MSSPとMDRが直面する主要な課題とそれを克服する方法

決して古くならないものがあります。セキュリティプロバイダーの世界では、常に専門家、不足している時間、信頼のあるベンダーが不足していますが、リスクや複雑さ、コストのプレッシャーが豊富にあります。しかし、MSSPやMDRの成長とスケーラビリティに対する障害となる、あまり目立たない課題も存在します。それでは、いくつかの日々の悩みを直面して解決し、ビジネスを次のレベルに引き上げましょう。

課題1. ログソースのカバレッジ

私たちは最も複雑なものの一つから始めます。なぜなら、どれだけ長くサイバーセキュリティに携わろうとも、バランスを見つけるのは困難であるからです。優れたカバレッジが安全側にいることを保証するのと、大量のデータボリュームと警報疲労の間にはどこに中間点があるのでしょうか。それぞれのケースがユニークであるため、この質問には多くの議論の価値がありますが、誰かがログ戦略について尋ねるたびに目がピクピクしないようにするための普遍的な推奨事項があります。

解決策

何かを始める前に、質問を以下のように再構築します どのログを収集するべきか？ to なぜ この特定のログを収集するのか？

ログを選定する際に考慮すべき点は以下の通りです：

• すべての技術を網羅しようとせず、キルチェーンの知識を深めて攻撃ベクトルを理解します。基礎から始めてください MITRE ATT&CK そして、その知識を 一連の記事 で磨きましょう。出典：Jose Luiz RodriguezのATT&CKデータソースに関する記事。
• 攻撃が単にフレームワークに限られるわけではないことを覚えておいてください。そのため柔軟性が必要です。
• 常に最新の技法に追いつき、最新の研究を常にチェックし、業界のリーダーを注視します。
• 常にクライアントのビジネス分野と地域を考慮し、それに基づいて最も一般的なAPTや攻撃ベクトルを定義します。
• 常に信頼性があり最新の脅威インテリジェンスのみを使用し、過去のデータを避ける。
• 可視性はサイバーセキュリティのインシデントの前だけでなく、インシデント中及びインシデント後にも重要です。

ログソースの知識の良い基盤は、 NISTのコンピュータセキュリティログマネジメントガイド (ドキュメント800-92)です。NISTはまだこのガイドの 更新に取り組ん でいますが、研究所は執行部門および機関の責任者に 覚書 を発表しました。改訂は主に最近の攻撃の進行的性質によって促されています。

次のステップは、ログ収集と同様に重要なことで、ログに記録されたイベントを分析することです。成功するログ解析のためのヒントはここで既に取り上げています ここ.

課題2. プラットフォームの多様性

セキュリティサービスプロバイダーであることは、多様性という課題を生みます。クライアントの満足とより大きなターゲット市場のために、いくつかのSIEM、EDR、XDRを含むさまざまな製品やツールをサポートできる必要があります。これは管理上の課題を生み、学習曲線を追加し、チームにさらに多くの専門家を必要とします。

解決策

優れた品質のサービスを提供しサポートするために、普遍的な解決策を探すことが最善の方法です。サイバーセキュリティの場合、作業手順に最初に組み込むべきものは Sigmaです。これはサイバーセキュリティにおける共通言語であり、1つの汎用クエリを作成し、それをさまざまなプラットフォームで使用できるようにします。Sigmaを初めて使う場合は、以下の資料をチェックしてください：

• SigmaHQ GitHubリポジトリ
• A Josh BrowerとChris SandersによるSigmaを使用した検出エンジニアリングの基礎に関するチートシート Sigmaルールの解剖
• Thomas Rocciaによる pySigma
• The pySigma Thomas PatzkeとFlorian Rothによって開始されたGitHubリポジトリ。pySigmaはSigmaルールをクエリに解析および変換するためのPythonライブラリです
• A 初心者のためのSigmaルールガイド 他の提案としては、一つの解決策で複数のニーズをカバーできる信頼できるベンダーをオプトインすることです。ただし、

一つで全てを賄う製品を避けてください。オファーの範囲が広ければ広いほど、本質を深く保つのは難しいです。LTIがSOC Prime’sプラットフォームを活用して、複数のSIEMおよびEDRソリューションの管理課題をどのように解決したかを確認してください。 one-size-fits-all products because the broader the offer is, the harder it is to keep it profound enough. Check how LTI solved the challenge of managing multiple SIEM and EDR solutions by leveraging the SOC Prime’s platform. 

課題3. 新たに浮上する脅威

脅威の風景はますます高速に変化しており、私たちは検出および対応方法を常に改善し続けるという唯一の選択肢に直面しています。あらゆるビジネスがこの課題に対する自社の解答を見つけます。新しいソフトウェアに大いに力を入れる者もいれば、新たに専門家を雇用する者もいます。しかし、それが本当に効果的なのでしょうか？このような措置はコストを増加させますが、必ずしも望ましい結果をもたらすわけではありません。最も適切なアプローチは何でしょうか？

解決策

以下の推奨項目は、常に変化する脅威の風景に直面してもセキュリティ体制を大いに強化します：

1. IOCベースのルールではなく、行動ベースの検出を選択してください。 行動ベースの検出ルールは、主に敵対者が繰り返し使用するパターンを探すため、より長く持続します。一方、IOCベースの検出は、過去のデータをチェックして過去に攻撃されたかどうかを確認するために遡って使用するのが最適です。単純なクエリで異常な rundll32 の活動を識別することは、IOC報告に基づく検出よりも長持ちすることを忘れないでください。
2. 脅威ハンティングの手順を統合/磨いてください。 多くの企業が 脅威ハンティング を避けるか非常に基本的な方法で行うにもかかわらず、それは積極的なサイバー防衛を改善する素晴らしい解決策です。
3. 新しい脅威、攻撃ベクトル、技術、脅威アクターなどに常に注意を払いましょう。 最新の報告書に常に目を通し、業界のリーダーと専門家に従いましょう。それは確かに多くの不愉快な驚きから救ってくれます。
4. 協力的なサイバー防衛を有効活用してください。 あなたのビジネスにとって非常に有益なオープンソースプロジェクトがあります。GitHubリポジトリから始めることをお勧めします。たとえば LOLBAS, ELF Parser, YARA, regexploit, lynisなどです。
5. SOC Prime Platformで検出ルールを探す のは、検出、脅威のコンテキスト、バイナリ、および対応する. のシミュレーションを見つける素晴らしい方法です。 のシミュレーションを見つける素晴らしい方法です。 課題4. タイミング

最も価値がある資産が何であるのか議論の余地がありますが、誰もが時間は貴重であると同意するでしょう。脅威をタイムリーに検出できないことは、金銭的損失だけでなく、データの損失、コンプライアンスの問題、評判のリスクを引き起こす可能性があります。もちろん、サイバーセキュリティについて話すとき、何も誰も100％の保証を与えられませんが、一貫性と戦略的であることはあなたが考えるよりも多くのことを行うでしょう。

タイムリーな検出は、多くの場合、すでに述べた要因に帰着します：キルチェーンの知識、賢明なログ収集と分析、脅威ハンティングの統合、そして新たに出現する脅威について常に最新情報を維持すること。しかし、サービス提供の速度を高めるためのもう一つのステップは、可能な限り繰り返しのプロセスを自動化することです。しかし、特にMSSPとMDRにとって最も効率的な自動化は何でしょうか？

ビジネスにおいて重要な活動により多くの時間とリソースを割くために、次の手順を自動化してください：

解決策

スキャンおよび監視。

• 通常、これらのプロセスはあまり人の注意を必要とせず、自動化が簡単です。 データの充実化作業。
• 初期段階でのほとんどのデータ関連タスクは自動化されるかもしれません。なぜなら、その後の人間の注意がより有用であるからです。 基本的なソートと分析。
• 生データをアナリストに渡す前に、最も典型的なケースに関して少なくともソートと簡単な分析のプロセスを自動化することができます。 低レベルのインシデント応答。
• インシデント応答は多様ですが、基本的なものは簡単に自動化できます。 他のアイデアとしては：
• 自動化された脆弱性検査、検出展開、ソフトウェア更新など。このリストは会社の方針や戦略に応じて変更し拡張できます。 ロボティックプロセスオートメーション（RPA）の概念にはいくつかの欠点があると主張され続けています：

すべてのサイバーセキュリティタスクが自動化可能であるわけではありません。実際には遠く及びません。

• RPAボットはハッキングされ、例えば運用中断や機密データの損失を引き起こす可能性があります。
• 自動化プロセスを設定し続けるために、知識のある専門家が必要です。したがって、あなたは過程を自動化し忘れてしまうことはできません。
• 脅威の風景が変化するにつれて、いくつかの調整を行う必要があるでしょう。
• いくつかの企業は、その方針のために自動化を適用することができません。
• 課題5. 競争

おそらくあらゆるビジネスが、自分たちが行っていることに関わらず、高い競争が彼らの課題の1つだと主張するでしょう。しかし、各産業には独特の特徴があり、競合他社との差別化戦略も劇的に異なることでしょう。

セキュリティサービスプロバイダーとして、次のチェックリストにいつでも戻って、軌道に乗せ続けることができます：

解決策

専門知識と品質の証明。すべてのプロバイダーが自分たちが最高であると主張すると想像できます。あなたこそがそれを証明できる人になり、あなたのレビューに語らせてください。良い仕事をすれば、満足した顧客はその肯定的な経験を確実に共有します。時にはただそれを尋ねればいいのです。

1. パートナーを賢明に選びましょう。信頼できるベンダーを選択すれば、サービスの質を証明するのに苦労することはありません。
2. 高い価値を示してください。いくつかのビジネスは、値下げを行い、自分たちが管理できる以上のクライアントを引き寄せる競争に参加し始めるかもしれません。数量よりも質を選ぶことを試してみてください、そして口コミマーケティングの奇跡が見えるでしょう。
3. 明確な報告で効果を証明してください。あなたがビジネスにサービスを提供していることを忘れないでください、そしてほとんどすべての会社のリーダーが下す決定はROIに基づいています。定期的で明示的な報告書を提供することで、あなたのサービスが重要であることを示してください。
4. スピードと有効性。サイバーセキュリティでは一秒一秒が重要です。したがって、可能な限り最高のタイミングで質の高い結果を提供するために努力すべきです。しかし、非現実的な約束をすることは避けてください。
5. Speed and efficacy. Cybersecurity makes every second count. So you should work on delivering quality results with the best timing possible. However, avoid giving unrealistic promises.
6. 違いを出してください。このニッチ市場はオファーで溢れていますが、競合他社がどのように自身をマーケットしているかを見てください。彼らはコミュニティと関与しているのか？彼らの主要なセールスポイントは何ですか？どのようにして新しい顧客を引き付けていますか？これらはあなたの戦略を逆転させるのに役立つかもしれない質問のほんの一部です。

結論

サイバーセキュリティは挑戦的な産業であり、常に克服しなければならない挑戦があります。しかし、適切な戦略、一貫したアプローチ、および質の高いベンダーが支援してくれるなら、何も不可能ではありません。SOC Primeは多くのMSSPとMDRの 信頼されているパートナー です。最大の脅威検出マーケットプレイスの効果を無料でご自身で確認してください。