インシデントレスポンスは、企業がサイバー攻撃に対応するための手段を指します。インシデントレスポンスを実施することで企業への損害を最小限に抑え、復旧時間とコストならびに企業の持つブランドなどに対する付随的な被害を最小限にすることが目的です。
そのためインシデントレスポンスのゴールは、攻撃を迅速に特定し、その影響を最小限に抑え、被害を封じ込め、最後にインシデントの根本原因を特定して修正し、将来のインシデントのリスクを減らすことになります。
セキュリティ研究機関のSANS Instituteでは効果的なインシデントレスポンス実施のための6つのステップを提唱しています。
避けられないセキュリティインシデントへの準備をするために、ポリシー策定からインシデントレスポンス方針、マニュアル作成から組織づくりまでを指します。
万が一インシデントが発生した場合に各種ツールからインシデントに関連するイベントを集めてインシデントの検出・特定を迅速に実施します。
検出されたインシデントを封じ込め、それ以上の損害を防ぎます。それと同時に後に必要となるかもしれないインシデントに関する情報を保護します。
根絶に向け被害を最小限に抑えながら脅威を取り除き、影響を受けたシステムを復元します。
システムが健全かどうかテストや検証を行い実施します。
将来のインシデントに備えレビューや資料化等を行います。
Carbon Black の CB Defenseでは上記6ステップの内②から⑤で利用できます。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら