脅威ハンティング:人の手による防御的セキュリティのためのレシピ
たとえ高度に自動化された脅威であっても、あらゆる脅威の背後には人間がおり、常に攻撃のレベルを上げています。組織にとってサイバーセキュリティは比較的新しい懸案事項ですが、防御側はスタンレーボールドウィンが1932年に語った「爆撃機はいつだろうと防空網を突破する」という格言から多くを学ぶべきです。エフセキュアでシニア脅威ハンターを務めるArran Purewal(アラン・ピュアウォル)は、多くの企業が依存している高度に自動化されたソリューションが、人間の攻撃者によって着実に突破されている状況を鑑みると、この格言がまさに当てはまると考えています。
「通常、今日のサイバー防御は高度な自動化に依存しています。しかし、人間の攻撃者は生まれながらにして革新的で創造的に課題に対してアプローチする準備ができており、だからこそ自動化された防御を打ち破ることができ、今後も自動化された防御を突破し続けることができるのです。 “防御の最大の失敗は、自動化に頼りすぎてしまったことです。反対に、攻撃者側は、常に豊かな創造力を発揮して攻撃手法を革新しようとするため、自動化された防御を突破し続けることができるのです」と、Arranは述べています。「予防対策における最大の敗因は、あまりにも自動化に依存するようになったことです。これは、組織に対して検知と対応機能の導入を奨励している、私たちセキュリティ業界にとっても重要な教訓だと言えます」
自動化されたセキュリティ予防策だけの防御には、いくつかの欠点があります。多くのチームが「悪いこと」への対応だけに注力しすぎ、「未知のこと」と考えられる活動があっても無視するようになっています。「未知」とは、新しいまたは革新的なTTP(戦術、技術、および手順)による攻撃が出現するケースです。不明で異常な活動をプロアクティブに調査せずに、「悪いこと」だけに対応すると、攻撃者は新たなTTPにより防御側のレーダーをかいくぐることが可能になります。
「このアプローチを再現した新しいセキュリティ機能を開発しても、標的型攻撃を止められないことがわかっている従来のエンドポイント保護製品に比べて、大きな付加価値は得られないでしょう」とArranは述べています。
攻撃的セキュリティ対策の価値は実践者からもたらされる
一般的に自動化は、不正行為があったときに何をすべきかを指示するルールに基づいて構築されています。ただし、脅威はこれらのルール通りには行動しません。これは組織が攻撃者から学ぶ苦い教訓です。だからこそ、レッドチーム演習などの攻撃的セキュリティサービスは、組織に貴重な知見を与えることができるのです。
防御的サイバーセキュリティ対策の実施と、攻撃的セキュリティサービス(レッドチーム演習など)の提供を比較すると、真逆であることがわかります。レッドチームの専門家は、自動化を演習の一部には使用しますが、実際の結果は自動的には生成されません。演習中に脆弱性スキャンが役立つ場合がありますが、その次のステップに進むのはチーム自身の判断になります。
「レッドチーム演習の価値は、スキャンを実行することではありません。その価値は、経験豊富な専門家によってもたらされるのです。彼らは、スキルと直感を駆使して、有能な攻撃者が組織の弱点(技術的またはその他の)を悪用する方法をシミュレートします。」とArranは説明します。「一方で、防御的セキュリティ対策は、人間が持っている創意工夫の力を活用していません。そして、防御側にその欠点を補う効果的な方法を提供するのが脅威ハンティングなのです」
簡潔に言うと、脅威ハンティングとは、攻撃力を理解し緩和するスキルを絶えず研鑽することにより、人々の資産とネットワークを積極的に防御する能力のことを言います。実際にこれらの能力は、高度な脅威アクターの間で良く使われている攻撃手法に直面した際に、大きな強みとなります。
APTを含む高度な脅威アクターの動向
近年、サプライチェーン攻撃が顕著に見られるようになりました。このタイプの攻撃では、標的である大規模組織と協業したりサービスを提供している小規模のサプライヤー企業を侵害します。中小企業は大企業ほどのセキュリティ機能は備えておらず、の弱点は、攻撃者が標的のシステムに侵入するための最適な橋頭堡となります。
2017年に発生したNotPetyaのアウトブレーク(英語)がその好例の最たるものと言えるでしょう。攻撃の背後に潜む脅威アクターは、ウクライナの税務プログラムにソフトウェア更新を配布するサーバを侵害し、そこからNotPetyaランサムウェア/ワイパーを拡散させました。目論まれた標的はウクライナの企業に限定されていると広く信じられていましたが、実際には、マルウェアは世界中の組織に拡散しました。現在、多くの人々がこの事件を歴史上最も被害額が大きいサイバー攻撃と見なしています。
標的型攻撃のもう1つの動向は、Windows以外のプラットフォームへの侵害です。多くの企業がWindowsに依存しています。そして歴史的に見ても、Windowsには最も多くの脅威が集中しており、セキュリティ企業からも最大限注目されています。ここに及んで、攻撃者はセキュリティ業界がWindows以外のプラットフォームへの脅威をほとんど無視していることに気づいたのです。そして、それらを新たなTTPにとっての理想的な標的とみなすようになりました。特に魅力的な標的になったのがMacOSです。実際、昨年後半に観測された新しいタイプのインメモリMacマルウェアは、北朝鮮を後ろ盾にしたLazarusグループが発生源でした。
これらの2つの動向は、組織にとって極めて現実的な課題です。どちらも自動化された防御を簡単にすり抜けることができます。ただし、どちらの攻撃も脅威ハンティングを実施すれば緩和することが可能になります。
脅威ハンティングの活動は一年中続く
高度なスキルと豊富なリソースを持った攻撃者は、恐ろしいほど攻撃に没頭します。彼らは、1つの目的または標的を達成するために数ヶ月、時には数年を費やすことも厭いません。攻撃の目的は、現金ではないこともあります。彼らは標的を侵害するために必要なものなら何でも利用します。これらの脅威アクターには、ゼロデイからソーシャルエンジニアリング、オンプレミス攻撃まですべてを駆使します。
攻撃者の活動に影響を与えるもう1つの要因がモチベーションです。現金ほどではないにしても、確かに彼らを動かす要因になります。一方で、防御側は、地政学、マクロ経済学、その他の社会的/政治的発展が脅威をどのように形成するかを認識する必要があります。
中国の5か年計画の一部を成す業界の企業は、サイバースパイ行為に備えるべきです。米国政府と緊密に協力している多くの企業は、ソレイマーニー将軍の死亡をきっかけに、さらに活発化したイランからのサイバー脅威に関する情報の収集に躍起になっています。
基本的に脅威ハンターは、脅威がシステムを侵害する方法を把握するためにネットワークを積極的に研究している研究者です。そして、脅威のランドスケープが、技術、政治、経済、さらには文化の発展によってどのように形成されるかを含め、進化する脅威のランドスケープを理解することが彼らの仕事の一部となっています。だからこそ、進行中のサプライチェーン攻撃、実行可能ファイルのないマルウェア、プロセスの乗っ取り、アカウントの侵害などの兆候を捉えることができるのです。彼らは、自動化と技術の限界をわきまえた上で、それらを利用する方法を理解しています。
従来のエンドポイント保護製品(EPP)は、企業を保護するのに十分ではありません。もちろん、それらにはまだ用途があります。毎日絶えず無差別に企業を攻撃する多くの日和見的な脅威と戦う場合に役立ちます。信頼できるEPPソリューションが提供する予防機能がなければ、防御側は大量の攻撃に圧倒されてしまいます。また、これらの製品を機能させるには自動化が不可欠です。しかし、この検知および対応(EDR)の時代においては、セキュリティソリューションは、自動化と人間のそれぞれの長所を最大限に活用する必要があるのです。
カテゴリ