Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

同じ「看板」掲げても異なるセキュリティ対策製品

「EDR」への期待と実装のギャップが表面化した事例のひとつを紹介してみたい。インシデント発生時の緊急支援サービスを展開しているセキュリティベンダーのラックが現場で経験したケースだ。

「EDR」が導入されているとして支援にあたったところ、被害環境で運用されていた製品は、アラート発生時の前後に限ってログを取得する仕様だった。インシデント対応の観点でレスキューチームが期待していた平時のログデータは取得されていなかったという。

同ケースでは、調査にあたり端末のディスク全体に対するフォレンジックが必要となり、準備を含めて2週間以上を費やすこととなった。平時のログデータが確保されていれば、2日程度で調査が完了したと同社では見ている。

もしインシデントが発生したこの組織が、「EDR」を導入してさえいれば、いかなる場合もインシデント対応時間を大幅に短縮できると期待していたのであれば、予想外の「タイムロス」であろう。

ひとくちに「EDR」といっても、監視や検知機能を主軸とした製品、ログ収集や調査に力を入れた製品、対応支援に強い製品、オールラウンドに機能を実装しようとした製品など、開発コンセプトもさまざまだ。それこそ「検知」や「対応」といった個々の機能をとっても一様ではない。

(Security NEXT - 2021/02/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

EDR運用サービスに復旧支援対応など追加 - NRIセキュア
Windows Server向け製品に新版、ネットワーク脅威対策を強化 - カスペ
CPU上の挙動でマルウェア検知、クラウド連携のSaaS型サービス
脅威情報や対策を提供する「MVISION Insights」 - マカフィー
MS 365の保護ソリューション、カレンダーにも対応 - エフセキュア
エンドポイント対策強化するサンドボックスとEDR - カスペ
スマートデバイス向けEDRをリリース - サイバーリーズン
EDRの調査や修正機能を強化 - ソフォス
EDRやクラウドSIEMなど含むMDRサービス - ラピッドセブン
脅威検知とレスポンスを自動化するEDRソリューション - フォーティネット