目標

脅威調査を強化し、脅威アクターを妨害する。

課題

脅威のトリアージ、緩和、修復を迅速に行う新しいSOCを強化する。

解決策

Recorded Futureプラットフォーム

成果

• トリアージを加速し、平均対応時間を10分の1に短縮。
• 人材の能力と自動化をバランスよく活用することで、より迅速で確実な意思決定を促進するとともに、取り組みの強化を実現。
• 脆弱性管理の取り組みの合理化と正当化。
• 大規模な再編を経た企業全体で、リアルタイムで完全かつ一貫したリスク低減を確保。

課題

DuPontは200年以上にわたり、人生を変えるような発見と技術的ブレークスルーの代名詞であり続けてきました。長年にわたり、企業は数多くの合併や買収を経験しています。つい最近、将来を見据えて事業を全面的に再編し、人々がより安全で健康的な生活を送るのに役立つ重要なイノベーションを提供し続けています。このような移行期間は、あらゆる組織に新たなサイバーセキュリティリスクをもたらす可能性があります。通常、チーム構造に変更が加えられ、新しいテクノロジーも追加され、脅威アクターが悪用しようとするギャップを生み出す可能性のある多様で一貫性のないセキュリティ慣行が導入されます。

これらのリスクを踏まえ、DuPontは企業全体で効果的にリスク管理を行うグローバルなサイバー脅威チームと持続可能なプログラムの構築に注力しました。サイバー脅威の世界的リーダーであるBob Stasioが2019年後半に就任すると、すぐにテコ入れに着手しました。まず取り掛かったのは、新しい社内セキュリティオペレーションセンターの設立です。ビジネスメールの侵害、不正行為、データ損失、さらには組織の取引情報や知的財産を狙った高度な持続的脅威など、さまざまなインシデントを調査する機能をこのセンターが担います。

「脅威インテリジェンスへの取り組みが不足していました」とStasio氏は振り返ります。「業務は外注され、インシデントはコンテキストなしで丸投げといった状況でした。まずは起こっていることを理解する必要がありました。」

Stasio氏はチームを構築しながら、多くのインシデント処理を自ら行うことから始めました。「この初期段階では対応までの平均時間が長く、アラートを受け取ってからトリアージ、緩和、修復までにかなりの時間がかかりました。」

しかしStasio氏には、脅威インテリジェンスに基づいた「インシデントレスポンス2.0」のアプローチで、この重要なKPIを引き下げるビジョンと計画を持っていました。

解決策

NSA、米軍サイバーコマンド、そしてBloombergやIBMなどの民間大手企業で輝かしいキャリアを築いた米国退役軍人のStasio氏は、脅威インテリジェンス活動とサイバー空間での活動の間に強い類似点を見出しています。「サイバーセキュリティでは、軍隊のように情報がほとんどない環境で活動しなければならないことがよくあります。起こっていることの初期の指標や傾向を探し、それを推定してすかさず決定を下す必要があります。」

脅威アクターを理解する能力、そしてどのような状況で妨害しなければならないかを理解することは、これらの取り組みを加速し、拡大するために重要です。そこで脅威インテリジェンスが役立ちます。「私は長年Recorded Futureを知っていて、民間部門にいた頃に協力したことがあり、信頼していました」とStasio氏は語ります。「DuPontに加わってから最初に電話をかけた先の一つがRecorded Futureでした。」

Recorded Future独自の技術で、膨大なデータを収集・分析し、リアルタイムで関連する洞察を提供します。これにより、セキュリティチームは誤検知をいち早くトリアージし、優先度の高いアラートを自動的に特定し、他に類を見ないほど幅広い情報源やエビデンスを簡単に掘り下げてより詳細な分析を行うことができます。Recorded Futureの導入後、DuPontの24名からなるグローバルサイバー脅威チームは、実用的なインテリジェンスの威力をすぐに実感し、脅威調査の強化やサイクルをスピードアップに役立てられました。

Stasio氏は、Recorded FutureがDuPontに力を与えて脅威アクターを混乱させた方法の数多くの例を挙げています。たとえば、「Formbookマルウェアを使った標的型フィッシング攻撃がアジアの工場の1つを襲いました。Recorded Future Intelligence Cards™へのアクセスとInsiktチームの優れたメモにより、サンドボックスでマルウェアを調べ、攻撃を情報漏洩したサードパーティベンダーにまで遡ることができ、300社のベンダーリストをわずか2社にまで絞り込むことができました。Recorded Futureがなければ、それは不可能でした」と語ります。

別の機会には、チームはRecorded Futureを利用して、高度なマルウェアキットを迅速に特定してシャットダウンし、その成功を経営陣に報告しています。「より深く掘り下げて、リスクに基づいた高レベルのインサイトを提供する専門的なレポートを作成し、尊敬される学術グループに支えられていることは非常に強力です」とStasio氏は言います。

チームは脆弱性管理の取り組みを合理化し、正当化する目的でも脅威インテリジェンスを利用しています。「IT部門にインフラストラクチャを停止させるのは、たとえ1分のパッチ適用でも非常に困難です」とStasio氏は述べます。「Recorded Futureを使用すると、実際にリスクをもたらす脆弱性に優先順位を付けることができるため、『これらの10,000件の脆弱性のうち、次の10件に特に注力する必要がある』と言えるようになります。」

結果

Stasio氏は、Recorded Futureを利用してチームの成果を確証を持って数値化できます。「脅威インテリジェンスを使用して脅威の重要度とコンテキストを理解することで、平均対応時間を10分の1に短縮できました。」

同氏は続けます。「私はインシデントレスポンスを3つのステップで捉えています。最初のステップが問題の確認または否定。2つ目のステップが範囲と規模の特定。そして最後のステップが修復と現状復帰です。誤検知の確認や否定に、脅威インテリジェンスは必須です。インシデントが実際に問題であるか確認し、関連するコンテキストを付け加えるまで、他に何もできません。単なるランダムなドライブバイマルウェアなのか、それともネットワークに侵入しようとする高度で持続的な脅威なのか。それによって対応方法や、費やす時間、そして特定のアラートに対する取り組みの注力度が決まります。脅威インテリジェンスは、このプロセス全体において真の要となっています。」

今後の見通し

DuPontはアジア、ヨーロッパ、米国にオフィスと製造施設を構え、研究センターと工場内にはSCADA（監視制御とデータ取得）ネットワークが導入されています。世界中に物理資産とデジタル資産を数多く有しているため、大規模な新たな脅威に対する防御と対応には自動化が不可欠です。チームが自動化の取り組みを進化させるにつれ、Stasio氏はチームがすでに使用している自動化ツールにRecorded Futureの脅威インテリジェンスを直接統合する予定です。ワークフローを中断することなく、より効果的で迅速な意思決定が期待できます。