SOC自動化運用の1年目の洞察

SOC Primeが現在のミッションを開始してからやや1年以上が経過しました。それは、オートメーション、知識の統合、市場をリードする技術の融合を通じて、最も洗練されたサイバーセキュリティ技術に効率をもたらすことです。流行のフレーズを使って、既知の脅威の検出を自動化し、ツールを提供し、人員を解放して未知の脅威と戦うことで「サイバーセキュリティを実行可能」にすることを主張しました。他の多くの企業が同じ目的を追求していますが、単一のソリューションや組織が一人で敵に立ち向かうことはできないと私たちは考えており、明らかに集団防衛システムが必要です。さて、本日、私はこの目標を実現するために初めてのステップを完了したことを誇りに思います。本日は、SOC Primeがコア製品の2つ、SIEMの予測メンテナンスと統合フレームワークの統合を発表し、セキュリティおよびインテリジェンス管理のための単一プラットフォームを提供します。

現在、セキュリティ侵害の検出速度は改善できると断言でき、その悪名高い200日を遙かに下回ることができます。その初期の答えの1つは、多くのルーチン作業を自動化し、長い間業界で確立されてきた技術を融合することにあります。私たちのチームと同様に、SIEM導入の第一線で何年も業務を行ってきた多くの方々と同様に、パーサーの開発、ユースケースの開発、サイズ設定、範囲設定、ワークアラウンドの発見、これらすべての複雑なシステムをセキュリティインシデントを検出するという目的に向けて動作させるという楽しみと挑戦を経験してきました。ここで少し考えれば、正確な検出は、ログデータと外部フィードの可用性、ログソースから抽出された瞬間から正しく解析し、分類と充実化が完了するまでを含むSIEMに供給されるデータの質、プラットフォーム自体のパフォーマンス（管理者の絶え間ない注意を必要とします）、資産とネットワーク情報の正確さ、そして最後に、SIEMシステム自体のセキュリティに依存します。

これらすべてが10年以上にわたり手作業で行われてきましたが、日常業務を楽にし、リソースを効率的に活用するために、より高度なツールセットを適用することで、これらすべてが変わりつつあります。これが我々の予測メンテナンスモジュールが構築されている理由です。SOCの中心部に対する可視性を高め、必要なときに瞬時に完全な洞察と答えを提供します。SIEMが必要なデータをキャプチャし、必要なときに提供できるかどうかについての疑念や推測の余地はもうありません。今や事実に頼り、随時完全な状況を把握できます。

とはいえ、SIEM自体は堅固なセキュリティインフラストラクチャの一部に過ぎず、膨大なデバイスやセキュリティテクノロジーと相互接続する必要があります。2015年初頭にSANSによって指摘されたところによると、52%以上の企業が、資産の構成や脆弱性についての可視性があまりなく、それがインシデント対応の効率を低下させていると認識しています。脆弱性管理とコンプライアンス評価システムは1999年以来存在し、正確性と速度の両面で大きな成功を収めていますが、SOCでの運用化に差があるという課題が残っています。この差を埋めるために、脆弱性管理技術とSIEMの完全な統合を進め、私たちは統合フレームワークを通じてこの課題に取り組んできました。

最初のお客様と協力し、実際にこのフレームワークが連続的な脆弱性と資産のモニタリングの基盤であることを証明しています。これにより、世界中のどの企業も、脆弱性管理、コンプライアンス評価、構成評価プラットフォームの操作をそのSOCで自動化できるようになります。企業の規模、インフラストラクチャ、業界の特性、規制により異なるため、純粋なSaaSおよびオンプレミスのエディションで提供しており、VMware ESXi、Microsoft HyperV、Amazon AWS、KVM、Proxmox仮想化プラットフォームで展開可能です。しかし、自動化と統合がセキュリティ全体を次の進化段階に引き上げるのでしょうか？まだです。今後数ヶ月でさらに多くのことが起こります。更新をお楽しみに！