基本的なセキュリティ対策を超えて:積極的な防御策の導入
積極的防御策:主要な脅威から身を守るための重要なアプローチ
防御側が脅威インテリジェンスと環境テレメトリを積極的に活用して潜在的な侵害を明らかにすること、つまり積極的な防御態勢をとることで、サイバーセキュリティの成熟度レベルが向上します。検知機能がトリガーされるのを待つのではなく、防御側が先手を打って、環境内に侵入した攻撃者を追跡、捕捉し、攻撃者が目的を果たす前に悪意のある活動を食い止めるのです。
ランサムウェアによる侵害の場合、データ流出が起きるのが普通であり、事態が急激に進展することはありません。攻撃者はまずネットワークへの侵入口を見つけなければなりません。その後、目的の情報が保存されているデータベースを特定して情報を流出させ、最後にランサムウェアを展開するので時間が必要です。裏を返せば、積極的防御策が最大の威力を発揮するのは、すでにネットワークに侵入され、関連するアラートが出ず、攻撃者が標的のネットワーク内で悪意のある活動を実行し始めているときです。
脅威を定期的に追跡すれば、脅威検出の可能性は高まります。ただそれでも、防御側の方が分が悪そうです。確かに脅威追跡に利点はありますが、時間とリソースに限りがあり、追跡相手が不明なうえ、どのような活動を検出すればよいのか防御側で明確にできないことが少なくないからです。脅威追跡がルーチン化して担当者が環境に慣れてくれば、作業効率が高まり、得られる知見と分析結果の有用性が増し、防御側からの環境の可視性が向上します。
脅威を追跡すると、脅威検出のほかに、重要な成果が 2 つ得られます。
- 組織全体で防御の弱点を突き止められる。検出結果を深く掘り下げて分析することで、何がどのレベルで失敗したのかを把握できます。
- 防御側でネットワークを可視化する際の盲点を明らかにできる。脅威を追跡するというのは、入手した情報を分析し、本来あってはならないものを探し出すことです。また、防御側がアクセスする権利を持たない、潜在的に有用なデータを特定することでもあります。このようなアセスメントを行うと、環境の可視性のどのあたりを改善できるのか、有益な情報が得られます。
組織を最善の防御態勢に導く汎用性のあるアプローチや万能のソリューションはありません。むしろ、繰り返しながら大幅な改善を図る反復プロセスだと言えます。脅威追跡は、積極的防御策をサポートするだけでなく大幅に改善できます。特に、追跡結果を環境の改善に活用できれば、大きな成果が得られます。次のセクションでは、すぐに効果が出る方法をいくつか紹介します。積極的防御策の効果的なアプローチを導入する際に役立つものです。
DNS クエリのモニタリング
DNS(Domain Name System)クエリをモニタリングすると、独自の視点からネットワークで何が起きているのかを把握できます。まずは DNS クエリログを分析し、最近作成されたドメインがどの DNS システムで解決されたのかを突き止めるとよいでしょう。また、既知の悪意のあるドメインも分析する必要があります。これにより、防御の最前線の有効性を可視化できます。既知の悪意のあるドメインはすでにブロックされているはずなので、検出されなかったものを探し出すことがここでの目的です。
一方、侵害が発生してしまった場合は、DNS クエリログを情報源として活用することもできます。攻撃側がどのような行動をとったのか、またネットワークでどこまで悪意のある活動が展開されたのかを把握できます。
優先度の高いアラートの作成
誤検出アラートをほぼゼロに抑えながら、優先度の高いトリガーを導入できます。セキュリティイベントのモニタリングにリソースを無制限に投入できる組織はなく、セキュリティ オペレーション センターではアラート疲れが現実に問題となっています。優先度の高いトリガーを設定すると、セキュリティインシデントを排除することはできなくても、重大なイベントに焦点を当てることができます。これには、汎用的なトリガーとインテリジェンス主導型のトリガーの 2 種類があります。
汎用的なトリガーとは、異常な動作が発生した場合にアラートを出すように設計されたものです。通常は、攻撃者が足がかりを確立しようとしているときや目的の情報を探しているときにそうした異常な動作が確認され、トリガーが起動します。汎用的なトリガーには以下のようなものがあります。
- カナリアアカウント:組織が使用しているアカウントではなく、攻撃者をおびき寄せて、攻撃活動に使用させることを目的としたアカウントです。カナリアアカウントを使用したイベントが発生したら起動するトリガーを作成します。
- 管理者アカウントのモニタリングとアラート:新規に作成したアカウントに権限を追加する、すでに存在するアカウントのパスワードを変更するといったイベントをモニタリングとするとよいでしょう。
- ドメインコントローラと不明なシステムとのやり取り:ドメインコントローラの通信について、しっかりと把握しておく必要があります。ドメインコントローラから不明なシステムに向かう通信があれば、深く掘り下げて分析します。
- 重要なシステムでのデュアルユースツール実行のプロファイリング:攻撃者は、デュアルユースツールを使用して攻撃の検出を回避することがよくあります。重要なシステムから順に、デュアルユースツールの実行をプロファイリングし、異常な使用状況を検出して調査できるようにします。
- リモート管理ツール:この種のツールにはよく知られた使用パターンがあるので、いつもとは違う使われ方や異常な使われ方をモニタリングするとよいでしょう。
一方、インテリジェンス主導型のトリガーは、動的な戦術、手法、手順(TTP)を分析することによって作成されます。そのため、ここでは攻撃者の行動をアラートの対象とし、既知の IP やドメインのリストといった静的な侵害の兆候(IOC)は対象から外します。静的な IOC はすでに導入されている基本的なサイバーセキュリティツールで検出されるはずなので、インテリジェンス主導型のトリガーでは、攻撃者がよく利用する TTP の中で、自組織に適用できるものを対象とします。たとえば現在の環境で ConnectWise、TeamViewer、Anydesk を使用していないとします。いずれのツールも攻撃者によく使用されるため、実行されたら必ず優先度の高いアラートが生成されるようにモニタリングシステムにトリガーを作成します。防御側にこのようなアラートを作成する方法がなければ、盲点が見つかったことになります。このような課題は、組織のリソースと、注目を要する他の優先課題を考慮しつつ、優先的に解決する必要があります。
ディープアラートによる根本原因の分析
検出システムのログを分析する際に脅威ハンターが回答しなければならない質問の中で特に重要なものが「マルウェアはどうやってエンドポイントにたどり着いたのか」という質問です。このように、セキュリティアーキテクチャの最も内側の層から発生するアラートのことをディープアラートといいます。ディープアラートは、必ず分析しなければなりません。
組織のほとんどは、何重にも多層化されたセキュリティアーキテクチャを構築しています。エンドポイント防御システムで悪意のあるソフトウェアを検出してブロックできれば、防御側にとっては朗報です。また、これは脅威ハンターが組織内のセキュリティ課題を特定して改善する機会でもあります。何重にも多層化されたアーキテクチャがあるということは、実稼働システムと信頼できない環境との間に複数のセキュリティシステムが存在するということです。組織の最も内側にあるシステムで脅威が検出されて阻止された場合、それより外側にある複数の層で防御に失敗したことになります。
何がどのように失敗したかを突き止めるには、根本原因を分析することが欠かせません。継続的に改善を進めるうえで有益な情報が得られるからです。最初の感染がどうして起きたのか、その原因はいくつか考えられます。たとえば、どこか別の場所で侵害されたエンドポイントが組織の環境に接続された可能性があります。あるいは、ログイン情報が侵害され、その情報を使用して悪意のある VPN 接続が確立されたのかもしれません。
重要なシステムでの通信のモニタリング
優先度の高いアラートの中でも、重要なシステムの通信パターンは、情報流出の可能性を最初に示すアラートになり得ます。無限にリソースを持つ組織はなく、すべてのシステムが同じ価値を持つわけでもありません。ファイルサーバーを例にとると、多数のシステムと通信しますが、すべてのシステム/エンドポイントが短い時間に異常な量の情報を転送するわけではありません。あるいは、Google や Cloudflare の DNS サーバーに問い合わせを行う際、環境内のすべてのシステムがローカル DNS サーバーを使用しなければならないとします。この場合、おそらくすべてのシステムの確認が必要となります。重要なシステムをリストにまとめておくこと。これは、成熟したセキュリティ対策を行っている組織が悪意のある活動を早期に検出できるようにするための基本的なステップです。
可視性の向上
脅威を追跡するための第一歩は、防御側の環境で何が起きているのかわかるようにきちんと可視化することです。ただし、脅威追跡を行うだけでも、何か盲点があれば防御側に示されるので、改善のきっかけになります。可視性はまた、セキュリティ侵害から回復する際の強力な情報源となります。環境全体に包括的な検出システムを実装する手段のない組織が少なくありません。そうした組織でも、何かしらのログを記録しているはずです。侵害から回復する段階では、ログが極めて重要になる場合があります。事後であっても、侵害がいつどのように発生したかを知ることはとても大切です。特に脅威ハンターの観点から分析を行う場合、ログが適切に記録されていれば、情報を突き止めるうえで非常に役に立ちます。こうした情報が得られれば、適切な検出機能を開発することもできます。
管理者アカウントの階層化
管理者アカウントは特定のシステムでのみ使用するようにしてください。すべてのシステムがすべてのシステムやインターネットに接続するわけではありません。これと同じことで、すべてのアカウントをすべてのシステムで使用する必要はなく、高い権限を持つアカウントの場合はなおさらです。ドメインごとに固有の管理者アカウントを作成し、ドメインコントローラでのみ使用するようにしてください。これを、第 2 層の管理者アカウントで補完します。この階層化は、権限レベルではなく役割レベルで行います。最終的に、この 2 つのアカウント階層が同じ権限を持つこともありますが、役割に応じてアクセスを階層化することで、優先度の高いアラートを設定して、異常な行動が見られたらトリガーされるようにすることができます。
本稿は 2023 年 02 月 09 日に Talos Group
のブログに投稿された「Beyond the basics: Implementing an active defense
Tags:
