CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少 | ScanNetSecurity
2020.07.09(木)

CrowdStrike Blog:CrowdScoreで組織のアラート疲れが劇的に減少

CrowdScoreと新しいIncident Workbenchは、クラウドストライクのEDR製品であるFalcon Insightのすべてのユーザーが利用できます。このアーリーアダプター、初期採用者が実際に体験している素晴らしい成果の一部をご紹介しましょう。

国際 海外情報
 組織は、さまざまな脅威によって次々と引き起こされるアラートに、優先順位付け、把握、対応を素早く行わなければならないという大きな課題に直面しています。この仕事量が多すぎるセキュリティチームを、CrowdStrikeのCrowdScoreTM という極めて強力な新機能がサポート、負けるわけにいかない攻撃者グループとの戦いを大幅にスピードアップできます。

 先日ブログに投稿したとおり、セキュリティチームにとっては「ノイズ」が大きな問題となっており、重度のアラート疲れを引き起こして攻撃を見逃す結果となっています。CrowdScoreはインシデントを効果的に評価して優先順位を付ける高度な技術を導入して、このような重要な問題を解決すると同時に、組織を標的とする攻撃をリアルタイムにセキュリティ担当の経営幹部にわかりやすい図で表示します。

 CrowdScoreと新しいIncident Workbenchは、クラウドストライクのEDR製品であるFalcon Insightのすべてのユーザーが利用できます。この画期的な新機能を一部のお客様は早々に利用されています。このアーリーアダプター、初期採用者が実際に体験している素晴らしい成果の一部をご紹介しましょう。まずは、CrowdScoreがアラート疲れの問題の解決にどのように役立っているかを見ていきます。

インシデントをインテリジェントに優先順位付けしてアラート疲れを解消

 あらゆる業種において組織はアラート疲れに苦しんでおり、そのような状況では次々と押し寄せる潜在的脅威のシグナルが雑音に埋もれてしまいます。セキュリティチームが山のような個々のアラートをつなぎ合わせて全貌を明らかにしようとして、重要なアラートを見逃し、貴重な人材の時間を浪費するということが頻繁に起きています。

 CrowdScoreはクラウドベースの高度な分析を使用して、一見共通点のないセキュリティアラートとインジケータをインシデントにまとめ上げます。個々のアラートではなくインシデント全体にフォーカスすることで、組織は分析担当者が注目しなければならないアイテム数を大幅に削減できます。

 また、CrowdScoreのスマートな優先順位付けエンジンは、CrowdStrike Threat Graphから得られる詳細なコンテキストを利用して、最も深刻な脅威を優先的に分析担当者に提示するので、トリアージプロセスを合理化することができます。

図1:アラートからインテリジェントに優先順位付けしまとめあげられたインシデント
図1:アラートからインテリジェントに優先順位付けしまとめあげられたインシデント

 生産性の向上とそれに伴うアラート疲れの軽減を測定する一つの方法は、セキュリティチームが対処しなければならない、待ち行列にある作業量を調べることです。 アラートではなくインシデントに焦点を絞ったトリアージと調査にシフトするお客様は、生産性が著しく向上することに気付くでしょう。1日あたり100件以上のセキュリティアラートを目にしているFalconプラットフォームの平均的なヘビーユーザーを考えてみましょう。CrowdScoreのアーリーアダプターと新しいインシデントベースのワークフローを見てみると、このカテゴリの平均的組織では、アラート数とインシデント数を比較した場合、作業待ち行列の量が98%減少しています。

図2:インシデントを基にしたワークフローへの移行によるセキュリティアナリストの作業軽減状況
図2:インシデントを基にしたワークフローへの移行によるセキュリティアナリストの作業軽減状況

 セキュリティチームの過剰な負担を軽減することに伴うプラスの効果は明白ですが、それだけには留まりません。

優先順位付けとコンテキストが調査をスピードアップ

 調査のスピードはもう一つの重要な指標です。CrowdStrike2019年版グローバルセキュリティ意識調査によると、脅威の検知、トリアージ、調査、および封じ込めのプロセスにかかる時間は組織平均で162時間、つまりほぼ丸7日間です。攻撃が最初の侵入から数分のうちに水平展開(ラテラルムーブメント)に移ることを踏まえると、これは明らかに時間がかかりすぎです。

 組織が攻撃者グループの先を行くためには、攻撃に対する調査と対応に要する時間を短縮することが不可欠です。CrowdScoreは、組織が新しいIncident Workbenchを使用してこの目標を達成するのに役立ちます。

図3:Incident Workbenchを使用した調査時間の短縮
図3:Incident Workbenchを使用した調査時間の短縮

 Incident Workbenchは、アナリストが方向を定めて脅威に対処するために必要な幅広い情報をまとめます。インシデントに関連するアラートをまとめて表示するだけでなく、Threat Graphから得られる詳細なコンテキストでアラートの情報を補強して、脅威の全体像を見せます。時間が経つにつれて攻撃がどのように進化したかを示す動的なタイムラインを含め、攻撃の要素間の関係を表示します。

 ほとんどの組織で数時間以上かかるデータ収集をIncident Workbenchが自動化して、組織が1-10-60ルールに取り組む上で、測定可能な進展を遂げられるようにします。

全体像を把握する

 CrowdScoreはさらに、ノイズを排除し、組織が自組織に対する脅威レベルを継続的に正しく把握できるようにします。これは組織の「DEFCON (Defense Readiness Condition)デフコン」スコアが提供され、リアルタイムで更新され、組織が攻撃を受けているかどうか、また脅威の重大度はどれくらいかをセキュリティ担当のリーダーが容易に素早く把握できる仕組みであり、組織は即座に対応に取り掛かることができるようになります。

図4:CrowdScoreが現在の脅威レベルをリアルタイムで表示
図4:CrowdScoreが現在の脅威レベルをリアルタイムで表示

 この可視化は経営幹部レベルの可視化として、日常のレポート作成やワークストリームに取り入れられています。ある大手衣料小売業者のセキュリティ運用ディレクターは次のように述べています。「CrowdScoreが単一のわかりやすい指標を提供してくれるため、それを使用して現在の自組織における脅威の重大度を上層部のリーダーに明確に伝えることができます。当社のCIRC(サイバーインシデント対応センター)マネージャがこれを利用して毎日脅威レベルを報告するため、総力を挙げて対処しなければならない状況であるのかを組織の全員が理解できます。CrowdScoreによってコンテキストの中で脅威を捉えられるため、当社のリーダーは即座に全体像を把握できるのです」

その他のリソース

CrowdScoreの詳細に関するウェビナーをご覧ください。
・ CrowdScoreの詳細に関するブログ
o Introducing CrowdScore
o Noise Is the Problem - CrowdScore Is the Solution
o Is Measurable Security Possible?

*原文はCrowdStrike Blog サイト掲載: https://www.crowdstrike.com/blog/crowdscore-dramatically-reduces-alert-fatigue/
《Brian Trombley (CrowdStrike)》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×