CardinalOpsの新しいレポートによると、企業のSIEMは平均してMITREのATT&CK手法の80%を検出できず、攻撃者が採用するATT&CK手法上位14のうち5つしか対処できていないとのことです。
CardinalOpsのレポートでは、SIEMの検知の状況について、Splunk、Microsoft Sentinel、IBM QRadar などのSIEMインスタンスのデータを分析し、MITRE ATT&CK の対応状況をより正確に把握することができるようになりました。侵入のライフサイクルの早い段階で悪意ある行動を検知することは、ビジネスへの重大な影響を阻止する上で極めて重要な要素であるため、これは重要なことです。
CardinalOpsは、主観的な調査ベースのデータに頼るのではなく、実際のSIEMを分析し、最新のセキュリティオペレーションセンター(SOC)における脅威検出範囲の現状を可視化しました。これらの組織は数十億ドル規模の多国籍企業を代表しているため、これまでに分析した実際のSIEMデータの中でも最大規模の記録サンプルとなっており、14,000以上のログソース、数千の検知ルール、数百のログソースタイプを網羅しています。
MITRE ATT&CKの約200の技術を基準として、実際の検知範囲は、ほとんどの組織の期待をはるかに下回る状況であることを発見しました。さらに悪いことに、組織は自分たちが想定する理論上のセキュリティと実際に得られるセキュリティとのギャップに気付かず、検知態勢に誤った印象を与えていることが実証されました。
SIEMに取り込まれているにもかかわらず、検知に利用されていないログソースの上位3つは、
- IDソース
- Office 365やG SuiteなどのSaaSプロダクティビティ・スイート
- クラウドインフラのログソース
であることがわかりました。実際、Active Directory(AD)やOktaなどのIDログソースをSIEMに転送している組織の3/4は、それらを検知のユースケースに使用していません。これは、ゼロトラストを強化するために最も重要なログソースの1つである検知範囲を強化する大きなチャンスと思われます。
CardinalOpsの最新の調査では、CISOと検知エンジニアリングチームがこれらの課題に対処し、検知範囲をどのように測定し、どのように時間をかけて継続的に改善するかについて役立つ一連のベストプラクティスを読者に提供しています。
出典:Report: 80% of cyberattack techniques evade detection by SIEMs