この記事は、Vice President である AJ Shipley によるブログ「Simplify Your Security Operations with Cisco XDR, Launching at RSAC」(2023/4/24)の抄訳です。
ニュースフラッシュ:攻撃者はベンダーの統合など気にしていません。実際に攻撃者はセキュリティ・スタック全体の統合が不十分であることを利用して、その隙を利用し検知を逃れようとしています。同時に、かつては国家的脅威のに対する洗練されたエクスプロイトが今ではコモディティ化しており、漏洩を最小限に抑えリスクを抑えるために必要なスピードで対応することが非常に困難になっています。さらに、前例のないスピードで進化し、Threat Actor にさらに多くの戦術とテクニックを与えている Generative AI のような新しいテクノロジーについても触れていません。今日のセキュリティチームは、自社のセキュリティ環境と、グローバルなサプライチェーン、攻撃者、防御者のエコシステムの両方において、異常なレベルの複雑性に対処しています。その結果 その結果、セキュリティ侵害はかつてないほど頻繁に発生し、対処費用も大きくなっています。
しかし、悲観的なことばかりではありません。このようなマルチベクトル、マルチベンダー、ハイブリッドな環境では、セキュリティアナリストがあらゆる角度から脅威を検知し、優先順位をつけて緩和することができる、堅牢な検知・対応ソリューションが必要となります。非常に嬉しいニュースとして、シスコの新しい Extended Detection and Response (XDR) ソリューションがまさにそれを実現していることが実証されています。これにより、SOCチームは迅速かつ効率的に、終わりのない調査から解放され、代わりにシスコおよびサードパーティのセキュリティスタック全体で最も重要なインシデントの修正に時間を費やすことができます。
XDRとは?
我々がこの旅に出たとき、多くのお客様にXDRの定義を伺いました。共通して言えることは、普遍的な定義は存在しないということです。この分野の初期のベンダーが、自社や自社製品を定義の中心に据えて、「差別化」を強調するメッセージを市場に流したため、多くの混乱が生じたことが主な理由です。
そのような中、我々はInternational Data Corporation(IDC)の定義に出会い、その簡潔さ、明確さ、そして完全性を重視しました。IDCは、XDRを次の3つと定義しています
- 複数のソースからテレメトリを収集する
- 収集したテレメトリにアナリティクスを適用して悪意を検出する
- 悪意への対応と修復
しかし、最初の「複数のソースからのテレメトリの収集」から始めると、Endpoint Detection and Response (EDR) ソリューションが行うのは、エンドポイントからのものだけではありません。また、ネットワークからだけでなく、Network Detection and Response (NDR) ソリューションが行うこともあります。
XDRは、エンドポイントのテレメトリ、ネットワークのテレメトリ(クラウドと物理)、アプリケーションのテレメトリ、そしてアイデンティティを組み合わせることで、ポイント製品が単独では検出できない環境の脅威を検出できるようにすることを目的としています。ポイント製品が優れていないからではなく、攻撃社が非常に優れているからです。
New XDR Explainer Video
XDRへのCiscoのアプローチ
この分野に進出することを決定する前に、我々は一歩引いて自問する必要がありました: この業界には未解決の問題があるのか、もしそうなら、シスコは他の誰よりもその問題を解決できるのか?我々はこの2つの質問に「Yes」と答えることができます。
シスコには、XDRに関して技術水準を向上させるための独自の利点があります。XDRが複数のソースからのテレメトリの集合体であるという側面があります。シスコのポートフォリオは、SOCオペレータ、アナリストがXDRソリューションに必要だとされる、すべての6つのテレメトリソース(エンドポイント、ネットワーク、ファイアウォール、メール、アイデンティティ、DNS)をネイティブでカバーすることができます。これら6つのテレメトリソースすべてにネイティブにアクセスできる XDR ベンダーは市場上、他にありません。そして、このネイティブなテレメトリをすべて分析し相関させることで、ステルスで動作し、ポイントソリューションを回避することができる洗練された攻撃者を検出することができます。
セキュリティ製品のポートフォリオに加え、現在シスコのエージェントが導入されている膨大な数のエンドポイントから独自の知見を得ることができます。Cisco Secure Client (旧AnyConnect) は、およそ2億のエンドポイントにインストールされています。これらのエンドポイントが生成する個々の実行中のプロセスツリーとそれらが作り出すネットワーク接続をマッピングするテレメトリーは、業界で比類のないものです。これは、Endpoint Detection & Responseの主要プロバイダーが導入しているエンドポイント数の4~5倍に相当します。エンドポイントのテレメトリを、パブリッククラウドプロバイダーと自社のスイッチやルーターの両方からのネットワークベースのフローテレメトリと相関させることができるため、これはCiscoでしかできないことです。そして、我々はそれをさらに推進します。
しかし、他のすべてがうまくいかず、攻撃者が侵入経路を見つけた場合、ネットワークは、侵害の程度を理解しどこから修復を開始すべきかを理解するために組織が持つ唯一の記録システムとなります。シスコは市場で最も優れた Network Detection and Response (NDR) 機能を備えているだけでなく、これらすべての遠隔測定ソースを相関させて高度な戦術と技術を検出し、さらに重要なことは、脅威を自動的に調査、応答、修復することができます。 これは明確に悪意の Threat Actor はデータセンターにある高価値の資産だけに着地するわけではありません。悪者はノートパソコンに着地し、その後、ネットワークを通じてラテラルムーブメントを行います。EDRソリューションによる検出やファイアウォールによる排除に頼っていては、非常に苦労することになります。
最後に、Cisco XDRは、進化し続ける脅威と攻撃対象の拡大に対応するための最大の課題の1つに取り組んでいます。それは、競合するサードパーティのEDR、NDR、ファイアウォール、電子メールソリューションなど、これまでにないほど多くのサードパーティ製品と統合することです。ほとんどの組織は、複数のベンダーのツールを採用しており、それらのツールが相互運用できることを望んでいます。しかし、残念ながら、統合は限定的で、テレメトリーの共有もほとんどありません。しかし、ベンダーの垣根を越えて共有されるデータとコンテキスト、そして可能な限り多くのベクトルにおけるテレメトリに対する高度な分析の適用により、世界で最も洗練された攻撃者迅速に検出し、包括的に対応することができます。これが Cisco XDR の紹介です。
RSA Conference 2023にご来場いただき、最適化する方法をご確認ください
Cisco XDRを使用することで、既存のセキュリティスタックを最大限に保護することが可能です
関連リンクとリソース
- Threatwise TV episode
- XDR Product Page
- Cisco XDR: Security Operations Simplified eBook
- An XDR Primer: The Promise of Simplifying Security Operations
ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。
Cisco Secure ソーシャルメディア
Instagram
Facebook
Twitter
LinkedIn