サイバー脅威はあらゆる規模の組織にとって、ますます増大する懸念となっています。データ侵害、マルウェア感染、ランサムウェア攻撃などは深刻な事業の中断を招く恐れがあり、財政的損害や風評被害、さらには法的な責任が発生する場合もあります。そのため、プロアクティブな環境監視を行い、重大な損害につながる前に、悪意のあるアクティビティを特定し脅威を検知することが不可欠となります。 

セキュリティ態勢の強化に向けた重要なステップのひとつは、包括的かつ定期的な脅威ハンティングを実施することです。これには、現在進行中の攻撃の特定、潜在的脆弱性の捜査、あらゆる侵害の可能性や影響の評価などが含まれます。組織のリスクプロファイルを把握することによって、セキュリティ投資に優先順位を付け、最も必要な領域にリソースを割り当てることが可能となります。

本番環境で実施する侵害の痕跡(IoC)調査の現在の課題: 

リアクティブな監視

脅威インテリジェンスを収集し、ログ検索を行って、潜在的脅威を特定しようとすることがあるでしょう。しかし、このプロセスは多くの場合、面倒で時間がかかり、複数のツールを使用する必要もあります。異なるツールからの情報やさまざまなログの点と点とをつなぐのは難しく、全体像を把握することは困難な作業となり得ます。

脅威に関する知識の不足

SecOpsチームの関与なしでは、最新の脅威や脆弱性に関するITチームの知識には限界があります。このインサイトの不足により、潜在的リスクの予測やインシデント発生時の対処方法の決定を行う能力も不十分なものとなります。セキュリティチームは緊急対応モードになっていることが多く、セキュリティの専門家の不足はプロアクティブではなくリアクティブなアプローチにもつながります。さらに、脅威ハンティングを実施しなければ、環境内に潜む侵入者を検知しないまま放置する期間を長引かせることにもなります。 

本番システムへの負担

エンドポイントを適切に監視するには、EDR/XDRなどの監視ツールをすべてのサーバーにインストールして入れておく必要があります。さらに、データセンター全体の異なるOS上でこれらのツールを検証・保守し、アップデートし、パッチやサービスパックを適用することも重要です。稼働状態を維持するため、互換性マトリックスの管理や、様々なバージョンでツールが常に稼働できるようにするために必要なアップグレードを行う専任の担当者やチームを割り当てることは珍しいことではありません。EDRツールの保守に関わる負担のレベルは、さまざまな要因によって変化します。たとえば、環境の複雑さ、監視対象のエンドポイントの数、OSやアプリケーションの種類、アップデートやパッチ適用の頻度などです。さらに、これらのエンドポイント監視ツールはコンピュートリソースを使用するので、重要アプリケーションのパフォーマンスに影響を与える可能性もあります。 

これらのツールは重要インフラについてのインサイトを得るのに極めて重要です。残念なことに、エンドポイント監視ツールはノートPCやデスクトップPCには割とデプロイされますが、サーバーには導入されていない場合が多いのです。そのため、重要インフラがセキュリティのブラックボックスになってしまっています。これにより、ネットワーク活動、ログ、さまざまな異なるツールの情報の調査は限られたものになります。インフラの状態が比較的安定していたとしても、攻撃者がエクスプロイトすることで知られるゼロデイ脆弱性がしつこいリスクとして残っています。

Rubrikの脅威監視のご紹介

Rubrikの脅威監視はプロアクティブなサイバーセキュリティ戦略を提供し、潜在的脅威をいち早く特定して対応することを可能にします。これにより、脅威が検知されないままでいる時間(脅威滞留時間)を最小限に抑え、深刻な損害が発生する可能性を減らします。Rubrikの脅威監視が有効になるとすぐに、自動IoCスキャンによって、YARAルールやファイルハッシュ値などを備えた実証済み脅威インテリジェンスフィードを用いて、IoCを探ります。IoCの一致が特定されると、脅威監視からお客様にマルウェアの種類の詳細情報、正確なスナップショット、脅威が検出されたファイルの場所が通知されます。 

Rubrikの脅威監視では以下のことが可能です。

脅威の自動監視

脅威監視は手動のリアクティブなやり方ではなく、マルウェアを自動的に特定するよう設計されています。これにより、インシデント対応を加速させることができます。問題の特定が早ければ早いほど、根本原因の分析もすぐに進められ、その後の復旧作業も早々に着手できます。言いかえれば、平均復旧時間(MTTR)を短縮できます。セキュリティチームは限られた、あるいは厳しい監視対応能力で、インフラの最重要部分を期待どおりに可視化できます。さらに、適切なITチームに自動アラートを送信できることにもなるため、ITチームは急を要する問題に直ちに対処することができます。
 

Threat Monitoring


新たな脅威の早期検知

脅威監視では、Rubrikが精査している最新の脅威インテリジェンスフィードが用いられます。このフィードのインテリジェンスには、Rubrikの情報セキュリティチームとRubrik Zero Labsのほか、さまざまなサードパーティソースからの最新脅威情報が含まれています。Rubrikは偽陽性の発生確率を減らすために高品質のインテリジェンスフィードを採用しています。
 

Threat Monitoring Dashboard


本番システムのパフォーマンスに影響しない

Rubrikは疑わしいアクティビティやファイルを特定するためのさまざまなデータ解析を行う機会を提供しながら、多くのソースのデータをバックアップすることができます。これにより、セキュリティチームは追加のエージェントやコンピュートリソースなしに、本番インフラとは別の環境で、アウトオブバンド方式で綿密な脅威分析を行うことができます。たとえ、攻撃者が本番環境内に潜んでいたとしても、彼らは脅威調査が進行していることにまったく気付かないでしょう。
 

Threat Monitoring List of affected objects


 

Threat Monitoring Quarantine


サイバー復旧パフォーマンスレポート

ITチームは通常、社内の関係者への情報共有用の脅威監視と評価に関するレポートを作成するために、多くの異なるダッシュボードを確認して、さまざまなツールの分析情報をまとめるという時間と手間のかかる作業を行わなければなりません。Rubrikの脅威監視は、環境内の影響を受けたオブジェクトと影響を受けていないオブジェクトの情報とともに、検知したすべての脅威のリストをITチームがダウンロードできる組み込みの、信頼できるレポート機能を提供しています。このレポートでは一定期間にわたる脅威検知情報も確認できます。
 

Threat Monitoring Report


今日のサイバー脅威をめぐる状況において、サイバーセキュリティに対してプロアクティブなアプローチをとることは極めて重要です。Rubrikの脅威監視はお客様に、脅威をいち早く検知し対応できる解決策を提供します。自動化されたプロアクティブな脅威ハンティングによって、サイバー脅威をめぐる状況下で有利な立場を維持し、リスクにさらされる可能性を減らし、セキュリティインシデントの潜在的影響を最小限に抑えることができます。Rubrikは、現在の多くのソリューションにはない以下の機能を提供します。  

  • セキュリティに関する可視性がほとんど、あるいはまったくない環境に対するアクティブな監視 

  • 面倒な設定なしに、すぐに使えるRubrikの脅威フィード

  • Rubrikの脅威フィードに対する自動アップデート

  • 新たな脅威の調査に必要な時間と手間を削減できる、自動脅威ハンティング

  • 悪意のあるファイルの隔離機能

さらに詳しく

攻撃を発生前に把握する方法について、さらに詳しい情報をご案内します。ぜひForwardにバーチャル参加して、Rubrikの脅威監視についての詳細をご確認ください。さらに、セルフガイドラボでのRubrik Security Cloudのハンズオン体験の機会もあります。Rubrikのゼロトラストデータセキュリティプラットフォームのさまざまなサイバーレジリエンス機能をお試しください。Forwardの詳細情報とお申込みはこちら

セーフハーバー

本文書で言及している未公開のサービスや機能は現時点では利用できません。公開時期等はRubrikの単独の裁量により決定され、予定どおりに一般公開されない可能性も公開が中止される場合もあります。ここで言及されるいかなるサービスや機能もRubrikが今後の提供を約束するものではなく、その責任や義務を意味せず、いかなる契約にも含まれません。現在一般公開されているサービスや機能に基づいて、購入の意思決定を行うようにしてください。