automation to make security operations effective ......security...
TRANSCRIPT
Automation to Make Security Operations Effective
セキュリティ運用効率化のための自動化促進
July 11, 2018
Terry StuartTechnical Director – Security Operations
2 - Automation to Make Security Operations Effective
Security Operations/セキュリティ運用とはWhat is It?
“Security Operations is the interactions related to the people, processes and technologies that provide situational awareness through the detection, containment, and remediation of IT threats for a given organization.”
Unknown author
セキュリティ運用は、組織に対する脅威を対象に検知、封じ込め、復旧を含む状況認識を人、プロセス、テクノロジーによって実現。
3 - Automation to Make Security Operations Effective
The Object of the Exercise/目的はSecurity Operations at 30,000 Feet…. Simple Right?
Collect and parse relevant security data
情報を集めて分析
Discover evidence of missed attacks and determine what to pursue
証拠をつかみ行動の決定
Investigate to disposition and coordinate response
解決のための調査と対応の調整
Organizations do this…
Time to Identify検知
Time to Investigate調査
Time to Contain終息
Mean Time to Respond (MTTR)対応までの平均時間
Mean Time to Detect (MTTD)検知に要する平均時間
Industry Average: 3-15 Months Dwell Time平均3から15か月も要する
…with the goal of reducing this…
4 - Automation to Make Security Operations Effective
The Object of the Exercise/目的はSecurity Operations at 30,000 Feet…. Simple Right?
…to avoid thisこれらを避ける必要があります
5 - Automation to Make Security Operations Effective
More Data
1TBSecurity data added per
month by 77% of organizations.
Is it even the RIGHT data?
77%の組織で追加されるセキュリティデータ
それらは適切なデータ?
More Complexity
72%Believe cybersecurity
operations more difficult today than 2 years ago.
Manual Investigations Inefficient.
2年前より運用は難しい非効率な手作業の調査
Poor Efficacy
100K100K alerts/week!
Too Noisy.
Missing Attacks.
週100Kのアラート攻撃の見逃し
The Problem/課題Why is Reducing Mean Time To Respond So Difficult?
6 - Automation to Make Security Operations Effective
The Reality/現実Most Organizations Are Spending Too Much and Getting Too Little
セキュリティコストの増加率
Percentage increase in cost of
cybersecurity in a year
22.7%
セキュリティ年間平均コスト
Average annualized cost of cybersecurity
(USD)
$11.7M
年間平均侵害数Average number
of security breaches each year
130侵害の年平均増加率
Percentage increase in average
annual number of security breaches
27.4%
2017 Cost of Cyber Crime Study.
• SIEM plays the central role of a SOC but customers struggle to operationalize it
SIEMは運用の中心的役割だが、運用に苦労しているSome/many are moving to analytic based platforms
• EDR Tools are causing alert fatigue – The New NoiseEDRが更に多くのアラート ー 新たなノイズChallenges in deciphering the data
• Misunderstanding of Threat Intelligence and its purpose脅威インテリジェンスと利用目的に関する誤解Lack of context of data presented – Little to no automation – Where to go find it
• Long response times in incident handlingインシデント対応における対応時間の長期化Too much data – Too much Noise
• Skilled Analysts shortage/技術力の高いアナリスト不足
Security Operations/セキュリティ運用Observations by McAfee Enterprise Architect
Security Operations/セキュリティ運用あれこれSOC Persona – I’m Looking to Build a SOC(SOCを構築したい)
People:人
• Challenged with staffing人材不足
• Current staff is not properly trained正しいトレーニング不足
•Haven‘t mastered their current toolsetツールを正しく習得していない
Technology:テクノロジー
• Owns basic security tools (e.gAV, Firewall, Email GW)基本的な製品
• Was pitched on shiny new tool, doesn’t use it correctly安易な新技術利用で正しく使われない
• Needs direction on the right technology acquisitions正しい技術活用のための方向付けが必要
Process:プロセス
• Lacks direction on SOC build outSOC構築の方向音痴
• Leans on Products/Vendors製品/ベンダーを通じた学習
• If processes exist they tend to be Ad-Hoc場当たり的な傾向のプロセス
ChallengesLimited Staff(人材不足)Does not know where to start(どこから始めるべきか)Limited experience tools & technologies(ツールやテクノロジーの限られた知識)
Security Operations/セキュリティ運用あれこれSOC Persona – The Reactionary SOC(反動的にSOC)
ChallengesHas too many tools(多すぎるツール)Alert Fatigue(多すぎるアラート)People/Process is inconsistent(一貫性のない人とプロセス)
People:人
• Challenged with staffing人材不足
• Skills gap between Tiers役割によりスキルのギャップ
•Haven‘t mastered their current toolset現状のツールを正しく習得していない
Technology:テクノロジー
• Tool sprawl無秩序なツール
• Automation/Orchestration is ongoing Process自動化/連動連携は継続的なプロセス
• Has Alert Fatigueアラートにうんざり
Process:プロセス
•Maturing SOC is ongoing成熟しているSOCは継続指向
• Attempting to streamline their processes/toolsプロセスやツールの合理化指向
• Incident Handling can be troublesomeインシデントハンドリングは厄介
Security Operations/セキュリティ運用あれこれSOC Persona – The Proactive SOC(プロアクティブなSOC)
ChallengesAutomated toolset but wants to mature threat hunting(自動化しつつ脅威ハンティング)Still suffers Alert Fatigue(でもアラートにうんざり)Wants to “productize” Level 1 SOC(Level 1 SOCの生産性向上)
People:人
• Looking to replace Level 1 with toolsレベル1の担当作業をツールで置き換え
• Focus on proactive threat huntingプロアクティブに脅威ハンティング
• Experts in Open Sourceオープンソースを使いこなす技術
Technology:テクノロジー
• Has right balance of toolsバランスよくツール活用
• Automation/Orchestration is matured自動化/連動連携を向上させる
• Alert handling is streamlined合理的なアラート対応
Process:プロセス
•Maturing SOC is ongoing成熟しているSOCは継続指向
•Maps SOC ops to Business Drivers (helps with funding)ビジネス思考をSOCに適用
• Proactive in looking for new threatsプロアクティブに新しい脅威に取り組む
• Streamlined Threat Intelligence脅威インテリジェンスを合理的に活用
11 - Automation to Make Security Operations Effective
The Technology/テクノロジーNot just the SIEM anymore - Complementary innovation - New capabilities
SIEM
User & Entity Behavioral Analytics
(UEBA)Network Analytics
ネットワーク
分析
Deception
囮
Threat Intelligence Platform
脅威インテリジェンス基盤
Endpoint Detection & Response
(EDR)
Automation & Orchestration
自動化と
連携連動
Big Data & Open Source
ビッグデータ
オープンソース
...
Present and Future:これからSIEM Historically:これまで
SecurityMonitoring
監視
IncidentInvestigationインシデント調査
StreamingAnalytics
継続的な分析
Parsing
分類Normalization
正規化Data
Ingestion
データの取り込み
IncidentResponse
インシデント対応
DataManagement
データ管理
HistoricalAnalytics
過去データ分析 Log Managemen
ログ管理Compliance
コンプライアンスForensics
フォレンジック
The Vision/ビジョンModular, Open, Integrated, Content-driven Sec Ops Architecture – 3 Pilarsモジュール化、オープン、統合、コンテキスト指向のアーキテクチャー3つの柱
Data Platform & Optimized Sourcesデータ基盤と情報源の最適化Sense and memory
Advanced Analytics 高度な分析Single from Noise
Analyst Operations 運用におけるアナリスト支援Insights & Actions
13 - Automation to Make Security Operations Effective
Data Platform/データ基盤ESM 11 - No Compromises - High Performance - Lower Cost
EventData
イベントデータ
ESMClusters
Horizontal Scalability.
Higher Performance.
柔軟なスケーラビリティと高いパフォーマンス
EDB Parsed Data
AdvancedCorrelation
Rule basedReal-time. Fast.
Efficient.
リアルタイムで
効率的なルールベースの分析
EDB Parsed Data
Analytics
Machine Learning. Easy.
Effective.
機械学習で手間をかけずに効果的な分析
Raw Data
Partners
パートナー&
Customers
ユーザK a f k a D a t a b u s
Retention
Compressed. Signed. Long
term retention for compliance.
コンプライアンスのために高圧縮し長期保存
Raw Data
Raw Search
Uncompressed. Optimized for
search and hunting.
データ検索用やハンティングに最適化し非圧縮
Raw Data
14 - Automation to Make Security Operations Effective
Advanced Analytics/高度な分析MBA - Rapidly Turn Data into Insights
Real-time analytics turns billions of events in hundreds of Anomalies, into a handful of threat leads
膨大なイベントから脅威示す逸脱を素早く分析
▪ Empower the team with high quality leads and fewer false positives
誤検知を減らし、より正確な情報による効率的な対応
▪ Continuous critical event and state change endpoint monitoring
継続的にエンドポイントの重大な状況変化を把握
▪ Unsupervised machine learning automatically creates a baseline of normal behavior without human intervention and detects near-invisible insider threats
教師無し機械学習が通常の行動ベースラインを自動的に作成し、検出しにくい内部脅威でも検知
▪ Broad data coverage covers the entire attack lifecycle and exposes threats other analytics offers cannot see
多様なデータを対象にして攻撃の始まりから完了にわたり、他の分析では可視化できない脅威を可視化
▪ Risk scoring allows for pro-active security response
リスクスコアリングにより、プロアクティブな対応が可能に
15 - Automation to Make Security Operations Effective
Analyst Operations/運用におけるアナリスト支援Investigator – Quick - Guided Investigations
Validate threats using Expertly guide investigations and scale resources
エキスパートの知見をガイド化し脅威調査を支援し、より多くの問題に対応
▪ Mimic human thought process with machine speedマシンスピードを備えた人の思考プロセスを提供
▪ Expedite workflow: Collect, summarize and visualize relevant data迅速なワークフロー:関連データを収集、要約、可視化
▪ Confidently identify malicious files based on behavior or intended behavior振る舞いと意図的な振る舞いを基に自信を持って不審ファイルを判定
16 - Automation to Make Security Operations Effective
Lets see it in actionデモをご覧ください
17 - Automation to Make Security Operations Effective
The McAfee Difference/マカフィーの特長Improved security outcomes through human-machine teaming
Low Cost & Scalable Data Collectionデータ収集に低価格かつ柔軟なスケーラビリティを提供
Reliable & Adaptive Detection信頼性が高く適応力の高い検知
AI / Expert-led InvestigationsAI/エキスパート支援による調査
Modular scale-out data platform makes costs predictable
モジュール型でスケーラビリティに富み予算計画しやすいデータ基盤
Open source Kafka message bus removes data sharing tax
Kafkaデータバスにより効率の良い内部データ共有
Unsupervised machine learning - built-in models dramatically reduce human effort
教師無し機械学習:組み込み済み学習モデルが運用負担を大幅に軽減
Analytics apply across the attack lifecycle
攻撃のライフサイクルに広く対応できる分析
Automation provide 10x reduction in time to investigate
自動化により調査効率を10倍に
Investigation guides help junior staff develop faster
調査ガイドにより経験の浅いスタッフを素早く育成
Stop threats from 1 endpoint to 1000s
1台から数千のエンドポインの脅威を阻止
McAfee, McAfeeのロゴ、マカフィーは米国及びその他の国におけるMcAfee LLCの商標または登録商標です。 その他の商標または登録商標はそれぞれその所有者に帰属します。
Copyright © 2018 McAfee LLC.