automation to make security operations effective ......security...

Automation to Make Security Operations Effective

セキュリティ運用効率化のための自動化促進

July 11, 2018

Terry StuartTechnical Director – Security Operations

2 - Automation to Make Security Operations Effective

Security Operations/セキュリティ運用とはWhat is It?

“Security Operations is the interactions related to the people, processes and technologies that provide situational awareness through the detection, containment, and remediation of IT threats for a given organization.”

Unknown author

セキュリティ運用は、組織に対する脅威を対象に検知、封じ込め、復旧を含む状況認識を人、プロセス、テクノロジーによって実現。


The Object of the Exercise/目的はSecurity Operations at 30,000 Feet…. Simple Right?

Collect and parse relevant security data

情報を集めて分析

Discover evidence of missed attacks and determine what to pursue

証拠をつかみ行動の決定

Investigate to disposition and coordinate response

解決のための調査と対応の調整

Organizations do this…

Time to Identify検知

Time to Investigate調査

Time to Contain終息

Mean Time to Respond (MTTR)対応までの平均時間

Mean Time to Detect (MTTD)検知に要する平均時間

Industry Average: 3-15 Months Dwell Time平均3から15か月も要する

…with the goal of reducing this…


The Object of the Exercise/目的はSecurity Operations at 30,000 Feet…. Simple Right?

…to avoid thisこれらを避ける必要があります


More Data

1TBSecurity data added per

month by 77% of organizations.

Is it even the RIGHT data?

77%の組織で追加されるセキュリティデータ

それらは適切なデータ？

More Complexity

72%Believe cybersecurity

operations more difficult today than 2 years ago.

Manual Investigations Inefficient.

2年前より運用は難しい非効率な手作業の調査

Poor Efficacy

100K100K alerts/week!

Too Noisy.

Missing Attacks.

週100Kのアラート攻撃の見逃し

The Problem/課題Why is Reducing Mean Time To Respond So Difficult?


The Reality/現実Most Organizations Are Spending Too Much and Getting Too Little

セキュリティコストの増加率

Percentage increase in cost of

cybersecurity in a year

22.7%

セキュリティ年間平均コスト

Average annualized cost of cybersecurity

(USD)

$11.7M

年間平均侵害数Average number

of security breaches each year

130侵害の年平均増加率

Percentage increase in average

annual number of security breaches

27.4%

2017 Cost of Cyber Crime Study.

• SIEM plays the central role of a SOC but customers struggle to operationalize it

SIEMは運用の中心的役割だが、運用に苦労しているSome/many are moving to analytic based platforms

• EDR Tools are causing alert fatigue – The New NoiseEDRが更に多くのアラートー新たなノイズChallenges in deciphering the data

• Misunderstanding of Threat Intelligence and its purpose脅威インテリジェンスと利用目的に関する誤解Lack of context of data presented – Little to no automation – Where to go find it

• Long response times in incident handlingインシデント対応における対応時間の長期化Too much data – Too much Noise

• Skilled Analysts shortage/技術力の高いアナリスト不足

Security Operations/セキュリティ運用Observations by McAfee Enterprise Architect

Security Operations/セキュリティ運用あれこれSOC Persona – I’m Looking to Build a SOC（SOCを構築したい）

People：人

• Challenged with staffing人材不足

• Current staff is not properly trained正しいトレーニング不足

•Haven‘t mastered their current toolsetツールを正しく習得していない

Technology：テクノロジー

• Owns basic security tools (e.gAV, Firewall, Email GW)基本的な製品

• Was pitched on shiny new tool, doesn’t use it correctly安易な新技術利用で正しく使われない

• Needs direction on the right technology acquisitions正しい技術活用のための方向付けが必要

Process：プロセス

• Lacks direction on SOC build outSOC構築の方向音痴

• Leans on Products/Vendors製品/ベンダーを通じた学習

• If processes exist they tend to be Ad-Hoc場当たり的な傾向のプロセス

ChallengesLimited Staff（人材不足）Does not know where to start（どこから始めるべきか）Limited experience tools & technologies（ツールやテクノロジーの限られた知識）

Security Operations/セキュリティ運用あれこれSOC Persona – The Reactionary SOC（反動的にSOC）

ChallengesHas too many tools（多すぎるツール）Alert Fatigue（多すぎるアラート）People/Process is inconsistent（一貫性のない人とプロセス）

People：人

• Challenged with staffing人材不足

• Skills gap between Tiers役割によりスキルのギャップ

•Haven‘t mastered their current toolset現状のツールを正しく習得していない


• Tool sprawl無秩序なツール

• Automation/Orchestration is ongoing Process自動化/連動連携は継続的なプロセス

• Has Alert Fatigueアラートにうんざり


•Maturing SOC is ongoing成熟しているSOCは継続指向

• Attempting to streamline their processes/toolsプロセスやツールの合理化指向

• Incident Handling can be troublesomeインシデントハンドリングは厄介

Security Operations/セキュリティ運用あれこれSOC Persona – The Proactive SOC（プロアクティブなSOC)

ChallengesAutomated toolset but wants to mature threat hunting（自動化しつつ脅威ハンティング）Still suffers Alert Fatigue（でもアラートにうんざり）Wants to “productize” Level 1 SOC（Level 1 SOCの生産性向上）

People：人

• Looking to replace Level 1 with toolsレベル１の担当作業をツールで置き換え

• Focus on proactive threat huntingプロアクティブに脅威ハンティング

• Experts in Open Sourceオープンソースを使いこなす技術


• Has right balance of toolsバランスよくツール活用

• Automation/Orchestration is matured自動化/連動連携を向上させる

• Alert handling is streamlined合理的なアラート対応


•Maturing SOC is ongoing成熟しているSOCは継続指向

•Maps SOC ops to Business Drivers (helps with funding)ビジネス思考をSOCに適用

• Proactive in looking for new threatsプロアクティブに新しい脅威に取り組む

• Streamlined Threat Intelligence脅威インテリジェンスを合理的に活用


The Technology/テクノロジーNot just the SIEM anymore - Complementary innovation - New capabilities

SIEM

User & Entity Behavioral Analytics

（UEBA）Network Analytics

ネットワーク

分析

Deception

囮

Threat Intelligence Platform

脅威インテリジェンス基盤

Endpoint Detection & Response

（EDR)

Automation & Orchestration

自動化と

連携連動

Big Data & Open Source

ビッグデータ

オープンソース

...

Present and Future：これからSIEM Historically：これまで

SecurityMonitoring

監視

IncidentInvestigationインシデント調査

StreamingAnalytics

継続的な分析

Parsing

分類Normalization

正規化Data

Ingestion

データの取り込み

IncidentResponse

インシデント対応

DataManagement

データ管理

HistoricalAnalytics

過去データ分析 Log Managemen

ログ管理Compliance

コンプライアンスForensics

フォレンジック

The Vision/ビジョンModular, Open, Integrated, Content-driven Sec Ops Architecture – 3 Pilarsモジュール化、オープン、統合、コンテキスト指向のアーキテクチャー3つの柱

Data Platform & Optimized Sourcesデータ基盤と情報源の最適化Sense and memory

Advanced Analytics 高度な分析Single from Noise

Analyst Operations 運用におけるアナリスト支援Insights & Actions


Data Platform/データ基盤ESM 11 - No Compromises - High Performance - Lower Cost

EventData

イベントデータ

ESMClusters

Horizontal Scalability.

Higher Performance.

柔軟なスケーラビリティと高いパフォーマンス

EDB Parsed Data

AdvancedCorrelation

Rule basedReal-time. Fast.

Efficient.

リアルタイムで

効率的なルールベースの分析

EDB Parsed Data

Analytics

Machine Learning. Easy.

Effective.

機械学習で手間をかけずに効果的な分析

Raw Data

Partners

パートナー&

Customers

ユーザK a f k a D a t a b u s

Retention

Compressed. Signed. Long

term retention for compliance.

コンプライアンスのために高圧縮し長期保存

Raw Data

Raw Search

Uncompressed. Optimized for

search and hunting.

データ検索用やハンティングに最適化し非圧縮

Raw Data


Advanced Analytics/高度な分析MBA - Rapidly Turn Data into Insights

Real-time analytics turns billions of events in hundreds of Anomalies, into a handful of threat leads

膨大なイベントから脅威示す逸脱を素早く分析

▪ Empower the team with high quality leads and fewer false positives

誤検知を減らし、より正確な情報による効率的な対応

▪ Continuous critical event and state change endpoint monitoring

継続的にエンドポイントの重大な状況変化を把握

▪ Unsupervised machine learning automatically creates a baseline of normal behavior without human intervention and detects near-invisible insider threats

教師無し機械学習が通常の行動ベースラインを自動的に作成し、検出しにくい内部脅威でも検知

▪ Broad data coverage covers the entire attack lifecycle and exposes threats other analytics offers cannot see

多様なデータを対象にして攻撃の始まりから完了にわたり、他の分析では可視化できない脅威を可視化

▪ Risk scoring allows for pro-active security response

リスクスコアリングにより、プロアクティブな対応が可能に


Analyst Operations/運用におけるアナリスト支援Investigator – Quick - Guided Investigations

Validate threats using Expertly guide investigations and scale resources

エキスパートの知見をガイド化し脅威調査を支援し、より多くの問題に対応

▪ Mimic human thought process with machine speedマシンスピードを備えた人の思考プロセスを提供

▪ Expedite workflow: Collect, summarize and visualize relevant data迅速なワークフロー：関連データを収集、要約、可視化

▪ Confidently identify malicious files based on behavior or intended behavior振る舞いと意図的な振る舞いを基に自信を持って不審ファイルを判定


Lets see it in actionデモをご覧ください


The McAfee Difference/マカフィーの特長Improved security outcomes through human-machine teaming

Low Cost & Scalable Data Collectionデータ収集に低価格かつ柔軟なスケーラビリティを提供

Reliable & Adaptive Detection信頼性が高く適応力の高い検知

AI / Expert-led InvestigationsAI/エキスパート支援による調査

Modular scale-out data platform makes costs predictable

モジュール型でスケーラビリティに富み予算計画しやすいデータ基盤

Open source Kafka message bus removes data sharing tax

Kafkaデータバスにより効率の良い内部データ共有

Unsupervised machine learning - built-in models dramatically reduce human effort

教師無し機械学習：組み込み済み学習モデルが運用負担を大幅に軽減

Analytics apply across the attack lifecycle

攻撃のライフサイクルに広く対応できる分析

Automation provide 10x reduction in time to investigate

自動化により調査効率を10倍に

Investigation guides help junior staff develop faster

調査ガイドにより経験の浅いスタッフを素早く育成

Stop threats from 1 endpoint to 1000s

1台から数千のエンドポインの脅威を阻止

automation to make security operations effective ......security...

Documents