脅威ハンティングの価値
この記事は、シスコ セキュリティの脅威インテリジェンス アナリストである Ben Nahorney によるブログ「The Value of Threat Hunting」
(2019/09/09)の抄訳です。
セキュリティ侵害は最も堅牢なセキュリティ環境であっても起こりうることです。セキュリティ侵害の多くは、過小評価または見落とされている弱点をすり抜けてきます。セキュリティ専門家にとっては屈辱的な出来事ですが、実際に発生しているのも事実です。
今回使う例は警鐘を鳴らしつつ、改善策についても焦点を当てています。脅威ハンティングでは防御網をすり抜けて環境内に潜む脅威を探します。今回は、そうした脅威ハンティングがなぜ重要であるかをご説明します。脅威ハンティングの詳細については、シスコ サイバーセキュリティ シリーズの最新レポート『隠れた脅威を探す:セキュリティプログラムに脅威ハンティングを取り入れる』もご覧ください。セキュリティ侵害は誰にとっても好ましくない出来事ですが、残念ながら今日の脅威環境では誰にでも起きる可能性があります。
潜む脅威
ある日の夜のことです。Netflix を観ていた山田さん(仮名)は、画面のコマ落ちが異常に多いことに気付きます。自作のホームシアター PC で Netflix を再生していますが、ストリーミングで過負荷がかかっているようです。この PC は長年使っているため古くなっていると考え、買い換えの計画を練り始めます。
しかし実際には、クリプトマイニングがバックグラウンドで実行されています。脅威が検出されずにネットワークに侵入していたのです。しかも今になって悪影響が出始めています。
同じような影響は他の要因によっても発生しますが、脅威ハンティングを実施する良いチャンスです。脅威ハンティングでは疑念や理論の検証から始めるとよいでしょう。たとえば画面のコマ落ちが目立つ場合はクリプトマイニングが疑われます。大規模ネットワークでは、同様の異常が複数のユーザから報告されるかもしれません。こうした報告は脅威ハンティングの開始点となります。夜間に PC が勝手に起動する、短時間でアップロード量が爆発的に増える、到達不能な Web サーバに頻繁にアクセスする、などの場合はデータ漏えいや DDoS 攻撃が疑われます。これらはいずれも脅威ハンティングを始めるべき兆候です。
どの兆候も攻撃(脅威)以外の要因で起きうることです。ただし脅威ハンティングには、よりバランスの取れたアプローチが必要です。ことごとくマルウェアが原因だと考える必要はありませんが、マルウェアの可能性を早急に捨て去るのは危険です。
しかし山田さんは後者でした。自宅の小規模なホームネットワークではセキュリティが十分だと考えていたからです。自宅のルータはファイアウォールを搭載し、ディープ パケット インスペクション(DPI)にも対応しています。問題のホームシアター PC は異なるサブネットにより他のデバイスと分離され、最新のエンドポイント保護も導入済みです。確かにネットワークは保護が万全です。
しかし最大の過ちは、ホームシアター PC 自体の保護が手薄だったことです。PC の OS は Linux でしたが、それゆえに「隠蔽によるセキュリティ(security through obscurity )」の犠牲者になっていました。Linux PC を保護するためには、ネットワーク内に新しいセキュリティポリシーを実装する必要があったのです。
脅威ハンティングの目的
脅威ハンティングの目標は包括的です。脅威の発掘だけでなく、防御態勢を強化するためのポリシーと戦略を実装することも含まれます。逆に言えば、脅威ハンティングの成功と脅威の発掘は直結していません。むしろ、対処が必要な弱点を特定することが真髄だと言えます。
山田さんは、疑いを持って脅威ハンティングを始めるべきだったと後悔を述べています。しかしクリプトマイニングの兆候だと夢にも思わなかった当時は、脅威ハンティングの発想に至りませんでした。適切なログの保存が大切な理由は、まさにここにあります。見えないものを検出することは不可能だからです。ログなどの監視手段が有効でなく、環境内のシステムを可視化できないのであれば、セキュリティの欠如(露出)を正確に評価することが困難になります。
ただし最近シスコに入社した山田さんは、折しもホームネットワークで Cisco Umbrella を展開できました。DNS 設定を Umbrella サーバに切り替えてから約 1 日後にログを確認すると、脅威の存在が明るみに出ました。既知のクリプトマイニングサイトに接続を試みるアクティビティが自宅ネットワーク内から検出されたのです。
クリプトマイニングによるアクティビティ(Cisco Umbrella からのデータ)
脅威ハンティングの実施後
脅威ハンティングは「脅威の特定」から「修復」ステップに移ります。ホームシアター PC でプロセスモニタを開いたところ、ホームフォルダとブラウザの temp フォルダに、ランダムな名前が付いたファイルを 6 つ検出します。これらは CPU リソースの大部分を消費しています。そこで各ファイルの権限をすべて奪ったところ、クリプトマイニングのアクティビティが消滅します。同時に画面のコマ落ちも解消しました。
脅威ハンティングの後は、再発防止のポリシーを導入することが重要です。戦略や自動化の導入も欠かせません。山田さんのケースでは戦略や自動化の導入を Umbrella が担いました。ただし万全を期すため、システム全体を消去した上で、セキュリティが強化された Linux ディストリビューションをインストールし、Cisco AMP for Endpoints を導入しました。
脅威ハンティングの「脅威の特定」ステップでは、同様の兆候がないか他のシステムを確認することも重要です。クリプトマイニングファイルのハッシュ値といった侵害の兆候(IoC)を収集し、他のシステムでも存在していないか確かめる必要があります。
得られた教訓
一連の体験を経て山田さんのセキュリティ態勢が改善されました。しかし、これで十分だとは考えていません。今回の教訓を活かして、既知の IoC がないか Cisco Threat Response などのツールにより環境内を入念に確認しています。ログの保存を有効にして、異常なアクティビティを検出できる態勢も整えました。
山田さんの例は誰にでも起こりうることです。脅威が防御網を通り抜ける可能性は常にあるからです。今回のケースは 1 台の PC に潜むクリプトマイニング ソフトウェアでしたが、大規模なネットワークに脅威が潜んでいれば被害の大きさは計り知れません。このような理由から、今日のセキュリティ環境における脅威ハンティングは非常に重要なのです。
脅威ハンティングの詳細については、最新のホワイトペーパー『隠れた脅威を探す:セキュリティプログラムに脅威ハンティングを取り入れる』をご覧ください。この中では、脅威ハンティングの内容や、他のセキュリティプラクティスとの比較、組織内で脅威ハンティングを始める方法などについて詳しく解説しています。
Tags:
