Wiz Defendが登場: クラウドの脅威検出と対応
実行可能なインシデント対応計画テンプレート

堅牢なインシデント対応計画を作成するためのクイックスタートガイド - クラウドベースのデプロイを持つ企業向けに特別に設計されています。

インシデント対応とは (Incident Response)? SOCのファストトラックガイド

インシデント対応は、サイバー攻撃を検出して対応するための戦略的なアプローチであり、サイバー攻撃がITシステムやビジネス全体に与える影響を最小限に抑えることを目的としています。

Wiz エキスパートチーム
1 分読み

インシデント対応とは?

インシデント対応は、サイバー攻撃を検出して対応するための戦略的なアプローチです。 これは、組織的で効率的かつタイムリーな方法で脅威の影響を検出、除去、および回復するのに役立つ一連の調整された手順で構成されています。 さらに、文書化された計画とプレイブック、ツールとテクノロジー、テスト、レビューなど、準備と微調整の手段をカバーし、これらの目標を確実に達成できるようにします。

インシデント対応は、 インシデント管理これは、攻撃を処理する広範な方法を指し、以下が含まれます。 上級管理職, 法務チーム, 人事, 通信、およびより広い IT部門.

このガイドは、基本的にインシデント対応に焦点を当てています。 しかし、インシデント管理の他の側面についても簡単に説明します'重要なことは、組織が将来のインシデントに対処するために全体的なアプローチを取ることです。

させる'では、まずいくつかの基本的な概念について説明します。

セキュリティインシデントとは?

インシデント対応チームは、次のような事態が発生した場合に迅速に行動する必要があります'行動に移す必要があります。 そのため、用語の誤った使用によって発生する可能性のある時間のかかる誤解を許すことはできません。 それ'セキュリティインシデントを構成するものと、それが次のような同様の用語とどのように異なるかを正確に理解する必要がある理由 セキュリティイベント そして 攻撃.

  • ある セキュリティイベント は、トラフィックの突然の急増や特権の昇格など、セキュリティ侵害の兆候である可能性のある異常なネットワーク動作の存在です。 ただし、そうではありません'tは必ずしもセキュリティの問題を抱えていることを意味します。 さらに調査を進めると、それは完全に正当な活動であることが判明する可能性があります。

  • ある セキュリティインシデント は、意図的または偶発的なデータの損失や不正アクセスなど、潜在的な悪影響が確認された 1 つ以上の相関するセキュリティ イベントです。

  • ひとつの攻撃悪意ある計画的なセキュリティ違反です。

セキュリティインシデントの種類

その性質が何であれ、さまざまな種類のインシデントに対して適切に準備する必要があります。  だからあなた'さまざまなシナリオを考慮する必要があります。 これには、さまざまな種類のアプリケーションや基盤となるインフラストラクチャが含まれますが、何よりも攻撃の種類も異なります。

これらの中で最も一般的なものは次のとおりです。

  • サービス拒否 (DoS): 偽のリクエストでサービスを氾濫させ、正当なユーザーがサービスを利用できないようにしようとする試み。

  • アプリケーションの侵害: 次のようなアプリケーション'は、次のような手法を使用してハッキングされています。 SQL インジェクション, クロスサイトスクリプティング(XSS)そして キャッシュポイズニングデータの破損、削除、流出、またはその他の形式の悪意のあるコードの実行を目的としています。

  • ランサムウェア: 暗号化を使用してデータへのアクセスをブロックするマルウェアの一種。 その後、攻撃者は暗号化キーと引き換えに身代金を要求します。

  • データ侵害: 特に機密データへの不正アクセスを伴うセキュリティ侵害。

  • 中間者(MitM): 敵対者が2者間のデータ交換を密かに傍受し、それらの間の通信を操作する現代の盗聴形式。

それに応じて、さまざまな種類の攻撃とシステムの潜在的な脆弱性について深く理解する必要があります。 これは、対応手順を策定し、ツールとテクノロジーの要件を特定するのに役立ちます。 同時に、セキュリティ防御を強化し、そもそも重大なインシデントが発生するリスクを軽減するのに役立ちます。

クラウドでのインシデント対応

クラウドの広範な導入を考慮すると、インシデント対応は、新しいタイプの脅威やさまざまなアプリケーション展開モデルによってもたらされる課題に対応するために進化しています。

しかし、多くの組織では、いまだに時代遅れのインシデント対応手順に頼っています。 したがって、新しい攻撃対象領域に対応するための対応戦略を適応させることにより、十分な準備を整えておく必要があります。 たとえば、次の方法を使用します。

  • インシデント対応チームが、クラウドベースのIT環境を理解するための十分なトレーニングを受けられるようにする

  • 次のようなツールを実装します。'は、クラウドの複雑で動的な性質に合わせて特別に設計されています

  • クラウドサービスプロバイダー(CSP)から入手できるテレメトリを利用する

インシデント対応ドキュメント

正式に文書化された一連の行動方針は、インシデントを処理するための明確なロードマップを提供し、次のことを確実にするため、堅牢なインシデント対応戦略の重要な要素です'そのための適切な装備を備えています。

インシデント対応資料は、原則として以下の3種類のドキュメントで構成されています。

インシデント対応ポリシー

政策 ドキュメントは、イニシアチブのボールを転がし、インシデント対応戦略の広範な青写真として機能します。

インシデント対応のビジネスケースを掲載することで、上級の意思決定者からの賛同を求めています。 インシデント対応チームと本格的なインシデント対応プログラムの創設を義務付けています。 それはリーダーシップチームによって承認されるべきであり、あなたにあなたの使命を前進させる権限を与えます。

これは、インシデント対応プロセスの実用性に向けたより詳細なドキュメントへの足がかりを提供する単一のドキュメントです。

インシデント対応計画

インシデント対応計画 は、サイバーセキュリティインシデントを処理するために実施すべき対策をより詳細に説明することにより、ポリシードキュメントを拡張します。 これは、応答ライフサイクル全体を通じて実行され、次の方法に関する概要計画があります。

  • セキュリティ インシデントの検出と分類

  • 攻撃の完全な動作を判断

  • ITシステムとビジネス運用への影響を制限

  • 脅威の排除

  • インシデントからの復旧

さらに、次のように述べています。

  • あなたが準備する'攻撃を予期して作る

  • 分析とレビューのためのインシデント後の活動の提案

インシデント対応計画は、インシデント対応プレイブックをサポートする基礎を築く 1 つのドキュメントでもあります。

インシデント対応プレイブック

一般的に、インシデント対応プレイブックは、特定の種類のインシデントを処理するための非常に詳細な手順セットを提供するドキュメントです。

各プレイブックは、さまざまな状況に合わせて調整されています。 たとえば、次のような場合です'通常、さまざまな攻撃ベクトルに対して一連のプレイブックを作成します。 ただし、プレイブックを使用して、インシデント対応チームの特定のロールに対する指示を提供することもできます。 これは、より広範なインシデント管理プロセスでは一般的です。 たとえば、次のような場合です'dは通常、法務チームとPRチームがそれぞれコンプライアンス要件を満たし、コミュニケーションを処理するのに役立つプレイブックを作成します。

インシデント対応チーム

インシデント対応チームは、インシデント対応操作の調整を担当する部門横断的な人々のグループです。

これは、組織全体のさまざまな職務から組み立てられ、通常は次のものが含まれます。

  • エグゼクティブスポンサー。最高セキュリティ責任者 (CSO) や最高情報セキュリティ責任者 (CISO) などの上級管理職のメンバーで、インシデント対応イニシアチブの提唱者として機能します。 彼らはしばしばあなたの会社に進捗状況を報告する責任を引き受けます'の経営陣。

  • インシデント対応マネージャー: インシデント対応戦略を策定および改良し、アクティビティを調整するチーム リーダー。 彼らは、対応プロセス全体を通じて全体的な責任と権限を取ります。

  • コミュニケーションチーム: 広報部門、ソーシャルメディア部門、人事部門の代表者、広報担当者、会社のブロガーは、スタッフ、顧客、一般市民、その他の利害関係者に開発情報を通知し続ける責任があります。

  • 法務チーム: 指定された法定代理人は、インシデントのコンプライアンスと犯罪への影響、および潜在的な契約違反に対処します。

  • 技術チーム。お客様のITおよびセキュリティ運用チームの個人で、脅威の検出、分析、封じ込め、および除去に関連する技術的な職務を遂行する適切な資格を持つ者。

インシデント対応のライフサイクル

適切に構造化された体系的なインシデント対応ライフサイクルは、効果的なインシデント管理の中核であり、攻撃に対処するための段階的なプロセスを提供します。 ただし、'独自のレスポンスライフサイクルを開発するためにゼロから始める必要はありません。そのため、プロセスをガイドするフレームワークが多数用意されています。

これらには以下が含まれます:

  • NIST 800-61: コンピュータ セキュリティ インシデント処理ガイド

  • SANS 504-B インシデント対応サイクル

  • ISO/IEC 27035シリーズ:情報技術 - 情報セキュリティインシデント管理

同様の行で、Wizは最近、 インシデント対応計画テンプレート それ'は、特に保護の責任者を対象としています パブリッククラウド, ハイブリッドクラウド そして マルチクラウド 展開。

各インシデント対応フレームワークはわずかに異なるアプローチを採用していますが、基本的にはライフサイクルを次のフェーズに分割します。

準備

対応戦略に取り組み始めるのに最も適していないのは、インシデントが発生したときであり、被害を最小限に抑え、ビジネスの混乱を減らすために迅速に行動する必要があります。 それ'なぜ準備がとても重要なのか。

インシデント対応の準備フェーズでは、インシデントに遅延なく対応できるように、事前にすべてが整っていることが保証されます。 これには、次のような取り決めが含まれます。

  • インシデント対応チームの結成

  • 最新の資産インベントリにより、すべてのベースを確実にカバー

  • インシデント後のタイムライン分析をサポートするためのログデータのキャプチャ

  • 迅速な検出と封じ込めのためのツールの調達

  • ケースのエスカレーションと進捗監視のための課題追跡システムの導入

  • 事業運営の中断を最小限にするための不測の事態対応

  • インシデント対応トレーニング

  • インシデント対応テストの演習

  • サイバー保険の補償

検出

検出フェーズでは、セキュリティ インシデントが発生したかどうか、または発生しようとしているかどうかを特定するための系統的なアプローチを取ります。 攻撃の最初の兆候には、次のようなものがあります。

  • ログイン試行の失敗回数が多い

  • 通常とは異なるサービスアクセス要求

  • 権限昇格

  • アカウントまたはリソースへのアクセスがブロックされました

  • データアセットの欠落

  • 動作が遅いシステム

  • システムクラッシュ

Example threat detection originating from an EKS container

ただし、検出はインシデント対応の最も困難な側面の 1 つであり、さまざまなソースからの情報を関連付けて、そのようなイベントが実際のセキュリティ インシデントを表していることを確認する必要があります。 ソースには次のものが含まれます。

  • ワークロードテレメトリ

  • CSP から利用できるテレメトリ

  • サードパーティの脅威インテリジェンス

  • エンドユーザーからのフィードバック

  • ソフトウェアサプライチェーンの他の関係者

調査・分析

インシデント調査フェーズは、攻撃の根本原因、デプロイに想定される影響、および適切な是正措置を特定するための体系的な一連の手順で構成されます。

An example root cause analysis on a machine that's been affected by multiple critical vulnerabilities and misconfigurations

検出フェーズと同様に、さまざまなログソースからのイベントデータをつなぎ合わせて、インシデントの全体像を構築します。

封じ込め

封じ込めフェーズの目的は次のとおりです。

  • 攻撃の爆発半径を最小化

  • ITシステムとビジネス運用への影響を制限

  • より包括的な修復アクションを実行する前に時間を稼ぐ

Example of an incident management tool triggering real-time response actions to reduce and contain the blast radius of a potential incident..

インシデントの種類によって方法が異なります。 たとえば、サービス拒否 (DoS) 攻撃を封じ込めるには、次のようにします'd:IPアドレスフィルタリングなどのネットワーク対策を実装します。 しかし、他の多くのケースでは、あなたは'd リソースを分離して、攻撃の横移動を防ぎます。 あなたの方法'd これを行うのは、インフラストラクチャの種類によって異なります。 従来のIT環境では、EDR(Endpoint Detection and Response)などのセキュリティツールが最も効率的な方法でした。 しかし、クラウドベースの環境では、'一般的に、コントロールプレーンを介してリソースのセキュリティグループ設定を変更する方が簡単です。

プロのヒント

Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.

根絶

根絶は、脅威を完全に取り除くフェーズです。'はもう存在しません どこでも 組織のネットワーク内。

システムから脅威を取り除く方法には、次のようなものがあります。

  • 悪意のあるコードの削除

  • アプリケーションの再インストール

  • ログイン認証情報やAPIトークンなどのシークレットのローテーション

  • 侵入のブロックポイント

  • 脆弱性のパッチ適用

  • Infrastructure-as-Code (IaC) テンプレートの更新

  • ファイルを感染前の状態に復元する

それ'また、修復後に影響を受けるシステムと影響を受けていないシステムの両方をスキャンすることも重要であり、侵入の痕跡が残っていないことを確認する必要があります。

インシデント後のレビュー

レビューフェーズでは、対応戦略を洗練する機会を提供します。'将来の潜在的なインシデントを処理するための設備が整っています。 インシデントへの対応方法、インシデント対応チームからのフィードバック、およびインシデントがビジネス運営に与える影響を考慮する必要があります。

以下は、レビューを行う際に提起すべき質問の種類です。

  • 私たちのドキュメントは十分に明確でしたか?

  • 情報は正確でしたか?

  • インシデント対応チームのメンバーは、自分たちの役割と責任を理解していましたか?

  • さまざまなタスクを完了するのにどのくらいの時間がかかりましたか?

  • 今後、同様の事故を防ぐために、さらなる対策は必要なのでしょうか。

  • セキュリティツールにギャップはありましたか?

  • 復旧時間が遅れるようなミスはありましたか?

  • このインシデントにより、コンプライアンス要件の違反が明らかになりましたか?

事業継続と災害復旧 (BCDR)

事業継続性(BC) は、セキュリティ インシデントなどの混乱した期間中にミッション クリティカルな運用を維持するために、組織が実施する必要がある一連の不測の事態対策です。 ディザスター リカバリー (DR)一方、システムは、ダウンタイムとビジネスへの影響を最小限に抑えながら、システムを正常な状態に戻すための一連の準備です。

したがって、どちらの分野も、お客様の対応の成功に不可欠です。 ただし、次の目的でインシデント管理戦略と調整する必要があります。

  • BCDR プロシージャは、応答ライフサイクルの最も適切な時点でトリガーするようにしてください

  • 脅威の永続化のリスクを最小化

これらの目標を達成するには、以下の点を十分に考慮する必要があります。

  • あらゆるフェイルオーバーシステムのセキュリティ

  • 感染を防ぐためのバックアップ衛生対策

  • 復旧の優先順位 

  • システムの依存関係

ツールとテクノロジー

適切なツールは、ライブのセキュリティインシデントに直面し、できるだけ早く脅威に対処する必要がある場合、天の恵みです。 というわけで、最後に、'あなたが持っているツールとテクノロジーのいくつかをリストしました'効果的なインシデント対応と、対応ライフサイクルで果たす役割が必要です。

TechnologyDescriptionRole in response lifecycle
Threat detection and response (TDR)A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).Detection, investigation, containment, and eradication
Security information and event management (SIEM)An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.Detection and investigation
Security orchestration, automation and response (SOAR)A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)A traditional defense system that detects and blocks network-level threats before they reach endpoints.Detection and investigation
Threat intelligence platform (TIP)An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.Containment and eradication

Wiz for Cloud-Native IR

Wizは包括的な Cloud Detection and Response(CDR)ソリューション 組織がクラウド環境のセキュリティインシデントを効果的に検出、調査、対応できるようにします。 Wizの主な側面は次のとおりです'クラウドインシデント対応へのアプローチ:

  1. コンテキスト化された脅威検出: Wizは、リアルタイムのシグナルとクラウドアクティビティ全体で脅威を一元的に関連付け、防御側がクラウド内の攻撃者の動きを迅速に発見できるようにします。 このコンテキスト化は、アラートの優先順位付けと誤検知の削減に役立ち、多くのセキュリティチームが直面するアラート疲れの問題に対処します。

  2. クラウドネイティブモニタリング: このプラットフォームは、ワークロードイベントとクラウドアクティビティを監視して、既知および未知の脅威と悪意のある動作を検出します。 従来のセキュリティソリューションは、クラウド環境の動的な性質に苦労することが多いため、このクラウドネイティブなアプローチは非常に重要です。

  3. 自動応答プレイブック: Wiz は、クラウドネイティブ機能を使用して影響を受けるリソースを調査および分離するように設計された、すぐに使用できる対応プレイブックを提供します。 また、証拠収集も自動化されるため、セキュリティチームは封じ込め、根絶、復旧の各フェーズを迅速に進めることができます。

  4. 根本原因分析のセキュリティグラフ: ウィズ'のセキュリティグラフは、インシデント対応に不可欠な自動根本原因と爆発半径分析を提供します。 これは、リソースがどのように侵害されたか、攻撃者が環境内でどのような潜在的なパスを取る可能性があるかなど、重要な質問に答えるのに役立ちます。 詳細情報->

  5. クラウドフォレンジック: Wizは、リソースが侵害された可能性がある場合に重要な証拠を自動的に収集する方法を提供することで、フォレンジック機能を強化しています。 これには、VM ボリュームのコピー、ログとアーティファクトを含むフォレンジック パッケージのダウンロード、ランタイム センサーを使用したコンテナまたは VM 上のプロセスの表示が含まれます。

  6. 爆破半径の評価: セキュリティグラフにより、IRチームは影響範囲を迅速に特定し、攻撃経路を追跡し、インシデントの根本原因を特定できます。 これは、侵害されたリソースの潜在的なビジネスへの影響を理解するのに特に役立ちます。 詳細情報->

  7. ランタイム監視: Wizは、実行時に不審なアクティビティがないかワークロードを継続的に監視し、爆発半径分析にコンテキストを追加します。 これには、マシン サービス アカウントまたは特定のユーザーによって実行される疑わしいイベントの検出が含まれます。

続きを読む

What is a Data Risk Assessment?

Wiz エキスパートチーム

A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.

AI Governance: Principles, Regulations, and Practical Tips

Wiz エキスパートチーム

In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.

The EU Artificial Intelligence Act: A tl;dr

Wiz エキスパートチーム

In this post, we’ll bring you up to speed on why the EU put this law in place, what it involves, and what you need to know as an AI developer or vendor, including best practices to simplify compliance.

What is Application Security (AppSec)?

Application security refers to the practice of identifying, mitigating, and protecting applications from vulnerabilities and threats throughout their lifecycle, including design, development, deployment, and maintenance.