDRは、長年に渡ってソリューション開発を導いてきたビジョン、戦略、および設計哲学に不可欠です。XDRへの道を理解することは、組織がXDRを本格的に活用するのに役立つものです。
XDRが望まれる理由
なぜ今XDRなのか、という点から始めましょう。XDRが望まれるのは、今日のサイバーセキュリティが断片化され、面倒で必ずしも効果的とは言えない状態であることから、人々が向かうべき方向を反映しています。CISOの会話では、セキュリティオペレーションセンター(SOC)が苦労していることはよく知られています。ばらばらのコントロールポイントと異なるツールは、効果のないセキュリティチームにつながります。これにより、攻撃者は、検出されずにインフラストラクチャを横方向に移動することが容易になり、検出を回避するために意図的に不安定な動きをします。アナリストがこれを確認できるのは、数千の点を手動で接続する場合のみです。これは時間がかかり、敵にダメージを与えるための十分な滞留時間を与えてしまうのです。それは良く知られていることで、セキュリティの専門知識が不足しており、これらは定期的にテストされています。彼らの調査は面倒で、非常に手作業が多く、死角がたくさんあります。対応に優先順位をつけることはほぼ不可能であり、SOCは単に反応サイクルに埋もれ、疲労していきます。結論として、SOCメトリックは悪化しますが、一方で敵対者は任務を遂行する上でより洗練され、創造的になっています。
XDRは、これらのSOCの問題を軽減し、運用の非効率性を改善するためのワンストップソリューションになる可能性があります。
XDRオプション
多くのサイバーセキュリティプロバイダーは、ある種のXDR機能を提供しようとしています。それらは、すべてのベクトルにわたって可視性と制御を提供し、脅威に対応する際により速く、より良い応答を得るために、より多くの分析、コンテキスト、および自動化を提供することを約束します。しかし、従来一部のポイントに係るセキュリティソリューションに特化していたベンダーは、ドメイン(エンドポイントまたはネットワーク)の専門知識に限定されており、重要で実績のあるクロスポートフォリオプラットフォームを提供することはできません。結局のところ、エンドポイントプラットフォームは、ネットワーク、クラウド、Webにも接続されていない状態で、真のXDR機能を提供できるのか、ということなのです。
マカフィーの長年のモットーはBetter Togetherです。その信条は、デバイス、ネットワーク、Web、クラウドなど、すべての脅威ベクトルにわたって、マカフィー以外の製品と連携して機能する包括的なセキュリティを提供するという当社の取り組みを強調しています。すでにその点を理解されている業界アナリストと顧客の方々は、当社がプラットフォーム戦略とポートフォリオを考慮して、堅実なXDR製品を提供できる立場にあることに同意しています。
XDRのあるべき姿とは
さて、ベクトル全体の可視性と制御を提供するだけでなく、敵に先んじてより積極的になることを可能にする包括的なXDR機能があるとしたらどうでしょうか。おそらく、企業のローカル環境の状況やグローバルおよび業界のトレンドに基づき、企業を攻撃する可能性のある脅威に注意を向けることができるようになるでしょう。この非常に信頼性の高い予測には、脅威が発生する前に脅威に対抗する方法に関する所定のガイダンスが付属しています。また、デバイスからクラウドにまたがるユーザー、データ、アプリケーション、およびデバイスを保護するために実行できる規範的なアクションも提供するとします。XDRに関するこのような会話をすることができる製品というのはあまり多くはないのが現状ですが、昨年後半に当社が発表したMVISION XDRはそれを可能にします。
マカフィーはXDRを次のレベルに引き上げるだけでなく、最も重要なことに優先順位を付けて集中できるようにすることで、サイバー脅威をより軽減するのにも役立ちます。組織への影響に基づいて脅威への対応を優先するにはどうすればよいですか?攻撃者が何を標的にしているのかを理解する必要があります。あるいは、ユーザーとデバイスに基づき、最も機密性の高いデータへの影響を優先することができるでしょうか?MVISION XDRは、このコンテキストとデータ認識を提供して、アナリストを重要なことに集中させます。たとえば、財務担当役員からの機密データを自分のデバイスで危険にさらす脅威は、データのない汎用デバイスでの脅威よりも自動的に優先されます。このデータ認識は、他のXDR製品に関する会話ではあまり注目されていませんが、MVISION XDRでは注目されている点です。
下の図は、マカフィーのXDRへの道のりと投資、そして上述のようなXDRアプローチにどのように到達したかを示しています。
マカフィーのXDRへの旅
マカフィーのXDRへの旅は、この頭字語が登場して最近始まっただけではありません。前述のように、マカフィーのモットーである「Together is Better」は、XDRの約束の中核となる統合セキュリティアプローチの準備を整えています。マカフィーは、マルチベンダーのセキュリティエコシステムが多層防御のセキュリティプラクティスを構築するための重要な要件であることを早い段階で認識していました。OpenDXLは、オープンソースコミュニティがデータ交換レイヤーまたはDXLメッセージバスアーキテクチャを提供しました。これにより、脅威インテリジェンスプラットフォームからオーケストレーションツールまで、パートナーの多様なエコシステムが共通のトランスポートメカニズムと情報交換プロトコルを使用できるようになりました。ほとんどのエンタープライズセキュリティアーキテクチャは、さまざまなセキュリティソリューションの異種混合です。マカフィーは、DXLオントロジーを提供したOpenCyberSecurity Alliance(OCA)の創設メンバーです。参加ベンダーは、重要な脅威の詳細を伝達するだけでなく、接続されているすべてのマルチベンダーセキュリティソリューションに何をすべきかを通知できます。
EDRはネットワークについて不足しており、SIEMはエンドポイントについて不足していたため、McAfeeEDRとSIEMを統合しました。マカフィーは、分析と調査のために単一のコンソールからプラットフォーム上に複数のテレメトリソースを提供することで、XDR機能を提供し続け、企業全体に自動的に適用される修復対応を推進します。
最初のプロアクティブでデータベース対応のオープンXDRであるMVISION XDRとMVISIONMarketplaceおよびAPIを組み合わせて、XDR機能のオープンセキュリティエコシステムをさらにサポートすると、組織はサイバーインフラストラクチャ全体の可視性と制御を向上させるための確かな出発点を得ることができます。
多くのXDRに関する宣伝がされる前から、マカフィーの顧客の方々はXDRの道をすでに歩んでいました。お客様はすでにXDR機能を取り入れており、より多くのXDR機能を活用することでより強固な環境へと成長する立場にあります。以下のビデオも併せてごらんください。
※本ページの内容は2021年1月5日(US時間)更新の以下のMcAfee Blogの内容を元にしています。
原文:The Road to XDR
著者:Kathy Trahan