「侵入済みの脅威」をあぶり出す「脅威ハンティング」そのメリットや意義と、効率的な実施方法
もはや水際では防げないサイバー攻撃
侵入を前提にした検出・防御が不可欠
サイバー攻撃は巧妙化の一途をたどっており、脅威を防御することはどんどん難しくなっています。マルウェアやその亜種は急激な勢いで増えており、その悪用方法も洗練され続けているのです。また近年はファイルに痕跡を残さない「ファイルレスマルウェア」や、OS標準ツールを悪用する攻撃も増えており、これらはウィルス対策ソフトによるスキャンでは発見できません。ウィルス対策ソフトの限界はかなり前から指摘されていましたが、そのスキャンをすり抜けてしまう攻撃は、以前に比べてはるかに増えていると考えるべきです。
このようなマルウェアは、攻撃対象のPCやサーバーに侵入した後、ユーザーに気付かれないよう密かに活動を進めていきます。その内容は、インターネット上にあるC&Cサーバー(司令サーバー)と通信を行うことで別のマルウェアをダウンロードする、システム内の特権ユーザーの認証情報を収集するなど様々ですが、情報が盗み出されるといった被害が実際に発生するまでにかなりの期間このような活動を行い、攻撃の下準備を進めているのです。
それでは、ウィルス対策ソフトの検出にもひっかからず、人知れず活動を続けるマルウェアに対して、具体的にどのような対処を行うべきなのでしょうか。この問いに対する答えが「脅威ハンティング(Threat Hunting)」です。
これは、ウィルス対策ソフトのように「脅威が侵入した時点で検出・無効化」を行うのではなく、すでに侵入済みの脅威を対象に、プロセス監視やログ解析などを行うことで、積極的に狩っていく(ハンティングする)というアプローチです。侵入した脅威が何らかの活動を行えば、稼働中のプロセス情報やログなどの形で、活動内容のデータを取得できるはずです。このようなデータを収集・分析し、不審な活動をあぶり出していくのです。
脅威ハンティングのメリットは、大きく3点あります。第1は前述のように、侵入を防止できない脅威を検出し、実際に被害を受けるまでに対処できるようになるということです。
第2は、インシデント対応チームの活動が円滑になることです。脅威ハンティングで検出された脅威は、その時点でかなりの情報が収集されていることになります。この情報を活用することで、インシデント対応は大幅にスピードアップされます。つまりインシデント対応の段階に至る前に、そのための前準備が完了しているというわけです。
そして第3は、脅威ハンティングの活動を通じて、現在のネットワークに内在する課題を認識しやすくなることです。またその内容を他の関係者と共有することで、セキュリティへの意識を高めることも可能になるでしょう。
効率的に実施するにはツール活用が必須
「すでに定期的にペネトレーションテストを実施しているので必要ない」と考える方もいるかもしれませんが、もしそうであっても脅威ハンティングは行うべきだと言えます。脅威ハンティングはペネトレーションテストとは大きく異なるものであり、補完関係にあると言えるからです。
ペネトレーションテストは、外部から企業の内部ネットワークに侵入するテストですが、これによってわかるのは「外部からどこまで内部に侵入できるのか」ということです。その結果をもとに「侵入されにくい」仕組みを確立することはもちろん重要ですが、外部ネットワークと接続されている以上、100%侵入されないネットワークを実現することは不可能です。そのため攻撃による被害を回避するには、「侵入された後にどうやって脅威を見つけ出すのか」も必要不可欠なのです。
実際に脅威ハンティングを行うには、そのための道具が必要です。稼働中のプロセス監視やログの収集・分析を、すべて手作業で行うのでは膨大な手間と時間がかかり、現実的ではないからです。その道具の1つとして挙げておきたいのが、VMware社が提供する「VMware Carbon Black」に代表される脅威ハンティングツールです。
同社は独自の「ストリーミングプリベンション」という技術により、ゼロデイ攻撃やランサムウェアに対応する次世代エンドポイントセキュリティ製品を提供する企業。調査会社Garnerの「Magic Quadrant for Endpoint Protection Platforms 2019」で、Visionaryにエントリー、The Forrester Wave Endpoint Security Suites, Q3 2019 では Strong Performers になるなど中立的な調査機関から高い評価を受けています。
VMware Carbon Blackは高度な予測モデルを実装しており、エンドポイントにおける「悪意のある挙動」を検出、その警告を行うとともに攻撃を自動的に阻止します。また脅威の有無に関わらずエンドポイントのあらゆるアクティビティを収集・保存するため、単一のアクティビティだけに着目したのでは検出できない、複数のアクティビティを組み合わせた挙動も検出します。さらに一連の「攻撃チェーン」の詳細もわかりやすく可視化し、根本原因を短時間で特定可能です。また、被害を最小限に抑えるには脅威ハンティングで明らかになった原因に対する適切な初期対応が重要です。VMware Carbon Blackは、感染端末の隔離や原因ファイルの削除、除外リスト(ブラックリスト)への登録といった措置を遠隔地から実施できる機能も備えています。また、脅威ハンティングとインシデント・レスポンスに特化したEnterprise EDRでは、ウォッチしたい動きに対し、VMware Carbon Blackが提供する脅威インテリジェンスに加え、サードパーティー製も組み込まれている他、必要に応じてユーザー自ら追加もできます。この為、自社環境に合わせて詳細なハンティングが可能です。
このようなツールを活用することで、脅威ハンティングとその後の対応を効率的に実施できます。脅威ハンティングの効果を引き出すには、その意義を適切に理解し、サイバー攻撃から自社の資産を守る能動的な取り組みが必要なのです。
VMware Carbon Black Cloud Endpoint Standard 詳細はこちら
VMware Carbon Black Cloud Enterprise EDR 詳細はこちら
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別