SIEMって実は“期待外れ”? MITRE ATT&CKの約4分の1しか検出できないことが判明
CardinalOpsは、エンタープライズ向けSIEMがMITRE ATT&CKの攻撃テクニックのうち24%しか検出できず、一部のSIEMルールは機能不全にあるなど、企業の期待に反してリスクの高い状態にあると報告した。
セキュリティ企業のCardinalOpsは2023年6月27日(現地時間)、SIEM(Security Information and Event Management)に関する調査結果をまとめた年次報告書「State of SIEM Detection Risk」を公開した。
今回で第3回となる同調査は、企業におけるSIEM利用の厳しい現状を指摘した。「MITRE ATT&CK」(ATT&CK)で定められた攻撃テクニックの多くをカバーできず、企業の期待に反してリスクの高い状態にあるという。
ATT&CKの攻撃テクニックのうち、SIEMが検出できるのは約4分の1
State of SIEM Detection Riskで指摘されている主な内容は以下の通りだ。
- エンタープライズ向けSIEMは、ATT&CK v13フレームワークが定める196のテクニックのうち24%しか検出しないことが分かった。これはサイバー攻撃者がATT&CK v13フレームワークの150近いテクニックをサイバー攻撃に利用できることを意味している
- エンタープライズ向けSIEMはATT&CK v13フレームワークが定める196のテクニックのうち94%を検知するのに十分な量のデータを収集している
- エンタープライズ向けSIEMは、調査対象の「Windows」やネットワーク、IAMといったセキュリティレイヤーの96%を監視できている。しかしコンテナの監視については32%にとどまっている
- データソースの設定ミスやフィールドの欠落などが原因で、SIEMルールの12%が実際には機能していない
調査によると、企業はSIEMによって多くの脅威を検出することを期待しているが、実際にはソリューションがMITRE ATT&CK v13フレームワークの24%ほどしかカバーしておらず、さらに不適切なルールなどによって設定したルールの1割が動作していないといったように、期待とは程遠い状態にあることが明らかになった。
SIEMで収集されるデータは十分な量だが、そこから脅威を検出する部分に多くの課題があることが指摘されている。また、検出対象はコンテナの割合が低く、動的に起動して使うコンテナの防御に苦慮している状況が見える。
CardinalOpsは脅威を検出するための管理体制に関するベストプラクティスとして以下のアドバイスを挙げた。
- 現在のSIEMプロセスを見直す
- 検出コンテンツの開発を管理に関してより意図的になる
- ユースケース管理プロセスを構築またはアップデートする
- 計測と継続的な改善を実施する
関連記事
- アラート地獄で疲弊する現場 TenableとSplunkの協業はこれをどう解消するか?
TenableとSplunkは戦略的パートナーシップを発表した。これによって、セキュリティツールのアラート対応などに悩む担当者の業務効率化を実現する機能アップデートが提供される見込みだ。 - オブザーバビリティに先進的な日本企業はわずか1% Splunk調査
Splunkの調査では、日本がオブザーバビリティの分野で遅れが目立つこと、高いオブザーバビリティを持つ組織がダウンタイムの解決や問題検出、修復時間の短縮などで優れた成果を挙げていることなどが判明した。 - IBM SecurityとAWSが統合拡大 ハイブリッド/マルチクラウドのセキュリティ簡素化と強化を支援
IBM SecurityはAWSとの統合を拡大し、クラウドセキュリティの簡素化と強化を目指すと発表した。AWSビルトインソリューションの提供が予定されている。 - 新スイート「IBM Security QRadar Suite」が提供開始 XDRやSIEM機能などを搭載しセキュリティを高度化
日本IBMは脅威の検知や対応を効率化する新たなセキュリティスイート「IBM Security QRadar Suite」の提供を開始した。XDRやSIEM機能などを備えて、セキュリティの高度化を実現する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.