Categories: セキュリティ

セキュリティ チームを強化する:AMP Unity および Cisco Threat Response

この記事は、セキュリティ ビジネス グループのテクニカル マーケティング エンジニアである Evgeny Mirolyubov によるブログ「Empowering Defenders: AMP Unity and Cisco Threat Response(2018/10/12)の抄訳です。

セキュリティ チームが行うべき作業は多く、克服すべき課題も多数あります。このことは、26 ヵ国 3,600 社以上のお客様を対象に行われた、Cisco 2018 セキュリティ機能ベンチマーク調査でも明らかになっています。セキュリティを取り巻く状況は明確になるどころか一層混沌としており、混在するセキュリティ製品のオーケストレーションに悪戦苦闘している様子を目の当たりにしてきました。

セキュリティ チームが日々実行するタスクを想像してみましょう。増える一方のアラートの確認、さまざまなソースからの情報を関連付けて個々の潜在的な脅威から全体像を把握すること、トリアージと優先事項の割り当てなど、どれも複雑な作業であり、厳しい時間的制約の中でこなす必要があります。脅威とそれによる侵害の範囲、発生し得る損害について明確に把握したうえで、適切な対応措置を迅速にとることが求められます。このプロセスは、手動で行うとエラーが発生しやすく、時間も要します。また、アラートを理解することが困難であれば、重大度の高い脅威が防御をすり抜けてしまう可能性もあります。

統合されたアプローチの方が容易に実装でき、コスト効率も高い、との声を多くのお客様から伺っています。お客様の声に耳を傾け、ニーズを理解することを、シスコは常に最優先にしています。このため、セキュリティ アナリストが効果的な武器によって組織を保護できるよう、シスコは、セキュリティ運用の合理化を実現するセキュリティ アーキテクチャを構築しています。シスコは最近、2 つの製品を開発しました。1 つはプラットフォーム、もう 1 つは機能です。そう、Cisco Threat Response と AMP Unity です。どちらの製品も画期的で、開発は個別に行われましたが、戦略的な目標は同じです。

AMP Unity

AMP Unity とは、AMP for Endpoints コンソールで、AMP 対応デバイス(Cisco NGFW、NGIPS、ESA、CES、WSA(マルウェア/AMP サブスクリプション))を登録できるようにした機能です。登録すると、エンドポイントに対するのと同様の方法で、それらのデバイスも AMP for Endpoints コンソールにより識別および(サンプル監視の目的で)照会されます。これを統合することにより、単一のユーザ インターフェイス(グローバル ファイル トラジェクトリ ビュー)で、すべての脅威ベクトルにわたってファイル伝播データを関連付けることができます。

グローバル ファイル トラジェクトリ ビュー(メール ゲートウェイを通じて、エンドポイントに至る、ネットワーク全体を介した別のエンドポイントへのファイル転送を紹介)

それだけではありません。AMP Unity では、共通のファイル ホワイトリストとファイル ブラックリストを(同じ AMP for Endpoints コンソールを介して)作成し、AMP エンドポイント (グローバル アウトブレイク コントロール)とともに、組織で登録済みの AMP 対応デバイス全体に適用できます。

グローバル アウトブレイク コントロール(すべての AMP 対応デバイスとエンドポイントにわたってブロック アクションを適用するシンプルな検出リストにファイルを追加)

インシデント対応シナリオでは、侵害の範囲と、脅威が環境全体にどのように広がるかを迅速に把握できることが不可欠です。ゲートウェイとエンドポイント全体でのマルウェア インスペクションに一貫したポリシーを適用できるため、セキュリティ チームは時間を節約でき、最も重要な脅威に対処できます。

AMP Unity とは機能であることに注意してください。新しいダッシュボードやポリシーは導入されません。管理はすべて AMP for Endpoints コンソールを介して行います。そのため、AMP への既存の投資から、さらに大きな価値を引き出すことができます。

Cisco Threat Response

革新的なプラットフォームである Cisco Threat Response(旧称 Cisco Visibility)は、セキュリティに関連する情報をシスコとサードパーティのソースから収集します。収集した情報は、直感的に使用できる単一の調査および応答コンソールに集約されます。収集は、イベント ログと脅威インテリジェンスの統合フレームワークとして機能するモジュール型設計を通じて実行されます。モジュールにより、関係グラフが作成されデータの相互関連付けを迅速に行えるため、セキュリティ チームは攻撃を明確に把握するとともに、効果的な対応アクションを迅速に実行できます。

Cisco Threat Response 関係グラフ

この記事を公開する直前の時点で、Cisco Threat Response は、シスコとサード パーティの複数のモジュールからイベント ログと脅威インテリジェンスを収集しています。実際にご覧になる頃には、プラットフォームにはモジュールと機能が追加されている可能性もあります。

Cisco Threat Response モジュール

これによる明らかな利点は、自動化できることと、インシデント対応の遅延(複数のユーザ インターフェイスを介して移動したり、利用可能なデータを手動で関連付けようとしたりすることで生じる)を削減できることです。これこそ、まさに Threat Response で得られるものです。また、「Casebook」という統合ケース管理ツールによって、日常的なワークフローが合理化されます。この小さな UI コンポーネントで、監視対象の集約とピボット、調査への名前の割り当て、メモの作成、その他多くのことができます。Casebook はクラウド API とデータ ストレージ上に構築され、すべての製品で(クレデンシャルを使用して)参照できます。このため、製品から製品へと、究極的にはシスコのセキュリティ ポートフォリオ全体にわたってユーザを追跡できます。

Casebook

現在 AMP for Endpoints と Threat Grid をお使いのお客様には、Cisco Threat Response をすぐに活用し、この強力なプラットフォームの持つ可能性を引き出していただけます。

AMP Unity Cisco Threat Response の連携

両製品はいずれも、緊密にネイティブ統合することによりセキュリティ チームに付加価値を提供しますが、相互の関係はどのようになっているのでしょうか。一言でいえば、それはシンプルな関係です。Cisco Threat Response では、AMP for Endpoints から関連付けられたイベント テレメトリを照会することで、封じ込めのアクションを迅速に実行できます。これは、Threat Response で有効化された AMP for Endpoints モジュールを介して、AMP for Endpoints API により実行します。AMP for Endpoints コンソールは、AMP 対応デバイスからのテレメトリを関連付ける一元化された場所であるため、この情報を使用して、Threat Response により作成された関係グラフを補強できます。その上で、AMP Unity によって導入されたグローバル アウトブレイク コントロール機能を、Threat Response のユーザ インターフェイスを介して使用できます。

Threat Response における AMP Uniy イベント

AMP Unity は、AMP for Endpoints モジュールを介して Threat Response に AMP 対応デバイスのデータを提供します。一方 Threat Response では、Threat Response のすべてのデータにわたる調査結果に基づいて、AMP を導入したエンドポイント層とエッジ層の両方で迅速にアクションを実行できます。

シスコは、AMP Unity が、AMP 対応デバイスからのイベント テレメトリを関連付ける手順の選択肢になるよう、Threat Response の新しいモジュールの開発を続けています。Threat Response は最終的に、AMP for Endpoints モジュールに依存することなく、これらのデバイス(WSA、ESA、CES、NGFW、NGIPS)を直接照会できるようになります(このことは、AMP for Endpoints を導入していないお客様には特に重要です)。

まとめ

Threat Response が提供する関係グラフによって、さまざまなシステムからの脅威インテリジェンスとログの関連付けが、これまでよりも簡単に行えるようになりました。より直感的で自動化されたやり方で、アラートを理解し、侵害の範囲を追跡し、脅威がどのようにネットワーク全体に広がるかを把握できるようになりました。その結果、数時間かかっていたセキュリティ チームの作業が数分で済むようになりました。脅威への対応と封じ込めのアクションの適用を、同じユーザ インターフェイスを介して実行できるため、1 秒でも惜しいときに時間を節約できます。2,000 社以上のお客様が、Threat Response と AMP Unity を、毎日のワークフローの中に着実に組み込んでいることを見てきました。それらのセキュリティ チームが、世界中でこれらの新しい製品を使用して時間を節約している様子を見て、非常にご満足いただいております。

シスコのエンジニアリング チームは、AMP Unity のような統合機能の開発を続けると同時に、Cisco Threat Response の新しい機能とモジュールの開発も続けていきます。Cisco Security への投資によって、一緒に成果を生み出しましょう。シスコはお客様のご要望に耳を傾け、ポートフォリオ全体でそれを実現します。

吉池 克史

国内大手SIのセキュリティ主管部門の設立に関わりプリセールス SE を経験後、外資系セキュリティ会社を数社経て、2014年1月 Sourcefire 社買収によりシスコへ入社。2016年10月にTME (Technical Markething Engineer)のポジションに移動し、Cisco AMP及び Cisco Stealthwatchを開発側のエンジニアとして技術サポートしている。

セキュリティ セグメントでの実務経験は、15年以上となり、ネットワーク、サーバ、エンドポイント、認証系セキュリティ等、IT セキュリティに対して豊富な知識を持っている。

プライベートでは、IT からまったく離れた格闘技の世界で柔道を20年以上続けながら、現在の居住地近辺でのお祭りで神輿を担ぐことを趣味としている。

テクニカル マーケティング エンジニア(TME)についてテクニカル マーケティング エンジニア(TME)とは、シスコの中で開発側のエンジニアです。TME は開発チームと直接コミュニケーションすることの可能なポジションで、製品開発スケジュールや技術仕様などCSE/SEが得られる情報と比較し、より細かな情報に基づき、技術サポート、製品拡販、パートナーサポート、マーケティング活動を行っている。