Challenges
- セキュリティスタック全体にわたる可視性が限られていたため、既存のツールがクラウド、ネットワーク、その他のインフラストラクチャレイヤーにわたって脅威を見逃していたため、検出範囲にギャップが生じていました。
- 世界中の製造拠点に5,000人以上の従業員が分散しているため、アクトンの本社に拠点を置く一元化されたC&Sチームは、分散した場所にわたるセキュリティの管理において、調整に伴う多大なオーバーヘッドに直面していました。
- アラートノイズと誤検知がアナリストを圧倒し、クリティカルアラートとハイアラートに注目せざるを得なくなりました。重大度が中程度または低いアラートは日常的に却下されていたため、根本的な問題や早期警告のシグナルを見逃していました。
- 既存のセキュリティツールでは、コンテキストと修復の可視性が不完全でした。既存のツールは悪意のあるコードの実行をブロックしましたが、デバイスは侵害されたままだったため、修復の成功を広範囲にわたって手動で検証する必要がありました。
- 脅威を効果的に修復するには、セキュリティチーム、ITチーム、インフラストラクチャチームを含む複数のチーム間の調整が必要であり、コミュニケーションのボトルネックが生じ、インシデント対応が遅れました。
- 彼らの平均調査時間は、アラートと解決あたり平均3時間で、グローバル事業全体で脅威への対応が大幅に遅れ、アナリストのボトルネックとなっていました。
- 企業の成長軌道に合わせてSecOpsの人員を増やすことは、持続可能でもなく、費用対効果も高くありませんでした。
Solutions
- Exaforceは、エンドポイント、ファイアウォール、クラウドサービス、CDNを包括的に可視化し、カバレッジギャップを解消し、統一された脅威検出を実現します。
- 一元化されたAI SOCプラットフォームは、世界中のすべての場所で可視性を統一し、調整のオーバーヘッドを排除し、中央セキュリティチームが単一のコンソールから5,000人以上の従業員の脅威を管理できるようにします。
- 自動トリアージにより、すべての重要度レベルで重要な調査結果を高めながら、誤検知を大規模に除外しました。これにより、ノイズが 91% 削減され、優先度の低いアラートに隠れた根本的なセキュリティ問題が解消されました。
- Exaforce は、最初のブロッキングアクションにもかかわらず侵害されたままのデバイスを特定し、十分に強調されていない調査結果と完全な修復方法を検証しました。
- ヒューマン・イン・ザ・ループ制御による自動応答ワークフローにより、セキュリティチーム、ITチーム、インフラストラクチャチーム間の調整が合理化され、封じ込めが促進され、コミュニケーションのボトルネックが解消されました。
- Exabotsは、AIを活用した分析により迅速で決定的な判断を下すことで、アラート1件あたりの平均解決時間を3時間から10分に短縮しました。
- AI主導の自動化により、それに比例して人員を増やすことなくSOC機能が提供され、大幅なコスト削減につながりました。
グローバル・ネットワーキング・リーダーのSOCパフォーマンスの向上
アクトンテクノロジー は、ネットワークソリューションの大手プロバイダーであり、世界中の企業に高性能インフラストラクチャを提供しています。複数のクラウドや SaaS プラットフォームにまたがる運用環境と高度な環境の中で、セキュリティチームは警告の量や分散型インフラストラクチャの保護の複雑さから、高まるプレッシャーに直面していました。
Exaforceを導入する前、AcctonのSOCアナリストは、正当な脅威がノイズに埋もれてしまうリスクがある一方で、最終的に無害であることが判明したアラートの調査にかなりの時間を費やしていました。チームはセキュリティの管理を第三者に任せていましたが、調査にはアラート1件あたり平均3時間かかり、ボトルネックとなってグローバル事業全体での対応が遅れました。フィッシングの標的になることが多いアクトンのセキュリティチームも、絶え間なく続くメールや認証情報の盗難の音をふるいにかける必要がありました。Exaforce を使うと、どのフィッシングの疑いが本物で対処が必要かをすばやく特定できるため、実際のインシデントがバックグラウンドで失われることがなくなります。
ExaforceのAI SOCプラットフォームの導入は、すぐに運用上の変化をもたらしました。Exaforceは、アクトンの既存のセキュリティスタック (PANW NGFW、Microsoft Defender、AWS、Microsoft EnTraid、Cloudflareを含む) と統合することで、以前は断片化されていたテレメトリを明確にする統合検出および調査レイヤーを構築しました。このプラットフォームの AI 主導型の自動トリアージ機能は、初日からアラートをフィルタリングし始め、分析結果がアナリストに届く前に自動的に検証してコンテキスト化していました。
数週間以内に、セキュリティチームは誤検出と調査時間を大幅に削減しました。以前は手作業による調査に何時間もかかっていたアラートが、Exaforce が明確な判断と裏付けとなる証拠を提供することで、自動的に優先順位付けされるようになりました。誤検出ノイズが 91% 減少したことで、アナリストは架空のインシデントを追いかけるのではなく、専門知識を真の脅威に向けることができるようになりました。さらに重要なのは、Exaforceがアラート1件あたりの平均調査時間を3時間からわずか10分に短縮したことです。AIを活用した分析により、迅速で決定的な判断が下され、SOC全体の対応が加速しました。
Exaforceの検出機能は従来のツールを超えたもので、他のシステムでは見落とされたり、誤って分類されたりしていた発見が増えました。Microsoft Defenderが悪意のあるアクティビティをブロックした場合、Exaforceは修復が実際に完了したことを検証しました。このプラットフォームは、最初にブロックした後もアクティブなマルウェアに感染したままのデバイスを特定し、これらの情報レベルの調査結果を、より詳細な調査を必要とする持続的な脅威として浮き彫りにしました。これにより、修復が不完全になるリスクがなくなり、脅威を一時的に封じ込めるだけでなく、完全に排除できるようになりました。
このプラットフォームの機械学習主導型の検出アプローチは、従来のツールでは広範囲にわたるカスタムルール開発が必要だった疑わしいアクティビティパターンを特定するうえで、特に有用であることが証明されました。Exaforceは、Acctonのクラウドとネットワーク・インフラストラクチャーの盲点に隠れていた脅威を浮き彫りにしました。同時に、その包括的な可視性は、既存のプロバイダーが提供していたエンドポイントに焦点を当てた対象範囲をはるかに超えていました。
Exaforceの調査機能は、Acctonのチームが脅威ハンティングと調査に取り組む方法を一変させました。自動化エージェントは基本的なタスクと標準的な脅威ハンティングのワークフローを引き受けるため、アクトンのアナリストはより深い調査やより高度な脅威ハンティングに集中できるようになりました。クラウドサービス全体で統一された可視性により、アナリストは、以前は複数の異なるコンソールにアクセスする必要があったコンテキストに基づいて、クラウドリソース間を移動したり、水平方向の動きを追跡したり、異常を調査したりできるようになりました。また、プラットフォームの自動化エージェントは、ヒューマンインザループ型の自動修復ワークフローを実装することでインシデント対応を改善し、封じ込めを劇的に加速しました。
運用面での影響は、アラートの削減や調査の迅速化にとどまりませんでした。Exaforce は、検出、トリアージ、調査、対応という最も時間のかかる作業を自動化することで、アナリストの作業時間を毎月何十時間も解放しました。この時間は、戦略的なセキュリティイニシアチブとプロアクティブな防御に振り向けることができます。アナリストが詳細な調査を必要とする未処理のイベントではなく、事前に検証されたコンテキスト豊富なアラートを受け取ったため、応答時間が短縮されました。重要なのは、これらの成果は、従来のアプローチではアナリストの雇用を増やすことで必要だった人員を増やすことなく達成できたことです。
Accton TechnologyのCISO兼CIOであるポール・キムは次のように述べています。「Exaforceは、AWSとAzureの脅威の検出と対応をAIで強化することで、当社のSOCの有効性を大幅に向上させました。「サードパーティアラートの自動トリアージとルールフリーの検出により、対応が合理化され、数十時間の節約になり、チームは脅威の軽減に集中できるようになりました。また、探索機能によりすべてのクラウドサービスの可視性が向上しました。」
Exaforceのプラットフォームは、セキュリティ業務全体を強化しました。インテリジェントな検出、自動トリアージ、強力な調査ツール、自動対応ワークフローを組み合わせることで、Acctonのチームは、手動で実現するには人員を大幅に増やす必要があったであろう能力を身につけました。その結果、アナリストの作業負荷を比例して増加させることなく、会社のインフラストラクチャの拡大に合わせて拡張できる、応答性が高く効果的なSOCが実現しました。
