Intel Securityの脅威調査部門であるMcAfee Labsは12月13日、2016年第3四半期の脅威レポートを発表した。今回は、企業のセキュリティ オペレーション センター(SOC)の現状に関する考察や、2016年に猛威を振るったランサムウェアの進化の詳細、そして、正規のソフトウェアをトロイの木馬に感染させ、それを悪用して長期間潜伏し検知を逃れるマルウェアがいかにして作成されているか、などのほか、2016年第3四半期のランサムウェア、モバイル マルウェア、マクロ マルウェア、Mac OSマルウェア、その他の脅威の増加率など、最新の動向を報告している。マカフィーが12月20日、日本語版全文と概要を公開した。
主な内容は以下の通り。
- 2016年のSOCの現状
Intel Securityは2016年半ば、企業によるSOCの利用方法やSOCのこれまでの変遷、そして、将来的なSOCの形について理解を深めるため、さまざまな地域、業界、企業規模の会社から400人近くのセキュリティ専門家に聞き取り調査を実施した。その結果からは、以下のような状況が見えている。
・膨大なアラートの量:地域や規模を問わず、組織は平均で全体の25%のセキュリティアラートを十分に調査できていない。
・優先度判断の問題:大多数の回答者が大量のセキュリティアラートに忙殺されていることを認めており、93%近くの回答者が潜在的脅威の優先度を適切に判断できていない。
組織内のセキュリティ/脅威アラートでトリアージを行っていない割合
・インシデントの増加傾向:67%の回答者が、攻撃数が増加したか、監視能力の向上により、セキュリティインシデント数が増加したと回答した。
・増加の原因:インシデント数が増加したと答えた回答者の57%が攻撃の数そのものが増えたことを原因と考えている一方で、73%は攻撃検知能力が向上したことが原因だと考えている。
・脅威の兆候:過半数の組織(64%)は通常、アンチマルウェア、ファイヤーウォール、侵入防止システム(IPS)など、従来型のセキュリティ制御ポイントから脅威検知の通知を受け取っている。
・事前対策と事後対応:過半数の回答者は、事前対策型の最適なセキュリティ運用という目標に向かって進化していると主張する一方で、回答者の26%は、セキュリティ運用、脅威の追跡、インシデント対応にその場しのぎの対応を行う事後対応型の取り組みに留まっている。
・敵対者:2015年に行った調査では、回答者の3分の2(68%)以上が、外部からの標的型攻撃や関係者による内部からの脅威を経験している。
・セキュリティ調査を実施する理由:回答者は、セキュリティ調査を実施する理由として、マルウェア全般によるインシデント(30%)、 マルウェアによる標的型攻撃(17%)、ネットワークに対する標的型攻撃(15%)、関係者の不注意による情報漏えい/脅威の可能性(12%)、悪意ある関係者の脅威(10%)、国家組織からの直接的な攻撃(7%)、国家組織からの間接的またはハクティビストによる攻撃(7%) と回答。
アンケートの回答者は、SOCの発展や投資で最優先されるべきことは、再発防止に向けた連携、復旧、根絶、学習など、特定された攻撃への対応能力を向上させることであると回答している。