RSA 2023の初日は、今週のイベントのテーマを決定づけるものでした。セキュリティに役立つクロスドメインテレメトリを備えたプラットフォームが、画期的な技術となるでしょう。RSA 2023カンファレンスは、4月24日から27日までサンフランシスコで開催されます。
月曜日の基調講演では、シスコのセキュリティおよびコラボレーション担当エグゼクティブバイスプレジデント兼ゼネラルマネージャーのジートゥ・パテル氏と、セキュリティ担当シニアバイスプレジデント兼ゼネラルマネージャーのトム・ギリス氏が、これらのプラットフォームがセキュリティオペレーションセンターの機能をどのように、そしてなぜ進化させるのかを説明した。
シスコの RSA での発表内容(クラウドベースの XDR サービスに関する同社の発表を含む)において、拡張検出および対応がシスコの発表活動の中心となった理由をご覧ください。
ジャンプ先:
- RSAでシスコがXDRに注目
- XDRとDuoに関するプラットフォームベースのセキュリティ発表
- Cisco XDR: サードパーティと連携可能なターンキーソリューション
RSAでシスコがXDRに注目
パテル氏は、クロスドメインテレメトリ、つまり企業のドメイン間を移動するエクスプロイトをほぼリアルタイムで追跡する機能には、エンドツーエンドの統合プラットフォームが必要だと述べた。なぜなら、個別の防御システムでは「通常の動作と区別がつかない最新の攻撃を特定するのは非常に困難だ」からだ。パテル氏は、プラットフォームはネットワークを通過するパッケージを把握できると説明した。その最たる例はXDRだと彼は述べた。
「XDRは今後、大きな話題になるでしょう」とギリス氏は述べた。「この話題を語らないベンダーを見つけるのは難しいでしょう。」
攻撃者がユーザーやアプリケーションの挙動を巧みに把握する能力をますます高めていることがますます明らかになるにつれ、1つのドメインやインシデントだけを見ても「全体像の半分しか把握できていない」ことになると彼は述べた。パテル氏は、XDRは本質的に、電子メールからPowerShellのエクスプロイトに至るまで、あらゆる場所から高忠実度のデータを確認する能力を与えると説明した。
XDRはSIEMではない
ギリス氏は、XDRは従来のセキュリティ情報・イベント管理とは異なる目的を果たすと説明した。SIEMは数日、あるいは数ヶ月にわたる集約されたイベントを記録するように設計されているのに対し、XDRはリアルタイムのテレメトリに近いとギリス氏は述べた。また、SIEMがサマリーデータを参照するのに対し、XDRは「あらゆるメッセージ、クリック、プロセス、パッケージ」といった、最も忠実度の高いデータを探すとギリス氏は述べた。「業界は、ログデータよりもイベントの解像度を高める必要があることを認識しています」
同氏は、SIEM データや単一ドメイン分析に頼ると、電子メール、Web、エンドポイント、ネットワーク全体にわたる可視性と相関関係が得られないと述べました。
「そして最後のネットワークは、おそらく最も見落とされがちな防御ツールの一つだ」とギリス氏は語った。
参照: Forrester Research による TechRepublic の記事で XDR について詳しく学んでください。
XDRとDuoに関するプラットフォームベースのセキュリティ発表
ギリス氏は、セキュリティにおけるプラットフォーム型アプローチとマルチベンダー型アプローチを、次のような例えで比較しました。大型量販店に行って家庭用グリルシステムだと思って購入したものの、箱を開けてみると部品が1,000個も入っていて説明書も付いていなかったら、支払った金額に見合ったものが得られていないことになります。グリルは、きちんと組み立てられ、統合され、操作可能な状態であることが求められます。同様に、セキュリティに対するプラットフォーム型アプローチは、単一の機能フレームワークを可能にすると彼は述べました。「プラットフォームとは、部品の詰まった袋ではなく、個々のコンポーネントが一貫した方法で組み合わされたシステムなのです。」
同社のプラットフォームに重点を置いた発表には次のようなものがあった。
- Cisco XDRは現在ベータ版で、7月に一般提供開始予定です。インシデント調査を簡素化し、セキュリティオペレーションセンターの対応時間を短縮するように設計されています。
- 多要素認証攻撃から保護するために、シスコは Duo MFA プラットフォームのすべてのエディションで高度な機能を提供しています。
- シスコは来月から、すべての有料DuoエディションにTrusted Endpointsを組み込みます。現在はDuoの最上位エディションでのみ利用可能です。シスコによると、Trusted Endpointsでは、登録済みまたは管理されているデバイスのみがリソースにアクセスできます。
Cisco XDR: サードパーティと連携可能なターンキーソリューション
シスコは、クラウドベースのXDRサービスを、分析に基づいて検出の優先順位付けを行う、ターンキー型のリスクベースソリューションと呼んでいます。同社はXDRについて、「…終わりのない調査から、証拠に基づく自動化によって最も優先度の高いインシデントの修復へと焦点を移す」と述べています。
Cisco によれば、セキュリティ サービスは、SOC オペレーターが XDR ソリューションにとって重要だと言っている 6 つのテレメトリ ソース (エンドポイント、ネットワーク、ファイアウォール、電子メール、ID、DNS) を分析します。
シスコは、XDRが主要なサードパーティベンダーと統合することで、「テレメトリを共有し、相互運用性を高め、ベンダーやテクノロジーに関係なく一貫した成果を提供する」と述べています。これらのベンダーには以下が含まれます。
- エンドポイント検出および応答: CrowdStrike Falcon Insight XDR、Cybereason Endpoint Detection and Response、Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR、SentinelOne Singularity XDR、および Trend Micro Vision One。
- 電子メールの脅威防御: Microsoft Defender for Office 365 および Proofpoint Email Protection。
- ファイアウォールの場合: Check Point Quantum Network Security および Palo Alto Networks 次世代ファイアウォール。
- ネットワーク検出および応答: Darktrace DETECT、Darktrace RESPOND、および Darktrace ExtraHop Reveal(x)。
- SIEM の場合: Microsoft Sentinel。
