What is Threat Detection and Response (TDR)?

予防は当然のことながらサイバーセキュリティの第一の柱であり、組織を標的とする脅威の98%以上を防ぐことができます。しかし、ブロックされなかった脅威についてはどうでしょうか。

まず、行動分析やその他のAIベースの検出技術などの最先端の分析技術を活用して、最もステルス性の高い攻撃も発見する必要があります。その後、オペレーターは各脅威を調査して詳細を把握し、追加の脅威を探すこともできます。次のステップは、脅威を修復して排除し、次回は確実に防ぐことです。

デモを見る IDC SOCのレベルアップ

TDR ソリューションの基本コンポーネント

組織が防ぐことができない脅威については、組織への損害とコストを最小限に抑えるために、それらを迅速に検出して対応する能力が重要です。効果的な脅威検出には、次の機能を備えたサイバーセキュリティソリューションが必要です。

攻撃ベクトルの完全な可視性: 組織のITインフラは、オンプレミスのコンピュータ、モバイルデバイス、クラウドインフラ、IoTデバイスなど多様化しており、さまざまな感染経路で攻撃を受ける可能性があります。効果的な脅威検出には、ネットワーク、電子メール、クラウドベースのアプリケーション、モバイルアプリなど、すべての攻撃ベクトルを完全に可視化する必要があります。
Full-Spectrum マルウェア検出: マルウェアの巧妙化と回避性が高まるにつれて、マルウェアの検出はますます困難になっています。最新のマルウェア攻撃キャンペーンでは、ポリモーフィズムを使用してシグネチャベースの検出システムを回避し、標的となる組織ごとに固有のマルウェアサンプルを使用します。効果的な TDR ソリューションには、人工知能とサンドボックスベースのコンテンツ分析技術を使用してマルウェア攻撃を特定する機能が必要であり、これらの回避戦術に惑わされません。
高い検出精度: セキュリティオペレーションセンター (SOC)は、処理能力を超える多くのアラートを受け取るのが一般的で、その結果、真の脅威が見落とされたまま、誤検知の調査に時間が浪費されます。脅威検出ツールは、セキュリティチームが企業に対する実際の脅威に集中できるように、誤検知率の低い高品質のアラートを生成する必要があります。
最先端のデータ分析: エンタープライズネットワークはますます複雑になり、さまざまなエンドポイントが含まれています。つまり、セキュリティチームは、効果的に処理または使用できるよりも多くのセキュリティデータにアクセスできます。最先端のデータ分析は、この大量のデータを有用な洞察に抽出して、真の脅威と誤検知を区別するための重要な要素です。
脅威インテリジェンスの統合: 脅威インテリジェンスフィードは、現在のサイバーキャンペーンやサイバーセキュリティリスクのその他の側面に関する非常に貴重な情報源となり得ます。 TDR ソリューションでは、脅威インテリジェンスフィードを直接統合し、潜在的な脅威を特定および分類する際のデータソースとして使用できる必要があります。

潜在的な脅威が特定された後、セキュリティアナリストはインシデントの調査と修復をサポートするツールを必要とします。これらのツールの効果を最大化するには、次のような特定の機能が不可欠です。

MITRE ATT&CK分析: MITRE ATT&CKフレームワークは、攻撃者がサイバー攻撃のさまざまな段階を実行する方法に関する豊富な情報を提供します。脅威の検出と対応ソリューションは、セキュリティチームがフレームワークによって提供される関連する検出と軽減の推奨事項を活用できるように、MITRE ATT&CK手法へのマッピングを提供する必要があります。
脅威の自動修復: サイバー犯罪者は、自動化を利用して攻撃の速度と規模を拡大しており、手動による対応が遅すぎて攻撃の影響を最小限に抑えることができません。効果的なTDRソリューションは、プレイブックベースの自動対応を提供し、組織のITインフラストラクチャ全体で迅速かつ協調的な脅威対応を可能にする必要があります。
調査と脅威ハンティングのサポート: セキュリティチームには、潜在的なインシデントを手動で調査し、検出されていない侵入の脅威ハンティングを実行する機能が必要です。 TDR ソリューションは、ユーザーフレンドリーなコンソールで重要なデータや有用な脅威インテリジェンスへのアクセスを提供することで、脅威ハンティングをサポートする必要があります。

チェック・ポイントによる脅威の検出と対応の目標達成

効果的な脅威の検出と対応は、あらゆる組織のセキュリティ戦略の中核をなすものです。業界をリードする TDR ソリューションを導入することで、組織は次のことが可能になります。

攻撃者の滞留時間を短縮: 攻撃者が組織のシステムにアクセスできる時間が長ければ長いほど、攻撃者が引き起こす可能性のある損害は大きくなります。迅速な脅威検出により、滞留時間が短縮され、インシデント修復の複雑さが軽減されます。
インシデント対応コストの削減: 組織のシステムへの拡張アクセスを持つ攻撃者は、排除するのがはるかに困難であり、より多くの損害を与える可能性があります。脅威の検出が早ければ早いほど、修復のコストは低くなります。
SOC運用の最適化: 多くのSOCは低品質のデータに圧倒され、その結果、アラート疲れや脅威検出の見逃しが生じています。効果的なTDRソリューションにより、SOCは誤検知に時間を浪費するのではなく、真の脅威に力を注ぐことができます。
プロアクティブなサイバーセキュリティへの移行: 脅威ハンティングにより、組織はITインフラストラクチャへの侵入の兆候をプロアクティブに検索できます。サイバーセキュリティに対するこのプロアクティブなアプローチにより、これまで知られていなかった脅威の検出と修復が可能になります。

Check Point Infinity SOC enables organizations to detect threats with unmatched accuracy and optimize remediation with playbook-based, automated response. To see Check Point’s capabilities for yourself, you’re welcome to request a personalized live demonstration.