CardinalOpsは、エンタープライズ向けSIEMがMITRE ATT&CKの攻撃テクニックのうち24%しか検出できず、一部のSIEMルールは機能不全にあるなど、企業の期待に反してリスクの高い状態にあると報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のCardinalOpsは2023年6月27日(現地時間)、SIEM(Security Information and Event Management)に関する調査結果をまとめた年次報告書「State of SIEM Detection Risk」を公開した。
今回で第3回となる同調査は、企業におけるSIEM利用の厳しい現状を指摘した。「MITRE ATT&CK」(ATT&CK)で定められた攻撃テクニックの多くをカバーできず、企業の期待に反してリスクの高い状態にあるという。
State of SIEM Detection Riskで指摘されている主な内容は以下の通りだ。
調査によると、企業はSIEMによって多くの脅威を検出することを期待しているが、実際にはソリューションがMITRE ATT&CK v13フレームワークの24%ほどしかカバーしておらず、さらに不適切なルールなどによって設定したルールの1割が動作していないといったように、期待とは程遠い状態にあることが明らかになった。
SIEMで収集されるデータは十分な量だが、そこから脅威を検出する部分に多くの課題があることが指摘されている。また、検出対象はコンテナの割合が低く、動的に起動して使うコンテナの防御に苦慮している状況が見える。
CardinalOpsは脅威を検出するための管理体制に関するベストプラクティスとして以下のアドバイスを挙げた。
Copyright © ITmedia, Inc. All Rights Reserved.