侵害されたと考えるのが最善です
脅威ハンティングが必要なのは、常に100%効果的なサイバーセキュリティ保護は存在しないからです。 「設定したら忘れる」セキュリティツールに頼るのではなく、積極的な防御が必要です。
「井戸の汚染」などの一部の脅威では、攻撃者がアプリケーションでより長期的な永続性を獲得しようとします。 この攻撃を成功させるには、検出されないことが不可欠です。 残念ながら、ほとんどの攻撃は検出されないままで成功します。 IBMの委託を受けて Ponemon Institute が最近行った調査によると、侵害を特定して封じ込めるのに必要な平均時間は280日です。
脅威ハンティングの定義
脅威ハンティングでは、手動およびソフトウェア支援の手法を使用して、他のセキュリティシステムを回避できる可能性のある脅威を検出します。 具体的には、脅威ハンティングのタスクには次のものが含まれます。
- 組織内に存在する脅威、つまり攻撃者が情報を盗み出して損害を与えるために埋め込む可能性のあるものを探します
- 世界中のあらゆる場所で発生する脅威をプロアクティブにハンティング
- 罠を仕掛け、基本的に脅威があなたを狩るのを待ちます
脅威ハンティングのプロセス
脅威をハンティングするには、次のことを行う必要があります。
- 品質データの収集
- ツールを使用して分析する
- すべてを理解するスキルを持っている
このプロセスは、低品質のデータ入力は効果的な脅威ハンティングにならないため、適切な量の高品質のデータを収集することから始まります。 収集されるデータには、ログファイル、サーバー、ネットワークデバイス(つまり、 ファイアウォール、スイッチ、ルーター)、データベース、およびエンドポイント。
次に、脅威ハンターは、パターンと潜在的な侵害の痕跡(IOC)を検索する必要があります。 監視している場合は、誰かがログを見ている必要があります。 多くの場合、組織には継続的な侵入検知監視に専念するのに十分なリソースとマンパワーがありません。 最後のステップは、それに応じて対応することです。
あなたは何のために狩りをしていますか?
侵害の痕跡 (IOC): フォレンジック データやログ ファイルなど、既に発生している潜在的な悪意のあるアクティビティを特定するのに役立つ要因
IOA (Indicators of Attack) : IOC と類似点がありますが、IOA は進行中の攻撃を理解するのに役立ちます
ネットワークベースのアーティファクト:セッション記録、パケットキャプチャ、ネットワーク状態監視などのツールを使用してマルウェア通信を検索します
ホストベースのアーティファクト:エンドポイントを検索し、レジストリ、ファイルシステム、その他の場所でマルウェアの相互作用を探します
侵害と攻撃の痕跡の検出と調査
脅威ハンティングには、何を探すべきかの範囲と、次のような当てはまらないものを特定する方法が必要です。
- イレギュラーなトラフィック
- 異常なアカウントアクティビティ
- レジストリとファイルシステムの変更
- 以前には見られなかったリモートセッションで使用されるコマンド
異常を見つけるには、まず通常のアクティビティの基本的な理解を持つことが重要です。インジケーターが検出されたら、痕跡をたどります。 これは、多くの場合、仮説を確立し、各IOCが脅威であるかどうかを特定することによって行われます。 一部のIOCは、単刀直入なアプローチを使用し、明白な証拠を提示する場合があります。 たとえば、組織が取引を行っていない国へのトラフィック量が増加した場合などです。 IOC の調査には、仮想環境での動作を調べるために、特定のタイプのトラフィックを再現するラボでの作業も含まれる場合があります。
SCADAのような制御された環境では、異常を検出するのは簡単です。 一方、企業環境ではトラフィックが多様であることが多く、検出がより困難になります。 マルウェア対策などのセキュリティソリューションは、すでにマッピングおよび分析されている悪意のあるコードに対して最も効果的ですが、まったく新しいコードは検出がより困難です。
ツールが多すぎると脅威ハンティングが複雑になる可能性がありますが、セキュリティ情報およびイベント管理(SIEM)およびイベント相関ツールが役立ちます。 一方、詳細を見る能力を妨げる可能性もあります。 クラウドセキュリティへの統一されたアプローチが理想的です。
脅威ハンティングのヒント
YARAルールを使用すると、マルウェアの照合と認識に役立つ一連のルールを作成できます。 「YARAでは 、テキストやバイナリのパターンに基づいて、マルウェアファミリー(または記述したいもの)の説明を作成できます。」
巧妙なマルウェアは、多くの場合、システムが常に実行しているWindowsプロセスなど、サービスホストに侵入するために他のものの中に隠れています。 悪意のあるコードを挿入できた場合、検出されない方法で悪意のある操作を実行できます。 Windowsレジストリは、マルウェアが隠れる可能性のある別の重要な場所です。 既定のシステム レジストリと比較し、変更がないか調査します。
詳細レベルは、組織の優先順位と各システムの自由度によって異なります。常にアクティブな重要なシステムプロセスの整合性をチェックすることは、脅威ハンティングのフォレンジック側の重要な部分です。
効果的なチーム
Infosec は、「ハンティングには、マシンベースの手法と手動の手法の両方が含まれる場合があります。 SIEMなどの他の自動化システムとは異なり、ハンティングには、より高度な脅威ハンティングを行う人間の能力が必要です。
効果的な脅威ハンティングチームの重要な属性は、コミュニケーションです。 脅威ハンターは、レポートの作成や、脅威やリスクに関する他者の教育にも熟練している必要があります。 経営陣が調査結果に基づいて適切な意思決定を下せるようにするには、チームは調査結果を平易な言葉で話すことができなければなりません。 全体として、ハンティングはエンジニアの役割というよりは、アナリストの役割です。
脅威ハンティングは、クラウドセキュリティへの統一されたアプローチの一部である必要がある
CloudGuard Cloud Native Securityプラットフォームの一部であるCloudGuard Intelligence and Threat Huntingは、豊富な機械学習の可視化を通じてクラウドネイティブの脅威セキュリティフォレンジックを提供し、マルチクラウド環境全体の脅威と異常のリアルタイムコンテキストを提供します。
CloudGuardは、クラウドネイティブのログおよびイベントデータを取り込み、パブリッククラウドインフラストラクチャ全体のコンテキスト化された視覚化とクラウドセキュリティ分析を提供し、以下を強化します。
- Incident Response (Cloud Forensics): Alerts on network activity and account behaviors
- Network Troubleshooting: Real-time configuration and traffic monitoring in the VPC and VNET, including ephemeral services and cloud-native platform components from Amazon AWS, Microsoft Azure, and Google Cloud Platform.
- Compliance: Instant notifications on regulatory violations and ace audits
Feedback