統一されたSASEの役割 サイバー脅威ハンティング

脅威狩りとは何ですか?

脅威ハンティングは、既存のセキュリティ・ソリューションを回避する脅威を検知するためのプロアクティブな防御アプローチです。

なぜ脅威狩りなのですか?

ファイアウォール、IDS/IPS、SWG、ZTNA、CASB機能は、既知の脅威から企業資産を保護するのに役立ちます。 セキュリティ・ベンダーは、既知の脅威に対する保護を開発し、さまざまな保護フィードを使用してセキュリティ・サービスを定期的に更新することにより、これらの保護を展開します。 保護には、ユーザーが悪質なサイトにアクセスするのを阻止すること、シグネチャを介してエクスプロイトを阻止すること、C&Cをホストしていることが知られているIPアドレスやドメイン、または評判の悪いドメインとの接続を阻止することなどが含まれます。 ほとんどすべてのセキュリティ機能は、ACL(アクセス・コントロール・リスト)を介して不要なフローを止めることによっても資産を保護します。 国家によるスポンサーシップや金銭的利益により、脅威行為者の洗練度は年々著しく高まっています。 未知の脅威にさらされている企業は、被害を食い止めるために侵害を検知する方法を持つべきです。 2022年のM-trendsのレポートによると、2021年の平均滞留時間(滞留時間とは、攻撃者が被害者の環境に検知されずに存在する日数)は21日です。 地域によっては平均40日というところもあります。 最も懸念されるのは、被害者の47%が外部からの通知によって脅威を知ったということです。 被害者は、攻撃者からの恐喝、機密情報の公開、そして顧客からの数回にわたる情報提供によって、侵害を知ることになります。 企業にとって重要なのは、脅威の存在をプロアクティブに社内で検知し、被害を軽減し、早期に対策を講じることです。 環境に存在する脅威を検出するこのプロセスが「脅威ハンティング」です。

脅威ハンターの手法とは?

脅威ハンティングはセキュリティ・アナリストが行います。 脅威ハンティングの実践は以前からありましたが、理論的には新しいものではありません。 ハンターは、侵害の兆候を特定するために、異常を探し、仮説を立て、より深い分析を行う傾向があります。 戦術、技術、手順(TTP)を共有したり、オープンソースや商用の脅威インテリジェンス・フィードにアクセスしたりするなど、近年、さまざまな企業のハンターの間で協力体制が強化されています。 この豊富な情報は、ハンターがより効率的に狩りをするのに役立っています。 脅威インテリジェンスは貴重なものですが、ハンターにとって膨大な量のデータを選別するのは大変です。 企業が使用している資産、ソフトウェア、ハードウェアシステム、クラウドサービスに基づいて、最も関連性の高いレポートを取得するために、ハンターがフィルタリングすることが重要です。 いったんフィルタリングされれば、脅威ハンターはTTPを使って環境のパターンを特定することができます。 脅威ハンターは、次のような方法を組み合わせて情報を収集します:

  • 分析主導型:ネットワーク・トラフィック、プロトコル・トラフィック、ユーザー起動トラフィック、アプリケーション・トラフィック、ユーザー・ログイン動作、ユーザー・アクセス動作、エンドポイント、およびアプリケーション動作で観察される異常は、調査を開始するための良い指標となります。
  • インテリジェンス主導型:オープンソースや商用エンティティからのIP/ドメイン/ファイル/URLレピュテーションのような脅威インテリジェンスフィードは、ハンターが自分の環境でこれらの指標を検索し、観察された場合に狩りを開始するのに役立ちます。
  • 状況認識主導型:定期的な企業リスク評価と資産に関するクラウンジュエル分析からの出力は、ハンターが仮説を立て、狩りを開始するのに役立ちます。

脅威ハンターは上記の方法を組み合わせて、開始する狩猟を絞り込みます。 ハンティング・プロセスの一環として、アナリストは、妥協点を特定するために、より深い分析を行うために、観測可能なシステムに依存しています。 脅威が発見された場合、成功したハンターは他のハンターを支援するためにTTPを公開することができます。

脅威ハンティングにおけるSASEの役割は何ですか?

IoC(Indicators of Compromise)とは、ネットワークまたはエンドポイント上の悪意のあるアクティビティを特定および検出するための手がかりです。 脅威ハンターは、潜在的なセキュリティ・インシデントについて仮説を立て、調査の焦点を絞るためによく使用します。 IoCには、既知の悪意のある行為者や既知のマルウェアに関連するIPアドレス、ドメイン名、URL、ファイル、電子メールアドレスなどが含まれます。 また、トラフィック、ユーザー行動、サービス行動など、様々な異常が連動していることも、ハンターが潜在的なセキュリティ・インシデントに関する仮説を立てるための、懸念の良い指標となります。 ディープ分析は、脅威ハンティングの次のステップであり、攻撃の範囲、影響、発生源など、潜在的なインシデントに関するより詳細な情報を収集するために使用されます。 この種の分析では、ネットワーク・トラフィック、システム・ログ、エンドポイント・データなど、さまざまなソースからデータを抽出して分析するために、さまざまなツールや技術を活用することがよくあります。 SASEのソリューションは、脅威の特定と調査の両方の段階で、脅威ハンターを支援することが期待されています。 また、行動分析、リアルタイムモニタリング、アラートなどの機能により、将来のSASEソリューションではより包括的な観測が可能になると期待されています。

妥協の指標および懸念の指標による特定

以下は、SASEソリューションが脅威ハンターの調査に役立つ異常と脅威のIoCの一部です。 SASE/SDWANがどのようにトラフィックの異常を発見するのに役立つか、いくつかの例を以下に示します。

  • 以前観察された交通パターンと比較した異常な交通パターン。 トラフィック量や接続数の異常には、以下のようなものがあります。
    • 企業のサイト間トラフィック
    • サイトからインターネットへのトラフィック
    • アプリケーション間のトラフィック
    • 各種プロトコルのトラフィック
    • ユーザーとのトラフィック
    • セグメント間の交通量
    • サイト+アプリケーション+ユーザー+プロトコル+セグメント。

ネットワークセキュリティのSASEソリューションは、様々なタイプの異常や悪用を発見するのに役立ちます:

  • 以下のような過去のパターンやベースラインパターンからのエンタープライズアプリケーションのアクセス異常
    • 未知の地理的位置からの社内アプリケーションへのアクセス
    • めったにアクセスしないユーザーからの社内アプリケーションへのアクセス
    • 変な時間に社内アプリケーションにアクセスするユーザー
    • 管理者リソースなど、様々な重要なアプリケーション・リソースへの、地理的に未知の特権ユーザからのアクセス。
    • ユーザーからのアプリケーションやリソースへのアクセスを拒否。
  • インターネットやSaaSへのアクセスにおいて、上記のアクセス異常のような過去のパターンやベースラインパターンからの異常。
    • 個人ユーザーによる様々なURLカテゴリへのアクセス
    • ユーザーが過去に訪問したことのないインターネット・サイトへのアクセス
    • ユーザーごとの帯域幅使用量とHTTPトランザクションの異常数
    • 利用者による営業時間外のサイトへのアクセス。
    • インターネットサイト/カテゴリへのアクセス拒否
    • 様々なSaaSサービスの様々な機能にユーザー単位でアクセスできます。
  • さまざまなエクスプロイトM-Trendsのレポートによると、攻撃者が使用する「最初の感染経路」は、ソフトウェアや設定の脆弱性を悪用するものです。 多くの脅威者は、まずソフトウェアの脆弱性を悪用して、さまざまなタイプの不正プログラムをインストールします。 MetasploitやBEACONなどの一般的なエクスプロイトフレームワークは、複数の既知のエクスプロイトスクリプトをバンドルしています。 このようなフレームワークは、脅威行為者の間で人気があるようです。 トラフィックに見られる悪用は、何か悪いことが起こることを示す良い指標になります。
  • プロトコルの異常:異常なプロトコルデータは、たとえそれがプロトコル仕様の観点からは正当なものであっても、懸念を示す良い兆候となります。 DNSとHTTPプロトコルの異常の例を以下に示します。
    • DNSの場合
      • クエリーされたドメインに多くのサブドメインがあるのは普通ではありません。
      • 非常に長いドメインを見るのは普通ではありません。
      • ドメイン名に大文字と小文字が混在するのは通常ではありません。
      • 英数字以外の文字が表示されるのは普通ではありません。
      • A、AAAA、PTR以外のクエリが表示されることは通常ありません。
    • HTTPの場合:
      • 非常に長いURIや多数のクエリパラメータを見るのは普通ではありません。
      • 一般的に使われていないURIエンコーディング。
      • リクエストヘッダやレスポンスヘッダがたくさん表示されるのは普通ではありません。
      • URIのクエリパラメータ、リクエストヘッダ、リクエストボディの中にSQL文、シェルコマンド、スクリプトがあるのは普通ではありません。
      • ホストリクエストヘッダーのないHTTPトランザクションを見るのは普通ではありません。
      • URIやヘッダでCRLF文字を見るのは普通ではありません。
      • 同じ名前のパラメータが複数表示されるのは正常ではありません。
      • そのほかにも…
    • 評判の悪いサイトへのアクセス:悪質なIPアドレス、ドメイン、URLのサイトへのアクセスが1回だけ、または複数回ある場合も、調査を開始するための懸念事項の良い指標となります。

調査

狩猟の一環として、ハンターは、少なくともネットワークの観点から、さらなる調査のために深く掘り下げるのに役立つSASEシステムを期待しています。 包括的なエンド・ツー・エンドの可視化と調査のために、ハンターはエンドポイント、アプリケーション、仮想化、およびコンテナ化プラットフォームの観測システムとも連携する必要があるかもしれません。 ハンターがSASEの観測可能性を調査する際に期待するのは、そのほとんどがより深い探索能力です。 例えば、エクスプロイト・トラフィックを検出した場合、ハンターは、エクスプロイトされたマシン/ソフトウェアが、このシステムでは通常行われない他の内部システムへの接続を行っていないか、通常想定されない他のシステムからファイルをダウンロードしていないか、このシステムが他のシステムにマルウェアをアップロードしていないかなどを調査したいと思うかもしれません。

概要

脅威ハンティングは、多くの企業で通常の慣行となりつつあります。 通常、エンドポイント、アプリケーション、仮想化、およびセキュア・アクセス・サービス・エッジ(SASE)用の観測可能なプラットフォームを使用して、侵害の兆候(IoC)の検出と調査を行います。 包括的な脅威ハンティングのライフサイクル管理を可能にするには、SDWAN(Software-Defined Wide Area Network)、さまざまなネットワークおよび脅威セキュリティ機能、包括的な観測可能性を組み合わせた統合SASEが必要です。

  • CTOインサイトブログ

    Aryaka CTO Insightsブログシリーズは、ネットワーク、セキュリティ、およびSASEのトピックに関するソートリーダーシップを提供します。
    Aryaka製品の仕様については、Aryakaデータシートを参照してください。