標的型攻撃は、企業が装備したセキュリティ予防層を高確率で突破します。そして、その検出を企業側で検知までは、平均100日もかかります。ウイルス対策ソリューションは、悪質なプログラムが実行されないファイルレス攻撃を検出することができません。高度な攻撃者は予防層を迂回する方法を知っており、そのような攻撃は行動を調べることによってのみ検出することができます。
ここが厄介な部分です。どのようにして悪意のある行動と通常の行動とを区別すれば良いのでしょうか?
実際の標的型攻撃の様子:Gothic Pandaのケース
ここでご紹介する例では、先進的な標的型サイバー攻撃が実際にどのように見えるのか、その様子を示しています。MITREのAdversarial Tactics, Techniques, and Common Knowledge (ATT&CK™)(英語)のナレッジベースとサイバー攻撃者の行動に関するモデルから、Gothic Pandaとして知られているAPT攻撃 (高度で持続的な脅威) グループを取り上げます。このAPTグループの行動は詳細にわたって文書化されており、特定の脅威に対してネットワークセキュリティとセキュリティ製品をテストするために利用されています。
この例での攻撃者は、知的財産と文書を密かに持ち出そうとしています。Gothic Pandaの攻撃は、最初の侵入、ネットワークへの伝播、およびデータの盗難という3つの主要な段階に分解されます。
Gothic Pandaの攻撃図
- 「最初の侵入」段階における攻撃者の目標は、ターゲット環境内のシステム上でコードの実行と制御を成功させることです。
- 第2段階の「ネットワークへの伝播」では、攻撃者はネットワーク内のターゲットシステムを識別して到達しようとします。ここでの彼らの目標は、資格情報と文書を盗むことです。
- 「盗難段階」では、攻撃者はデータを収集し、それを送信しやすいパッケージに圧縮します。彼らは他のアウトバウンドネットワークトラフィックに紛れて文書を搾取しようとします。防御機能の設定次第で、状況監視ツールを使うことでノイズに隠れて盗もうとしても逆に目立たせることができます。
EDRセキュリティがこのケースでのインシデントを検出
検出にとって最も重要なのは、当然ながら初期段階です。攻撃者が持続的に侵入して重要なシステムに移動する前の段階になります。ほとんどの組織では、コモディティ化したマルウェアをブロックするためにエンドポイント保護対策に代表される予防層を導入していますが、高度な攻撃者は、じっくり時間をかけ段階を踏んだ確実な攻撃を加えることで、企業側に検出されずに最終的には予防層を回避する方法を探し出してしまいます。
「検出と対応」の出番
EDRソリューションを導入すると、高度な脅威や標的型攻撃を検出して対応する機能を迅速に設定することができます。検出技術は不審なイベントを確実に検出しますが、しばしば重大なインシデントからノイズを選別できないことがあります。
2017年のEMA調査に(英語)よると、セキュリティチームの79%が脅威警告のあまりの多さに圧倒されていると報告しています。たとえば、650個のセンサーを設置した中規模の組織では、毎月約10億件のデータイベントが発生しますが、実際に対応が必要な件数は約10件です。高品質のEDRソリューションは、これらのインシデントに狙いを定めることができます。
コンテキストが個々のイベントに意味を与えます
人工知能および機械学習は、唯一適応可能なスケーラブルなソリューションです。しかし、AI単独では、見かけ上は誤検出発生器にすぎません。サイバーセキュリティの専門家とデータサイエンス、すなわち、「人とマシン」の完璧な組み合わせが不可欠で。
人間のセキュリティアナリストが実行していることを学習できる技術を開発しなければなりませんが、正確な判断を下すために、瞬時に点を結び、イベントを配置して、最適な全体像を描き出すことが必要です。
この全体像こそが「コンテキスト」です。誤警報はセキュリティチームを無駄に緊張させ、本物のインシデントの発見を困難にします。誤検出率をほぼゼロにするためには、正確な判断をするため、警告に関連するイベントとともにコンテキスト内でグループ化する必要があります。異常なイベントは、その全体像、すなわちコンテキストを見ると、無害なイベントだと判明することができます。
当社のホワイトペーパー「Broad Context Detection™による標的型攻撃の検出」では、実生活とサイバーセキュリティにおいて、コンテキストがすべてである理由と、エフセキュアのBroad Context Detectionの仕組みについて詳しく説明しています。
カテゴリ