MITRE ATT&CKフレームワークを使用した評価では、10種類のEndpoint Detection and Response(EDR)ベンダ中、Cortex XDRとTrapsの組み合わせが「最も見逃された攻撃手法が少なく、最も多くの攻撃手法に対応している」ことが確認されました。
最も多くの攻撃手法に対応
MITREのATT&CKの結果によれば、Cortex XDRとTrapsは、さまざまな攻撃手法についての「エンドポイントでの可視化性能」と「対応範囲」についてベストという評価を受けました。
対応範囲については、136種類の攻撃手法について、テレメトリを収集できるか、リアルタイムでアラートを生成できるか、脅威インテリジェンス情報を拡充できるか、という性能評価にとくに重点が置かれています。
テスト結果によれば、Cortex XDRとTrapsは136種類の攻撃手法のうち121種類に対応しており、これは全テスト対象ベンダ中で最大の対応数でした。
攻撃手法への対応数(高いほどよい)。
本チャートは、MITRE ATT&CK評価を使用してベンダの有効性を定量化するために
パロアルトネットワークスが作成したもの。
検出を自動化して攻撃見逃しを削減
検出を手動で行うと検出結果が矛盾したり検出に遅延が発生する可能性があります。このため弊社は脅威検出のプロセス自動化に努めています。今回は、MITREのテストで自動化アプローチの有効性が実証されたことになります。Cortex XDRとTrapsは、手動プロセスに依存する製品と比べ、検出できる攻撃手法の対応数で最も優れ、しかも検出遅延が生じませんでした。弊社は高度に自動化されたAIによるアプローチをとることで、対応できる攻撃手法の範囲を広げ、一貫性を高め、かつ遅延なく検出を行っています。
見逃された攻撃手法の数(低いほどよい)。
本チャートは、MITRE ATT&CK評価を使用してベンダの有効性を定量化するために
パロアルトネットワークスが作成したもの
Cortex XDRについて
Cortex XDRは、高度な攻撃を阻止するために、ネットワーク、エンドポイント、クラウドデータにネイティブに統合された、統合型セキュリティ プラットフォームCortex上で動作する最初のディテクション(検知)・調査・レスポンスSaaSアプリケーション製品です。本製品により、組織の平均攻撃検出/対応時間を短縮することができます。
なおMITREのテストは、特定バージョン製品のエンドポイントにのみ機能を限定して実施されており、その際、追加のマネージドサービスは利用されていません。パロアルトネットワークスは、ATT&CKフレームワークを開発した非営利団体MITRE Corpと協力し、検知・応答(EDR)製品の評価を行いました。
MITRE ATT&CKフレームワークは、さまざまな実世界の攻撃で攻撃者が使用した機能や技術の詳細についての一覧を提供しています。このフレームワークを使用し、組織はセキュリティ管理策の有効性・効率性を評価することができます。MITREの1回目の評価では、APT3グループの攻撃ベクトルが再現されました。MITREでは結果をそのまま公表しており、結果の採点やランク付け、定量分析は行っていませんが、Forrester Researchが当該の結果をスコアリングしやすくするスクリプト群を作成しています。そこで弊社では本スクリプトを利用して、Cortex XDRが攻撃手法の対応数、見逃し数、アラートについて、どのようにランク付けされるのかを説明しています。Forresterのスコアリング手法の詳細については、 Forresterのブログを参照してください。
結論
MITREは、幅広い検出・調査を対象として、セキュリティ運用チームがベンダ製品を評価するのに役立つ優れたフレームワークを開発しています。EDRプロジェクトをご検討中のお客様は、こちらの最新テスト結果に基づき、MITREのフレームワークやテストで使用された手法、結果について解釈する方法を理解するために、パロアルトネットワークスまでお問い合わせいただくことをお勧めします。
管理外デバイスやエンドポイントエージェントをインストールできないデバイスがある場合、脅威の検出能力に課題が生じます。そこで、エンドポイントデータをネットワークデータで補完することが重要です。そうすることで、自社のデジタルドメイン全体に脅威の対応範囲を拡大することができます。
Cortex XDRとTrapsは、そのビジョン実現に役立つ製品です。
なお、エンドポイント以外から収集されたデータを含めての評価を行うため、弊社はMITREに2回目の評価を依頼する予定です。
Cortex XDRとTrapsの詳細については、Cortex XDRの製品ページとTrapsの製品ページも参照してください。パロアルトネットワークスを含むすべての参加ベンダの完全テスト結果については、こちらを参照してください。