企業がインシデント検知で苦闘する3つの理由
エフセキュアの『インシデントレスポンスレポート』 (2018年2月) では、企業がセキュリティインシデントの正確な検出に苦戦していることが明確になりました。 本ブログでは、インシデント検出を困難にしている理由と、早期に攻撃者を見つけ出す方法に関するアエフセキュアのアドバイスをご紹介します。
エフセキュアが実施したインシデントレスポンス調査の約80%は、企業のセキュリティ境界が破られた後になって調査が開始されていることがわかりました。また、これらの調査の約13%は、「誤検知」に基づいて実施されていました。 エフセキュアの情報セキュリティ最高責任者であるErka Koivunen(エルカ・コイヴネン)は、「企業がセキュリティ侵害を検出するのに要する時間は予想とはかなり乖離しており、一部の侵害では1年以上検出されずに放置されている場合もある」と語っています(英語)。 また、多くの場合、企業は自社で侵害を検出するのではなく、サードパーティからの情報に基づいて侵害に気が付いています。
インシデントの検出には、専門の人員、ツール、プロセスが不可欠で、企業内のサイバーセキュリティリソースに大きな負担をかける可能性があります。 また、これらの潜在的なコストを考慮すると、企業がインシデント検出の取組みに消極的なことは決して驚くことではありません。 しかし、変容する脅威ランドスケープ(英語)とGDPRのような公的規制の増加とが相まって、インシデントの検出は企業が見過ごすrことのできない課題であることは明らかです。
インシデント検出で企業が直面している課題と、企業ができることに関するいくつかのアドバイスをご紹介します。
侵害の証拠はログに – 適切に収集
セキュリティインシデントの検出には、「何かが通常と異なっている」ことを示す証拠が必要です。 そして、ニュースの見出しになったり、データを人質にされ攻撃者から身代金を要求されてしまうまで待ってはいけません。 ログは貴重な証拠であり、インシデントレスポンス調査では、幅広く活用されます。 したがって、組織全体から適切にログを収集し、監視するための体系的なアプローチを取る必要があります。また、組織、インフラ、脅威モデル、およびその他の要因にも依存しますが、他の証拠も収集すべきです。 データ量は急激に増加する可能性があるので、(詳細は後述)、あまりにも大量のデータを収集することは避けるべきです。
データを選別することは困難を伴うが、必要なこと
収集したすべてのデータから有用な情報を得る前には、まず選別する必要があります。ネットワークを完全に監視できるだけの十分なデータを収集していると仮定した場合、結果として何百万というイベントを調べることになります。たとえば、F-Secure Rapid Detection & Response Serviceを管理しているRapid Detection & Response Center(RDC)のスタッフは、顧客サイトのエンドポイントにインストールした(英語)1,300個のセンサーから1か月間で約20億件ものデータイベントを収集しました。そこから、安全で正常なイベントを取り除くと、約90万件のイベントが残りました。このデータセットに対して、エンリッチメント・相関分析プロセスを徹底的に実行した結果、25件の不審なイベントが特定されました。その後、手作業による分析と顧客の協力を伴うプロセスを経て、25件のうち15件が真の脅威であることが判明されました。
F-Secure Rapid Detection & Response Serviceは、インシデントの検出と対応ソリューション機能を備えており、エフセキュアによって潜在的な脅威に関連するイベントのみを収集するように設計されています。 通常の企業が、同じことを自社で実行しようとして、適切なツールや専門知識を持たずに(英語)データを選別しようとした場合、あっという間に大量のデータの波に飲み込まれてしまいます。
異常の発見は単なる取っ掛かりで、詳しい調査をする準備段階
攻撃を示唆する異常の中には、複数のサーバにアクセスしようとするAdmin以外のユーザ、短時間で多数のログイン試行、不適切な時間に発生する行動などが含まれます。 したがって、ログを脅威インテリジェンス情報と照合して(既知の悪意のあるIPからの活動を検出するなど)、侵害の指標を見つけなければなりません。
理想的には、これらの潜在的脅威になるイベントを詳しく調べることで、深夜残業の従業員がいたこと、パスワードを忘れたこと、あるいは最近のアップデートによってネットワーク障害が引き起こされたなど、素早く簡単に説明がつけられます。
しかし現実の世界では、これらのイベントの一部は実際のセキュリティインシデントの場合が多いです。 また、インシデントへの対応は別の問題として捉えることができます。 エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)は、「インシデントを効果的に検出することが、インシデントに対応する組織の能力を強化する」と主張しています。このことは、IT管理者、取締役、CISO、およびCEOが、危機が発生したときに高く評価してくれることになります。 「すべてのインシデント対応プロセスは、“それはインシデントですか?”という質問から始まります。企業がどの程度素早く判断を下すことができるか、プロセスと手順がどれほどスムーズで効率的なのか、フォレンジックと技術の質、そしてスタッフの熟練度が、これらの質問に対して回答を導き出すためのコストを決定します。 組織が噂や仮定ではなく、検出能力に基づいて事実を把握するようになれば、プロセスを次のステップへと進めることが出来ます。通常、次は封じ込めと根絶のステップです。」と彼は述べています。
レポートをダウンロートするカテゴリ