サイバーセキュリティ大手の米Palo Alto Networksは20日、イベント「2021 Symphony」をスタートし、創業者兼CTOのNir Zuk氏がプラットフォームによるサイバーセキュリティへのアプローチを取る利点を強調した。「1団のオーケストラが調和して機能すれば、交響曲が生まれます」と氏は言う。「サイバーセキュリティも同じです。異なる製品を統合して連携させようとしても、もはやうまくいきません。私たちには交響曲が必要です。1つのソリューションが必要なのです」

これに対するPalo Alto Networks社の解決策が「Cortex」だ。セキュリティオペレーションセンタープラットフォームであり、SOAR（security operations, automation, and response）とXDR（extended detection and response）を組み合わせたものだ。Zuk氏によると、Cortexはセキュリティオペレーションセンターのプロセスだけでなく、脅威ハンティングやインシデント対応も自動化できるという。「セキュリティオペレーションセンターを自動化しなければ、業界としてもベンダーとしても行き詰まってしまい、お客様を守ることができなくなってしまいます」と氏。「そこで私たちはCortexを開発しました。Cortexの背景にあるビジョンは、セキュリティオペレーションセンターが自律的に機能するようにすることです」

Zuk氏の説明によると、CortexのSOAR部分ではルールブックを使ってセキュリティオペレーションセンターのワークフローを自動化しており、XDR部分ではネットワークやエンドポイント、クラウドなど顧客のインフラ全体からデータを収集し、機会学習を使ってそうしたデータを分析、脅威を検知しているという。「当社では、この目的のためにはEDR、NTA、UEBAなどのように1度に1つのデータソースからデータを収集しようとするのではなく、インフラ全体からデータ収集を行うべきだと考えています」と氏（なお、これら3つの略語は、Endpoint Detection and Response（エンドポイントでの検出・対応）、Network Traffic Analysis（ネットワークトラフィック分析）、User and Entity Behavior Analytics（ユーザとエンティティの振る舞い解析）を指している）。機械学習ベースのXDRは「攻撃を探知する唯一の方法であり、攻撃を調査するとなればなおのこと唯一の方法であることは間違いありません」とZuk氏は言う。

この目的のためにPalo Alto Networks社はXDR技術を着実に構築してきており、その一環として攻撃対象領域管理ベンダーのExpanse社を6億7000万ドルで買収している。その後、同社の技術をCortexに混合した。

Palo Alto Networks社のCEO、Nikesh Arora氏は直近の決算発表の席で、昨年末にSolarWinds製品がクラッキングされた事件の際、Palo Alto Networks社のインフラはCortexのXDRによって守られたと述べている。「Cortex XDRは、行動脅威保護機能によって、Palo Alto Networksに対するSolarStorm（攻撃グループ）からの攻撃を瞬時にブロックしました」と氏。「Cortex XDRにイノベーションが織り込まれていくペースは速く、私たちはその点を楽観視しています」

Symphonyイベントに話を戻すと、Zuk氏は開会式での基調講演の最後、XDRからの挑戦状を投げつけた。「EDRのようなものは、まったくばかげたアイデアです」。「一度に1つのデータソースだけに集中しようとするのは、本当にばかげています」

Unit 42に新しいチーフが就任、コンサルティングも強化

同じく開会式の基調講演で、Palo Alto Networks社のサイバーコンサルティング・脅威インテリジェンス担当SVPを務めるWendi Whitmore氏が新しいサイバーセキュリティコンサルティングチームを発表した。同社の脅威ハンティングチーム「Unit 42」と、傘下のCrypsisグループのセキュリティコンサルタントやインシデント対応スペシャリストを混合したチームだ。Palo Alto Networks社は昨年夏、Crypsisグループを2億6500万ドル（約290億円）で買収している。

Whitmore氏自身、Palo Alto Networks社では比較的新参の人物だ。入社以前はIBM社で脅威ハンティング製品「X-Force」グループのVPを務めていた。Palo Alto Networks社では、今回新たに拡大したUnit 42を率いることになる。

このグループの名前はSFシリーズ『銀河ヒッチハイク・ガイド』に登場する42という数字にちなんだもので、「生命・宇宙・万物に関する究極の問いへの答え」を（サイバー脅威の分野で）提供することに専心していることから来ている。

Whitmore氏によると、Crypsisグループのセキュリティコンサルタントは年間1,300件以上のインシデントに対応しており、2014年に設立された脅威研究チーム「Unit 42」は、世界中の政府としばしば提携しサイバー犯罪に立ち向かっているという。

「Crypsisチームはワールドクラスのデータ侵害調査を行うというミッションにレーザーのように集中しており、Unit 42チームはPalo Alto Networksの検知に脅威インテリジェンスを迅速に組み込むことに何年も前から注力しています」と氏。

Unit 42の脅威インテリジェンス担当VPを務めるRyan Olson氏によると、新しい混合チームではプロアクティブなセキュリティサービスを導入するとともに、インシデント対応サービスをアジア、欧州、中東の各国に拡大していくという。

「私たちは現在、ランサムウェアのインシデントにどのように備えるか、ネットワークに侵入してくるさまざまなタイプの不正行為にどう備えるかといった観点から、もっと多くのプロアクティブなものを提供したいと考えています」。それはPalo Alto Networksの製品やサービスを利用してこれらの状況にどのように備えるかということでもある、とOlson氏は説明する。

「事が起こってからの除去作業に重点を置くのではなく、これを組み込むことでどう侵害を防ぐためのより良い備えができるかということです」

https://www.sdxcentral.com/articles/news/palo-alto-networks-nir-zuk-edr-is-really-stupid-idea/2021/04/