EDR ってなんでしょう?
EDR(Event Detection and Response)感染や侵入を検出し対応するIR(Incident Response)時に必要な機能です。
ERDにおいて必要な要素は:
- アンチマルウェア等のシグニチャで見つけられない、もしくは後になってから発見される兆候について調べるためのシステム
- マルウェア等の検体を検出した際に解析を行うためのサンドボックス システム
- マルウェアの拡散状況の把握、隔離、攻撃に必要なネットワーク通信をユーザが制御するためのシステム
単一の製品で実現できなくても、これら3つの要素を実現するためのシステムが EDR に必要不可欠です。それではもう少し各要素についてブレイクダウンしてみましょう。
1. アンチマルウェア等のシグニチャで見つけられない、もしくは後になってから発見される兆候について調べるためのシステム
シグニチャ検知にはどうしても漏れが存在します。それを補うための振る舞い検知や侵入兆候を把握するための製品や、ネットワーク レベルで検出する IPS(侵入防御システム)、問題のある IP アドレスへのアクセスを検出するための FW(ファイアウォール)、様々なテレメトリ情報を用いAIやコグニティブ コンピューティングで解析する方法等、この要素にはいろいろな手法が用意されています。
FWやIPS、Proxyログ等は、検知できなかったマルウェアの行動を検出するためにとても有効な手法です。ただし大量に発生する通信ログを 1 つ 1 つ調べるというのは、時間的にも現実的ではありませんし、これらのログと対比するための Security Intelligence 情報がどうしても必要になります。例えばシスコの場合は、Cisco Talos のように大規模なセキュリティ情報の収集インフラを持ち、そこで収集される様々な情報を製品に反映してお客様が簡単に利用できるようにしています。平行してシスコのセキュリティ製品をお持ちでないお客様に対しても、Talos のサイト上でクロスリファレンス可能な様々な Reputation 情報を提供しています。これにより、通信ログの中で着目すべき“疑わしい”通信が検出されます。
その通信の中には水際のクライアント製品(アンチマルウェア)で検出できなかった未解決の問題を見つけることが可能です。
また1:1のマッチングをすり抜けてしまう攻撃も近年増加していることから、膨大なテレメトリ データから異常を検出するための AI やコグニティブ コンピューング、ディープ ラーニング等のソリューションもあります。シスコの場合は Cognitive Threat Analytics(CTA)(現在はCognitive Intelligence と名称変更されています。https://cta.eu.amp.cisco.com/)というクラウド サービスを提供しており、人手で見つけることが難しい大量テレメトリ データのディープ ラーニングとクロスリファレンスを自動的に行って必要な結果だけを提供することで、日々の運用を軽減できるようにしています。
シグニチャ等で検出されるイベントは通常は自動的に対応されているため、アノーマリやディープ ラーニング等で検出されるイベントから EDR を行う必要があります。将来、テクノロジーの進歩によってこの部分が自動化される可能性はありますが、現時点のテクノロジーでは人手による追加の検証が必要になっています。
次にホストまで特定できた場合、そのホストの内部を詳細に調査するためのシステムも必要となります。システム内部の可視化はマルウェアと思われる検体の特定をする上で必要な要素となります。もちろんホストが特定された時点で対象ホストの OS を初期化してしまうことで全ての疑わしき要素を消し去ることは可能です。しかしマルウェアを特定せずに初期化してしまうと、次の感染活動や、現時点で発覚していない未検出の問題を放置することになってしまいます。システム内部の可視化は、ファイルの動きや怪しい宛先への通信を行うことで未検出のマルウェア候補の絞り込みに対して有効な手法となります。
2. マルウェア等の検体を検出した際に解析を行うためのサンドボックス システム
何らかの理由でマルウェア候補が発見されたとします。例えば、ファイル サーバに通常の命名規則とは異なるファイルが見つかった、あるいは PC で動いている原因不明な高負荷プロセスの元となるファイルなどです。この際、マルウェアかどうかを識別する最も簡単な方法は、対象ファイルを他ベンダーのアンチマルウェア製品(例:VirusTotal)で判定してみるというものです。その候補ファイルを発見した時点では、現在利用しているアンチマルウェア製品では検出していないので、第三者の判定結果を基に判断するのは有効な手法の 1 つとなります。
しかし、ここでお勧めしたいのは、現在利用しているアンチマルウェア製品のベンダーが提供しているサンドボックス環境を利用することです。同ベンダーのサンドボックスを利用するので、マルウェアの可能性が高いと判定された場合、これがそのまま現在利用しているアンチマルウェア製品の検知リストにスムーズに追加されるため、とても効率的です。もちろん異なるベンダーのサンドボックスを利用して判定した後、検体をアンチマルウェア ベンダーへ提供することで、それを解析してシグニチャ化してもらうという方法もあります。しかし、よりスムーズに対応を行うのであれば同一ベンダーを使うほうがいいでしょう。
サンドボックスでは、サポートしている OS 種別のバリエーションや実行環境をお客様の国や環境(日本で使っているグローバル IP を使用した通信など)に合わせて動作させることができます。また実行中にユーザが任意に環境を操作できる機能が実装されているので、より正確な検査が可能となります。最近のマルウェアは必ずインターネットと通信を行います。情報を盗み出す際、ランサムウェアで使用される暗号化キーの交換などが代表的なマルウェア通信です。通信に使用されるドメインや IP 等に対して適切な Reputation 情報のクロスリファレンスを行う機能は効果的に機能します。特にドメイン情報は、近年のマルウェア通信においてとても重要です。分かりやすい固定 IP の場合、ファイアウォール等で簡単に検出されてしまうことから、攻撃者は DGA(Domain Generating Algorithm)等を使い、短時間だけ実在するドメインをクリーンな IP のサーバへ紐付け利用します。ここで、マルウェアかどうかを判定する以外に、そのマルウェアが実行された場合にどのような通信先へアクセスを試みるかもリストアップしておけば、3の処理を効率的に行うことができます。
3. マルウェアの拡散状況の把握、隔離、攻撃に必要なネットワーク通信をユーザが制御するためのシステム
1 および 2 の方法で対象のマルウェアを特定した後は、拡散状況の把握と隔離及び継続的な対応になります。
まずは、該当ファイルがまだ活性化していない状態でお客様のネットワーク内に存在しないかを調査するための仕組みが必要となります。ファイル名で検索するという方法もありますが、より正確に行うためには SHA-256 等のハッシュ値で検索できるなら、より正確な調査が可能となります。マルウェアのなかには、再感染する際に自身を複製する時点でファイル名を変更する機能を有しているものもあります。単純なファイル名だけでは、検索漏れが発生する可能性が高いです。もちろん複製を行う場合に自身を変異させてしまうマルウェアも存在します。
さらに通信する先は同じドメインや IP を使用することから、ドメインの制御や IP のフィルタリング機能も有しているシステムが必要となります。理想的なのは 1 つのコンソールで可視化や検索が行え、その後の隔離や IP 等の制御機能を装備したシステムです。このような製品が、運用コストを減らす上でも有効となります。
現在 EDR に興味を持たれているお客様が様々な製品を検討されていることと思います。その際、以下の様な要素を中心として PoC(Proof of Concept、有効性の確認テスト)を実施してください。
- マルウェア情報を調査するにあたり、Intelligence情報を保有しているか?(多くの場合、製品に内包して提供する物もありますが、IP、ハッシュ、ドメイン等のReputation情報を提供していると有効である)
- アノーマリ的な検出要素を持っているか?またAI、コグニティブ コンピューティング、ディープ ラーニング等の大規模なテレメトリ データを用いたクロス解析を行うインフラを提供しているか?(単純なアノーマリだけでは、見つけられない物も大量のデータを比較解析することでより詳細な検査が可能)
- 可視化機能を提供しているか?システム内部の可視化、内部全体の可視化などを効率的かつ簡単に操作できるツールを提供しているか?
- サンドボックス機能に関しては、アンチマルウェアを提供するベンダーが提供する物が効率的である。操作方法だけでなく、細かな OS の変更やユーザによるサンドボックス内への操作機能等が安全に行えることが重要。
- ハッシュや IP 等での継続対策が容易に行えるか?
PoC を実施する際、多くの場合、マルウェア サンプルなどを大量に集めて検出できるかどうかというEPP(Endpoint Protection Platform)と同じ方法を行ってしまいがちです。しかし、このような危険を冒さなくても、何か安全な EXE ファイルを実行する、そのファイルがテスト環境のどこに存在するかを素早く検索する機能を評価することで、EDR の PoC は実行できます。今までの EPP の PoC 手法とは全く異なるということは念頭に置いて評価してください。サンドボックスは安全な環境なので実マルウェアを解析して挙動解析を行うことは有効ですが、くれぐれも実マルウェアの取り扱いはご注意ください。
Tags:
