ATT&CK® Evaluations:XDRへの進化と可視性の向上

XDRを正しく評価して導入すれば、脅威から組織を保護するために実施すべきセキュリティ対策を包括的に実現できます。ATT&CKの評価の理解とXDRの推進がもたらす顧客利点を解説します。

Rene Holt 18 Apr 2022

MITRE EngenuityのATT&CK® Evaluationsの主な目的の1つは、ネットワークに潜在する巧妙な脅威をリアルタイムで調査するためにEDR(Endpoint Detection and Response)ソリューションが提供している可視化のレベルを、組織が明確に把握できるようにすることです。EDRソリューションの導入を検討している企業や、初めてその使い方を学ぶ企業にとって、可視性は非常に重要な指標です。

ESETの2022年ATT&CK評価の結果

当然、評価の指標は可視性だけではありません。ATT&CK Evaluationsで検討されるその他の指標は、攻撃者が悪用している特定の手法を検出するために役立つコンテキストにも重点を置いています。これらの指標は、組織の成熟度、遵守すべきさまざまな規制、他の多くの業界、企業、サイト固有の要件の影響を受けることから、組織によってこれらの指標の重要度レベルは異なります。また、パフォーマンスやリソース要件、アラート疲れ、他のセキュリティソフトウェアとの統合、使いやすさなど、ATT&CK Evaluationsでは考慮されていない指標もあります。

このような豊富な指標は、EDRがセキュリティ担当者にとって必須ツールとなっていることを示していると言えるでしょう。専任のセキュリティチームが存在しない組織でも、このような防御ツールの導入を検討するようになっています。しかし、この市場のユーザーはEDRのさらなる向上を求めています。セキュリティ担当者は、ネットワークを保護するための補完的な活動として、脅威を追跡するEDRソリューションとビッグデータから脅威を調査するSIEM(Security Information and Event Management)ソリューションの両方を駆使していることも多くあります。

EDRとSIEMプラットフォームを統合できれば、セキュリティ担当者は究極のツールを手にすることができると考える人もいるでしょう。しかし、Forrester社のアナリストは、この状況について異なる見方をしています。それは、EDRはエンドポイント以外から供給されるデータフィードを取り込みながら、分析と応答の方法を学習して、XDR(Extended Detection and Response)へと進化する必要があるという考え方です。新進のXDRソリューションは、セキュリティ分析プラットフォームと真っ向から競合する可能性があり、その衝突は必然と言えるかもしれません。

一方、セキュリティ分析プラットフォームが競争力を維持するためには、さらに高品質なアラートや脅威対応能力などEDRが提供している機能を実装し、リソースを効率的に使用する必要があります。今後、より優れたセキュリティ機能を提供するように進化したソリューションが、防衛側の組織によって選好されるツールになるでしょう。XDRは、全体的な可視性については一部制限があるとしても、豊富なコンテキストによって高品質な検出を実現することを目的としている強固なEDRソリューションが基盤となっているため、SIEMよりも選ばれる可能性が高いでしょう。

ESETにとってのXDRの位置付け

ESETは、Forrester社の見解を是認しており、エンドポイントにとどまらず、ネットワークデバイス、メールサーバー、クラウドベースのサービスなどからもデータを収集し、セキュリティ担当者がより多くの脅威を検出して対応できるようにする次世代のEDRとしてXDRを捉えています。データ収集と応答能力を高めるために、XDRではハイブリッドとネイティブの2つの統合戦略を採用できます。

ハイブリッド戦略は、サードパーティツールとの統合に主眼を置くものです。一方、ネイティブ戦略は、同じベンダーのツールとの統合に焦点を当てています。現在、完全なXDRソリューションを提供しているベンダーは存在しておらず、理想的なソリューションは実現されていません。

ESETは、ESET Inspect(旧 ESET Enterprise Inspector)を継続的に改善しており、ESET のセキュリティツールのエコシステムとサードパーティツールの両方との統合を継続的に拡充することで、完全なXDRソリューションを構築することに取り組んでいます。ESETのEDRソリューションは、これまではESET Enterprise Inspectorとして、企業のセキュリティチーム向けのツールとして位置付けられていました。現在では、ESET Inspectとして、ESET PROTECTプラットフォームのXDR対応コンポーネントへと進化し、大企業および中小企業のセキュリティチームの両方に対応できるようになりました。

ESET PROTECTプラットフォームの説明に入る前に、ESET Inspectについてもう少し詳しく説明します。

ESET Inspect: XDRの可能性を追求する

ESET Inspectは、単に製品の名称を変更しただけではなく、可視化と修復機能が強化された新しいバージョンとなっています。ESET Inspectは、ルールセットでMITRE ATT&CKナレッジベースを参照する機能、SOAR(Security Orchestration, Automation, and Response)、SIEM、チケット発行システム、その他の類似ツールと統合するためのREST API、WindowsマシンでリモートPowerShellセッションを実行して的確な応答と修復オプションを実行する機能など、旧バージョンでも親しまれていた機能を継承しています。

本製品の最新版であるバージョン1.7では、いくつもの主要なLinuxディストリビューションがサポートされるようになりました。WindowsとmacOSはすでにサポートされていますが、今回Linuxがサポートされたことで、完全なXDRソリューションへのまた一歩近づいたことになります。ESET Inspectは、ESET Endpoint Antivirus for LinuxおよびESET Server Security for Linux(バージョン9.0以降)と連携し、以下のLinuxディストリビューションをサポートします。

ESET InspectがサポートするLinuxディストリビューション
Red Hat Enterprise
Linux 7.6+
Ubuntu LTS 18.04Debian 10SUSE Linux
Enterprise 15
Amazon
Linux 2
CentOS 7.6以上Ubuntu LTS 20.04Debian 11Oracle Linux 8

ESET Inspectには充実したルールセットが実装されており、現在約1,000のルールを利用できます。このルールは、エンドポイントで発生したイベント、ファイアウォールやネットワークのデータ、ユーザーアカウントのアクションなどを分析し、悪意のあることが疑われる行動をセキュリティエンジニアが調査する場合に使用できます。

ESETの研究者は、コンピュータの隔離や実行ファイルのブロックなど、自動的な応答を可能にするさまざまなルールを拡充し利用できるようにしています。特定のルールで自動応答を使用するかどうかは、「Detection rules(検出ルール)」ビューの「Active Rule Actions(アクティブなルールアクション)」列で確認できます。

ESET Inspectのルールセットが継続的に拡張され、ESETの他のセキュリティ製品との統合が進められていることは、ESETがXDRソリューションのネイティブ戦略を推し進めていることを示している例です。ESETによるこの統合の中核となっているのは、IT管理者がESETセキュリティ製品をデプロイおよび構成するために使用する管理コンソールであるESET PROTECTです。ESET PROTECTプラットフォームは、エンドポイントセキュリティ、サーバーセキュリティ、暗号化、クラウドベースの脅威検出、検出と応答ソリューションを単一のコンソールで一元的に管理できるようにし、企業は予防、検出、応答機能を拡張して利用することができます。

セキュリティ担当者は、ESETのセキュリティエコシステムであるESET InspectとESET PROTECTとより密接に連携させることで、統合された環境でより的確に作業を進めることができるようになります。前述の通り、XDRソリューションの重要な目標の1つは、エンドポイント以外の脅威データを取り込むことです。つまり、ESET Inspectの適用範囲を、ESET PROTECTとすでに統合されているプラットフォームやデータソースに継続的に拡大することは、この目標に向かって正しく歩んでいることを意味します。

ESET PROTECT EnterpriseをXDRに移行する

ESETは、XDRソリューションをESET PROTECT Enterprise(日本では2022年5月提供開始予定)プラットフォーム上で構築し、ESET Inspectと、エンドポイント保護およびサーバー保護、クラウドベースの脅威検出、暗号化を統合して、包括的なセキュリティ機能を提供します。

XDRには膨大なデータを取り込むことが要求されます。そのため、大規模なデータベースのストレージ容量が必要となり、適切に処理されない場合、パフォーマンスの深刻な低下を招く恐れがあります。多少の柔軟性に欠ける方法ですが、オンプレミスのデータベースソリューションを強化するためのハードウェアに追加で投資することはいつでも可能です。そのため、ESET PROTECTに必要なデータベースとESET Inspectで必要となるデータベースについて事前に慎重に計画しておくことが重要です。

しかし、クラウドにデプロイする場合、新しいハードウェアを購入する必要がなく、このようなデータストレージの需要に応じて柔軟に拡張できます。このような場合のコストは、ストレージ容量の拡張や、高性能なマシンのレンタルに使用されますが、このような変更は迅速に実行できます。クラウドの特長である柔軟性と拡張性は、Forrester社が指摘しているように、XDRソリューションで求められる要素です。

これまでは、ESET PROTECTとESET Inspectはオンプレミスへのデプロイのみがサポートされており、ハードウェアへの投資、サーバーのメンテナンス費用、オンサイトのスタッフが必要でした。特にデータをローカルで管理する必要がある企業にとっては、オンプレミスでのデプロイも選択肢として残っていますが、これらのソリューションは、ESET Inspectバージョン1.7以降ではクラウドへのデプロイに対応しており、クラウドネイティブのXDRを利用したいという組織からの要望に応えています。

MDR(Managed Detection and Response)

特に小規模な組織やセキュリティ以外の分野に注力している組織では、自社のみのリソースではXDRソリューションの価値を最大限享受することが困難となる場合があります。同様に、ESET PROTECT Enterpriseを管理するには、専任のセキュリティスタッフか、日々のセキュリティ業務全般もしくは一部を代行するMDR(Managed Detection and Response)プロバイダーのいずれかが必要です。

以前から、複雑な製品の製造元や開発者は、サービスを提供することで製品の価値を高める必要があることを認識していました。これは、顧客に製品を使いこなすことができるだけの専門知識がなく、設定を間違えたり、機能を十分に使用できなかったりすることで、製品導入の価値を見出すことができない場合があったためです。サービスを提供することには、さらに重要な意味があります。それは、プロバイダーが顧客とどのような関係を築きたいかを示すことができることです。ESETにとってこれは顧客とセキュリティパートナーシップを結ぶことを意味します。

ESETはMDRサービスを刷新しており、セキュリティチームがESET製品を顧客のネットワークに最適な構成で最適化してセットアップします。また、このサービスには定期的なヘルスチェックも含まれており、セットアップ後に発生したセキュリティ上の不備や構成ミスも解決します。また非常に重要な機能として、ESET Inspectでは、ESETのセキュリティエンジニアに、オンデマンドでまたはプロアクティブな脅威ハンティングを依頼できます。

MDRの利用を検討されている組織は、ESETのMDRサービスのWebページからいくつかのオプションを参照できます(※日本では2022年5月提供開始予定。現在ウェブページはありません)。

結論

このブログでは、検出と応答ソリューションを検討する場合に、組織が注目すべき可視性や他の指標について最初に説明しました。ESET Inspectが脅威ハンティングの担当者に提供している情報の範囲(可視性のレベル)については、「SandwormとWizard SpiderをモデルとしたATT&CK® Evaluations: ESETの評価と結果」のブログを参照してください。

これらすべての指標をバランスよく満たす検出および対応ソリューションを設計することは、決して容易ではありません。このブログでは駆け足でXDRについて説明しましたが、EDRソリューションのネイティブおよびハイブリッド戦略に基づく統合の開発、クラウドへのデプロイによって可能となる広範なデータの収集、そして高品質な検出と充実したコンテキストの提供、そして優れたシステムパフォーマンスの維持という、複雑な問題があることをお伝えしました。

多くの企業では、IT管理者が数名しかおらず、他の多くの職務をこなしながら、一部の時間を費やしてセキュリティ管理に従事しているという厳しい現実があります。このような組織にとっては、高度な攻撃への対策に焦点を当てたATT&CKの評価や、XDRについての議論はさほど重要に感じられないかもしれません。

しかし、XDRを正しく評価して導入すれば、基本的な設定やポリシーから高度な微調整や最適化まで、頻発している脅威から組織を保護するために実施すべきセキュリティ対策を包括的に実施できます。さらに、クラウドベースのXDRによって、専任のセキュリティチームがない組織でも、セキュリティを向上することが可能になります。このような組織は、XDRに関心を持って調査することで、自社のセキュリティ対策が業界で求められる標準的なレベルに達していないことに気づく可能性もあります。セキュリティレベルの向上を目指す場合、まずはATT&CKの評価の理解とXDRの検討が、セキュリティ対策の成熟度が十分ではない組織にも実用的な知見をもたらすはずです。