「侵入済みの脅威」をあぶり出す「脅威ハンティング」
そのメリットや意義と、効率的な実施方法
そのメリットや意義と、効率的な実施方法
もはや水際では防げないサイバー攻撃
侵入を前提にした検出・防御が不可欠
サイバー攻撃は巧妙化の一途をたどっており、脅威を防御することはどんどん難しくなっています。マルウェアやその亜種は急激な勢いで増えており、その悪用方法も洗練され続けているのです。また近年はファイルに痕跡を残さない「ファイルレスマルウェア」や、OS標準ツールを悪用する攻撃も増えており、これらはウィルス対策ソフトによるスキャンでは発見できません。ウィルス対策ソフトの限界はかなり前から指摘されていましたが、そのスキャンをすり抜けてしまう攻撃は、以前に比べてはるかに増えていると考えるべきです。
このようなマルウェアは、攻撃対象のPCやサーバーに侵入した後、ユーザーに気付かれないよう密かに活動を進めていきます。その内容は、インターネット上にあるC&Cサーバー(司令サーバー)と通信を行うことで別のマルウェアをダウンロードする、システム内の特権ユーザーの認証情報を収集するなど様々ですが、情報が盗み出されるといった被害が実際に発生するまでにかなりの期間このような活動を行い、攻撃の下準備を進めているのです。
それでは、ウィルス対策ソフトの検出にもひっかからず、人知れず活動を続けるマルウェアに対して、具体的にどのような対処を行うべきなのでしょうか。この問いに対する答えが「脅威ハンティング(Threat Hunting)」です。
これは、ウィルス対策ソフトのように「脅威が侵入した時点で検出・無効化」を行うのではなく、すでに侵入済みの脅威を対象に、プロセス監視やログ解析などを行うことで、積極的に狩っていく(ハンティングする)というアプローチです。侵入した脅威が何らかの活動を行えば、稼働中のプロセス情報やログなどの形で、活動内容のデータを取得できるはずです。このようなデータを収集・分析し、不審な活動をあぶり出していくのです。
脅威ハンティングのメリットは、大きく3点あります。第1は前述のように、侵入を防止できない脅威を検出し、実際に被害を受けるまでに対処できるようになるということです。
「第2は、インシデント対応チームの活動が円滑になることです。脅威ハンティングで検出された脅威は、その時点でかなりの情報が収集されていることになります。この情報を活用することで、インシデント対応は大幅にスピードアップされます。つまりインシデント対応の段階に至る前に、そのための前準備が完了しているというわけです。
そして第3は、脅威ハンティングの活動を通じて、現在のネットワークに内在する課題を認識しやすくなることです。またその内容を他の関係者と共有することで、セキュリティへの意識を高めることも可能になるでしょう。
効率的に実施するにはツールの活用を
「すでに定期的にペネトレーションテストを実施しているので必要ない」と考える方もいるかもしれませんが、もしそうであっても脅威ハンティングは行うべきだといえます。脅威ハンティングはペネトレーションテストとは大きく異なるものであり、補完関係にあるといえるからです。
ペネトレーションテストは、外部から企業の内部ネットワークに侵入するテストですが、これによってわかるのは「外部からどこまで内部に侵入できるのか」ということです。その結果をもとに「侵入されにくい」仕組みを確立することはもちろん重要ですが、外部ネットワークと接続されている以上、100%侵入されないネットワークを実現することは不可能です。そのため攻撃による被害を回避するには、「侵入された後にどうやって脅威を見つけ出すのか」も必要不可欠なのです。
実際に脅威ハンティングを行うには、そのための道具が必要です。稼働中のプロセス監視やログの収集・分析を、すべて手作業で行うのでは膨大な手間と時間がかかり、現実的ではないからです。その道具の1つとして挙げておきたいのが、EDRの脅威ハンティング機能です。
EDRは、脅威の有無に関わらずエンドポイントのあらゆるイベントを収集・保存しており、単一のイベントだけに着目したのでは検出できない、複数のアクティビティを組み合わせた挙動も検出します。さらに、製品によっては、一連の「攻撃チェーン」の詳細もわかりやすく可視化し、根本原因を短時間で特定できるものもあります。また、被害を最小限に抑えるには脅威ハンティングで明らかになった原因に対する適切な初期対応が重要です。EDRには、感染端末の隔離や原因ファイルの削除、除外リスト(ブラックリスト)への登録といった措置を遠隔地から実施できる機能も備えています。
このようなツールを活用することで、脅威ハンティングとその後の対応を効率的に実施できます。脅威ハンティングの効果を引き出すには、その意義を適切に理解し、サイバー攻撃から自社の資産を守る能動的な取り組みが必要です。
こういった作業を行うには、ある程度のセキュリティ知識が必要であり、すべての企業で実施できるとは限りません。このような場合は、外部のセキュリティサービスも合わせて検討されると良いでしょう。
サイバネットは、EDRの主要製品であるCrowdstrike FalconとVMware Carbon Blackを取り扱っており、お客様の環境やご要望にあわせて比較検討いただくことができます。また、セキュリティ人材不足で、EDRの運用に不安をお持ちの際は、EDRの運用をアウトソースできるMDR(Managed Detection and Response)サービスのご提案も行っていますので、気軽にご相談ください。