rethinking response - f-secure€¦ ·...
TRANSCRIPT
RETHINKING RESPONSE「対応」の時代
本ホワイトペーパーは、CISO、CIO、および.インシデントを適切に管理して対応する必要が.あるセキュリティ専門家を対象としています。
TABLE OF CONTENTS
はじめに.................................................................. 1新しい時代.-.そして、新しいアイデア...................................2
1..なぜ今、「対応」を考え直すべきなのか?.......... 5VUCA:.経営陣が理解できる用語で説明する.....................6Volatility(変動性):............................................................7Uncertainty(不確実性):..................................................10Complexity(複雑性):.......................................................16Ambiguity(曖昧性):.........................................................21CISOサマリー:VUCAチェックリスト..................................23
2..どのようにして攻撃を阻止すべきか?.............24検知への投資を無駄にしない...........................................25セキュリティチームが直面している課題.....................26
Continuous.Response.アプローチ..................................28Collaboration.............................................................29人 .々......................................................................30プロセス................................................................32テクノロジー..........................................................34
Context.......................................................................35人 .々......................................................................36プロセス................................................................38テクノロジー..........................................................39
Control........................................................................40人 .々......................................................................41プロセス................................................................42テクノロジー..........................................................44
3..実案件への適用:CONTINUOUS.RESPONSEの.ケーススタディ..................................................46攻撃はどのように行われたか............................................47捜査の開始….....................................................................48Continuous.Responseを採用していれば.結果は違ったものになったのか?.....................................50
結論.......................................................................52
脅威を取り巻く状況は常に進化しており、ほぼ全ての企業がサイバー攻撃の標的となる可能性があります。しかも、その可能性は年々高まっています。
過去数年間で、攻撃の検知には多大な投資が行われ、大きな進歩が見られました。今では、最も見つけにくく最も革新的な攻撃者であっても、これまで以上の速さで検知することが可能になっています。
しかし、実際に攻撃を阻止するためには、単なる優れた検知ではなく、それ以上のものが必要です。攻撃者は数日、数時間、さらには数分で目的を達成することができるようになっており、驚くべき成果を上げています。多くの企業はこれまで、こうした巧妙な攻撃の対象になるとは考えていませ
んでしたが、今ではIT資産の修復、暗号化されたサーバの復旧、そして最終的にはビジネスの継続性について考え始めています。
これは、攻撃の「検知」が大幅に進歩したにもかかわらず、多くの企業では効果的に攻撃に「対応」するための体制 - 新しいテクノロジーと機能を活用するためのアプローチの適用 - の構築が遅れていたためです。これまでのインシデント対応は、攻撃が成功裏に終了し、ビジネスが被害を受けた後にやっと始まる、「死後調査」だったのです。
何かを変えるべきときではないでしょうか?
セキュリティに携わる方々は、自分たちの企業がサイバー攻撃に 狙われていることをご存じでしょう。一方で、その事実をビジネスの
ステークホルダーに納得してもらうことは、容易ではありません。 しかし、万が一侵害が発生した場合には、それに対応するのは
皆さん自身なのです。
はじめに
1
エフセキュアのMDR.(マネージド検知/対応).サービスである『F-Secure.Countercept』が提唱する新しいアイデア、それが「効果的な脅威ハンティング」です。
私たちは脅威ハンティングを「攻撃者の考え方を熟知した精鋭チームによる、積極的な検知と対応」と定義しました。これは、「侵害が起こることを前提」として、テクノロジーだけでは捉えられない異常な活動の兆候を積極的に見つけ出し、ビジネスに影響が及ぶ前にそれらの行動を封じ込めることを意味します。
私たちにとって脅威ハンティングとは、人的な要素を含んでいます。現代の攻撃は、世界最高レベルの自動化されたAIベースのツールでさえも回避してしまうことが明らかになっており、検知と対応に人が関わることが重要なのです。
スキルセットとしての脅威ハンティングが注目されたことで、セキュリティ業界は攻撃の検知にさらに注力するようになりました。しかしF-Secure.Counterceptのビジョンには、最初から「多くの組織にとっての課題は、攻撃に『対応』する能力である」という考えが含まれています。攻撃を検知する機能は、多くのセキュリティソリューションで提供されています。しかし攻撃されている間に、それに対応して攻撃者が目的を達成することを阻止するための手段は限られています。侵害されたホストを
隔離したり、悪意のあるプロセスを停止させたりするなど、限定的な措置を講じることはできますが、多くの場合、攻撃者は検知されたことに気づいて潜行してしまい、どのように侵害されたかについての手掛かりはほとんど残りません。取り逃がせば、攻撃者は最終的な目標を達成するために、より高度で見つかりにくいテクニックを使い、また攻撃を仕掛けてくるでしょう。
企業が侵害され、攻撃者の目的が達成された後でなければ対応を開始できないという時代を終わらせましょう
今では、攻撃者が実際に侵入して活動しているところを捕捉し、攻撃が進行している最中にフォレンジックやアーティファクトを収集しながら、迅速に重要な決定を下すことができるようになりました。これまではインシデントが終わった後でなければ入手できなかった様々な情報が、攻撃中にリアルタイムで提供され、攻撃者の活動を制限し、目標の達成を妨げることができるのです。
つまり、私たちは攻撃に対して効果的に対応するための時間を買うことができるようになったのです。
では、その実現に必要なものは何でしょうか?
その答えは、Continuous Response(継続的な対応)です。
新しい時代 - そして、新しいアイデア
2
データ 対応のための様々なオプション
*.企業名、部門、および地理的位置は匿名化されています。
専門チーム間の Collaboration
意志決定者
専門家
適切なデータからの Context
アクションの Control
• エフセキュアのアプローチの中核となっているCollaboration、 Context および Control が、Continuous.Responseのための5つの重要な要素(人、データ、意思決定、行動能力、タイミング)をどのように準備するのかをご説明します。
• Continuous.Responseを実際のインシデントに適用し、その効果をご確認頂きます。*
それでは、始めましょう
以下のページでは、人間の攻撃者がリアルタイムに行う標的型攻撃から皆様のビジネスを守る方法を説明します。私たちは以下のものを提供します。
• 誰が、なぜ、どのようにして企業を狙うのかを含む組織の脅威プロファイルを、企業(経営陣を含む)が正しく理解し、行動に結びつける事ができるよう、説得材料を提供します。
• 直面する脅威から組織を積極的に防御するために、組織内の適切な担当者にプロセスとテクノロジーを提供するContinuous.Responseアプローチについて説明します。
エフセキュアのContinuous.Responseアプローチは、適切な人員を適切な場所に適切なタイミングで配置し(Collaboration:コラボレーション)、意志決定を行うための適切な情報を提供し(Context:コンテキスト)、適切な行動を採る能力を提供(Control:コントロール)するものです。
3
「対応」への支出
これまで何年もの間、セキュリティの専門家は予測、防御、検知、対応のソリューションに均等に投資する必要があると訴えてきました。.しかし、2018年にエフセキュアが買収したMWR.InfoSecurityが実施した調査によると、投資額の多くは依然として防御に割り当てられています。防御は40%の企業が最も大きな投資を行っている項目であり、また、28%の企業が2番目にコストをかける項目だと回答しています。
検知の優先度は上昇しており、34%の企業が2番目にコストをかけていると回答し、最小の支出として挙げたのはわずか17%の企業でした。
企業の予測、予防、検知、対応への投資額を調査した結果、「対応」に最も投資していると回答した企業は12%のみでした。
1 https://threatpost.com/threatlist-cost-cyber-attack/140870/
一方で対応は、企業の44%にとって最も優先度の低い支出となっています。
予測ツールは、他のツールと別々に運用されない限り効果的なツールです。今後、予測ツールとSOCの間の接続性が向上すれば、データ収集が改善され、企業内の異常な活動に対する可視性が改善する可能性があります。
しかし、平均的なサイバー攻撃がビジネスに100万ドルを超える損害を与えている現在1、企業はインシデントへの対応に、より多くの投資を行うべきではないでしょうか。
12%
17%
28%
44%
1 (投資額 高) 2 3 4 (投資額 低)
4
1. なぜ今、「対応」を 考え直すべきなのか?
VUCAは米軍による造語で、冷戦後の世界における.Volatility (変動性)、Uncertainty (不確実性)、 Complexity (複雑性)、Ambiguity (曖昧性)を説明するために考え出されましたが、今では予測不能なビジネス、経済、地政学環境において企業や組織がどのように備え、主導し、繁栄していくかを考えるためのフレームワークとして活用されるようになっています。Forbesによると「VUCAは、組織運営を成功させるために必要なリーダーシップ、および現在の環境を適切に定義できるようになっています。」3ということです。
私たちは、VUCAの元となった冷戦時の課題.-.目に見えない戦術、テクニック、手順(Tactics,.Tech-niques.and.Procedures:TTP)を駆使する隠れた
敵との戦い.-.は、企業のサイバーセキュリティ戦略を構築するための強力で適切な枠組みになると考えています。VUCAの視点から組織を評価することで、リーダーシップにおけるニーズと目的、そして企業が直面している脅威に組織のセキュリティ戦略が適合しているかどうかを確認できます。
このセクションでは、企業が直面している脅威の「何を、なぜ、どのように」についての議論と意志決定をVUCAフレームワークがどのように手引きをし、エフセキュアのContinuous.Responseアプローチが脅威を取り巻く状況において企業の防衛にどのように役立つかについての情報を提供します。
2 https://en.wikipedia.org/wiki/Volatility,_uncertainty,_complexity_and_ambiguity.3 https://www.forbes.com/sites/sunniegiles/2018/05/09/how-vuca-is-reshaping-the-business-environment-and-what-it-means-for-innovation/#5bb99417eb8d
私たちは、VUCAの世界に住んでいます 2
脅威を取り巻く状況の「誰が、何を、なぜ、どのようにして」の ガイドと、それが企業に与える影響について
5
ための攻撃に数週間から数ヶ月かけることです。
VUCAフレームワークにより、企業が脅威を取り巻く状況の中で置かれている立場や「誰が、なぜ、どのように」企業をターゲットにしているのかを理解することができます。
企業が直面している脅威に関する知識と、いかにして検知およびContinuous.Responseのためのエコシステムを構築してサポートするのかを組み合わせることで、これらを経営陣の包括的な目標およびゴールと合致させて、セキュリティ戦略を構築することができます。そしてそれは、継続的にセキュリティを評価し、漸進的な改善に導くものでなければなりません。
企業のセキュリティにおいて、万能なソリューションというものは存在しません。ひとつのツールで全ての問題を解決できることは無く、点滅するライトが付いた魔法の箱も無いのです。
脅威を取り巻く状況と、その中で自社がどこに位置するのかを理解するのは簡単ではありませんが、全く不可能というわけでもありません。
主要な脅威グループ、それらの動機、ターゲット、そして手法については、多くの情報が得られています。しかし、全ての脅威グループが、無差別に多数の企業を攻撃しているわけではありません。標的型攻撃の本質は、攻撃者が標的を絞り込み、特定の企業の情報や資産にアクセスして情報を盗む
VUCA: 経営陣が理解できる用語で説明する
脅威プロファイル
Ambiguityどのように狙われるのか
Uncertainty誰が、なぜ企業を狙うのか
Volatilityどのような外部要因が企業にとってのリスクに影響を与えるのか
Complexityビジネスゴールと成長目標がセキュリティ戦略に影響を与える
6
これは何を意味するのでしょうか?.国家が支援する攻撃グループから個々の犯罪者まで、誰もが最先端のツール、テクニック、手順を利用して企業に対する標的型攻撃を実行できるということです。
VOLATILITY(変動性):どのような外部要因が企業にとってのリスクに影響を与えるのか
Volatilityには、攻撃者の動機の変化や脅威を取り巻く状況の要素の変化、そしてそれらがセキュリティの状態にどのように影響するかといったことが含まれます。脅威を取り巻く状況のいくつかの要素は企業が管理できますが、Volatilityは企業の力が及ばない要素に関連しています。
高度で持続的な脅威は、急速に変化しています
やや挑発的な話から始めましょう。「APT」を、国家が支援するサイバー攻撃グループが行う攻撃を指す用語として使用するのは不適切です。
その理由とは?
APT(Advanced.Persistent.Threats:持続的標的型攻撃)は、国家の支援を受けたグループが行う攻撃を指す言葉として使われることがありますが、これは脅威を取り巻く状況が変化したという事実から目を背けています。国家が支援するサイバー攻撃グループが開発した手法はその他の攻撃グ
企業にとっての脅威の特定とコミュニケーション
私たちの目的は、「誰が、何を、なぜ、どのようにして」企業をターゲットにしているのかを理解するために役立つわかりやすい用語、図表、そして実用的なチェックリストを提供し、企業内で話し合いを進めていただくことです。これにより、企業の保護に必要な人員、プロセス、そしてテクノロジーを組み合わせたセキュリティ
戦略の策定が可能となります。
ループに広まり、より多くの攻撃者が、これまでAPTと呼ばれていたものと同じくらい高度で永続的な機能を持つ攻撃を行う事ができるようになっているのです。
その結果、多くの犯罪グループ、個々の犯罪者およびハクティビストが同じ戦術、テクニック、手順(TTP)を使って攻撃を行うようになり、高度なマルウェアの亜種やゼロデイ脆弱性を使った攻撃が数多く行われています。
さらに、このような技術のトリクルダウン効果は、国家の支援を受けているグループ自身に、さらなる開発の動機を与えています。
7
誰もがAPT攻撃を実行できる
国家が支援する攻撃グループが、高度な戦術、テクニック、手順(TTP)を開発して攻撃を行います。
TTPは、サイバー犯罪者グループ、ハクティビスト、および個々の犯罪者にまで浸透し、組織にとって真の脅威となり、金銭の盗難、政治的声明の発信、またはビジネスへのリスクとなる可能性があります。
高度な犯罪グループはこれらのTTPを使い、または亜種を作成し、APT攻撃を行う事ができます。
国家が支援する攻撃グループが開発した新しく革新的なTTPが流出して広く使用され、多くの攻撃が発見されにくくなっています。誰もが高度で永続的な脅威(APT)を使った攻撃を行うためのTTPを入手することができます。
いて、英語が第一言語である国のいくつかの主要産業をターゲットにしました。米国司法省はこの件について「犯人は中国企業にとって特に有益な企業秘密を盗んだ。」との理由でAPT1のメンバーを起訴しました。
高度な攻撃に使用されるTTPを誰もが利用できるため、この種の侵害があらゆるハッカーまたはハッキンググループによって行われる可能性があります。これはまた、攻撃の目的がわかりにくく予想外のものになる可能性も示していますが、適切な地政学的およびビジネス上の知識があれば、予測は思ったよりも容易になります。
全てが(地)政学的なもの
地政学が脅威を取り巻く状況に与える影響については、多くの実例があります。
2010年、中国は都市化、環境保護および国内消費の増加に伴う主要な課題に取り組むという意向を示し、2011-16年の5カ年計画を発表しました。特に原子力や再生可能エネルギー技術の効率化をめぐる研究開発は、アジェンダの中でも上位に挙げられました。
2012年、APT1(中国が支援するサイバー攻撃グループ)は、サイバースパイ活動に特に重点を置
8
これらは、企業のコントロールの及ばない外部要因が、 脅威プロファイルに直接影響を与えるように絶えず変化している ことを示すほんの一例です。ビジネス環境にVolatilityを生み出す
要素は他にもたくさんあります。できるだけ多くの要素をリスト アップし、ビジネスを取り巻く新たなリスクと共に追跡できるように
しておくべきです。
まとめ
「ゼロ」から「n」へ
本稿執筆時点で、世界で最も広く使用されているブラウザにはnデイ脆弱性*.が存在します。しかしこれを読んだ後でも、多くの人はパッチを適用しないでしょう。
このタイプの脆弱性が悪用された場合の影響を定量化するのは困難です。脆弱性には2種類あり、ITシステムへの侵入を可能にするものと、ビジネスに必要なアプリケーションやソフトウェアに存在するもので、これらはビジネスを通常どおり継続できるかどうかという問題に直結します。どちらも同様に管理が困難ですが、たとえば後者の脆弱性に効果的に対処するためには、担当者リストを最新に保ち、各自の役割および責任を明確に定めておく必要があります。
攻撃者は、ゼロデイがnデイになった瞬間に迅速に行動するため、防御する側は、さらに迅速に行動する必要があります。Equifax社はゼロデイ対策のパッチをあてるようにという社内通達を出しましたが、直前に会社を辞めたスタッフにもその通達を送ってしまいました。結果がどうなったのか? 今日までの歴史の中で最も高価についたサイバー攻撃へと発展したのです。
サプライチェーン問題
企業のサプライチェーンに関わるサプライヤーのセキュリティを管理しようとする試みには、困難が伴います。サプライヤーを厳しく検査することは可能ですが、最終的には彼らもまたセキュリティ問題に直面します。しかも、多くの場合予算はさらに限られます。
過去数年間でのサプライチェーンを狙った攻撃の急増は、驚くべきものです。大規模で安定した企業がセキュリティを強化したため、攻撃者はサプライチェーン内の小規模で脆弱な企業を狙い、侵入を試みるようになりました。
しかし、多くの企業が自社に関わるサプライチェーンの広さと、それらが生み出す脆弱性の全貌を把握するために苦労しています。インストールされたばかりの新しいプリンタが、システムへの侵入経路となることもあるのです。
*.エフセキュアでは、ゼロデイ脆弱性を「既存の脆弱性で、情報が公開されていないもの」、nデイを「情報が公開されてからパッチがリリースされるまでの間」と定義しています。
9
大規模なサイバー攻撃の影で
ブリティッシュ・エアウェイズ、マースク、ソニー・ピクチャーズなどへの大規模なサイバー攻撃は大きなニュースになりましたが、その他の大多数のセキュリティ侵害事件が報道されることは、ほとんどありません。これでは、被害に遭うのは価値のある資産を持った一部の企業に限られるという誤った印象を与えてしまいます。
ニュースの見出しを考える人には、攻撃が特定のグループによって行われているということはあまり知られておらず、脅威の全容は無形かつ漠然としているように見えます。こういった認識の欠如により、攻撃の動機や目的がほとんど明らかにされない、あるいは推測さえされないことになります。これでは、攻撃者が何をしようとしたのか、成功したのか失敗したのか、彼らの大きな狙いが何であったかといった情報がまったく共有されず、多くの企業は、自分たちが高度な攻撃を受ける可能性は無く、安全であると誤解してしまいます。
数ある中のひとつの例
前のセクションで、APT1について説明しました。彼らの標的のひとつであったSolarWorld社は、ソーラーパネル生産の世界的リーダーであり、年間7億5000万ユーロを売り上げ、大きな契約と知的財産(IP)を保持していました。世界的な需要を持ち、
UNCERTAINTY(不確実性):誰に、なぜ狙われるのか?どのような影響があるのか?企業内の何(または誰)が、国家が支援するハッカーや犯罪者グループにとって価値を持つのか?
これらの疑問への答えは明確ではありませんし、知るのも簡単ではありません。Uncertainityの定義は、情報の可用性またはイベントにおける予測可能性が未知であるということです。
本セクションでは、脅威を取り巻く状況における主要なプレイヤーについて取り上げ、企業内の何が彼らにとって価値があるのか(そして、なぜそれが皆様が考えているものと違うのか)、そしてそれが企業全体に与える影響について説明します。
急速に成長している産業において、非常に良いポジションを得ていました。
しかし、APT1による侵害の影響は深刻でした。SolarWorldの企業戦略担当ディレクターであるBen.Santarris(ベン・サンタリス)が当時を語りました。
「数千ものメールが流出しており、その多くはあらゆる種類の不正な利益をもたらす機密データを含んでいました。」
これらの機密データには、IP、機密性の高い価格情報、さらには中国の競合他社が米国の規制を回避して市場に参入する方法まで含まれていました。
2017年8月、SolarWorldは正式に破産を発表しました。2012年のAPT1の攻撃時を起点に、太陽光発電の中国市場の飽和が進み、同社は急速に破産へと向かったのです。その後中国は2020年の目標を3年前倒しで達成し、世界有数の太陽光発電国家としての地位を固めました。
そしてまったく同じ時期に、中国は2016-2020年の第13次5カ年計画の「将来のエネルギー開発」の目標に沿って、134の石炭プロジェクトの中止を発表しました。
10
中国の太陽光発電における成功が発表された月、SolarWorldの倒産が発表されました。このことは、APT1の攻撃によって引き起こされた、残酷な運命のねじれを際立たせます。
SolarWorldの全容 - 誰が攻撃したか、何が盗まれたか、そして最終的に会社に与えた影響 - が公開され共有されていることは、非常に珍しいケースです。
売上が徐々に低下したり、(SolarWorldのように)倒産したりするなど、侵害されたことによる長期的な影響はあまり開示されません。私たちはこういったケースを直接経験しています。私たちが調査した事件の多くは伝えられていないか、メディアでも完全にはカバーされていません。
2012
50
0 0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
90,000
100
150
200
250
2013 2014 2015 2016
SolarWorld の株価 中国のソーラー発電量
11
攻撃者とその動機
様々な形態のサイバー攻撃から企業を守るためには、ニュースの見出しに惑わされず、誰が、なぜ自分たちの企業を狙っているのかを知らなければなりません。
1
1..国家が支援する攻撃グループ
国家の支援による、あらゆる地政学的目標を持つ。盗み、強要、監視のためにITシステムに侵入する。目標を達成するまで攻撃を中止しない。
2..組織化された犯罪者グループ
金銭が目的。直接の盗みと請求書詐欺。国家が支援する攻撃グループは国家のためにIPを盗むが、犯罪者グループはIPを盗んでそれを売る。
3..サイバー犯罪者
金銭的利益のため、または個人の政治目的のために、組織の内部または外部から情報を破壊または漏洩する。
4..スクリプトキッズ、ハクティビスト
破壊や混乱を引き起こすことが目的。
4
12
攻撃者ピラミッドの頂点
国家が支援する攻撃グループは、脅威の全容の中でも最大のものであり、潤沢な財政的・技術的リソースに恵まれています。政府およびビジネス関連の情報を狙う彼らの目標は十分に文書化されていますが、人事情報など、あまり目立たない資産が狙われている例もあります。
これらの攻撃者グループは、検知される前に目標を達成するために、迅速に行動します。エフセキュアは最近、国家が支援する攻撃グループが、フィッシングメールを送ってから72時間以内にサーバへの完全なアクセスに成功した例を手掛けました。
国家が支援する攻撃グループの特徴としてよく挙げられるのは、一度攻撃を開始したら目標が達成されるまで攻撃を中止しないという点です。これに
は、攻撃者側が高度に洗練されているという点も含まれます。攻撃プロセスは細分化されており、作業がひとつのグループから次のグループに受け渡されて行き、プロセス全体は中央で一元的に管理されます。
私たちは、攻撃グループの種類を判断するための第一の指標として「攻撃を中止しないこと」を使っています。目標を達成するまで攻撃を続けるならば、国家の支援を受けたグループであり、途中で諦めれば、犯罪者集団であると判断します。目標の達成が困難になった場合に、後者はそれ以上の時間や努力、そしてコストをかけない傾向があります。
3
2
13
犯罪者グループの目標を理解する
食物連鎖の次に来るのが犯罪者グループですが、彼らの目標はしばしば誤解されています。多くの企業は、自分自身がターゲットになるとは考えていません。
たとえば、ある企業が1個20セントのウィジェットを開発したとしても、それがサイバー犯罪者の関心を惹くとは思えないかもしれません。しかし、問題はウィジェットそのものではなく、誰が購入したかということなのです.-.攻撃者が財務部門へのアクセス権を持った場合、社名を偽って詐欺的な請求書を作成して送付し、犯罪者の口座に金銭を振り込ませることができます。これは、振り込みが完了するまでは表面化しにくい種類の侵害であり、数百万ドルの損失をもたらす可能性があります。
国家が支援する攻撃グループと犯罪者集団の境目は、曖昧になっています。たとえば北朝鮮が支援する攻撃グループは、国家のための資金を生み出すために過去にランサムウェアを使った攻撃を行いました。.
見逃しがちな犯罪の影響
組織化された犯罪者グループであるMoneyTakerは、2016年5月以降、米国、英国、ロシアの金融機関や法律事務所に20回以上の攻撃を仕掛けました。これには米国の企業への16回の攻撃(ある銀行は2度攻撃を受けました)、ロシアの銀行への3回、英国の銀行に対する1回の攻撃が含まれます。攻撃者は、銀行間決済システム(SWIFTなど)に関する文書を盗みました。これは、さらなる攻撃の準備のためと考えられます。
• サイバー犯罪グループのCobaltは、2016年にヨーロッパ、ロシアを含む独立国家共同体および東アジアの各地で同期型ATM強盗(Synchronized.ATM.Heists)を行い、最近では北米、西ヨーロッパ、南アメリカ、アルゼンチンにもターゲットを拡大しました。また、銀行の他に証券取引所、保険会社、投資ファンドなどもターゲットとして含まれていました。
• 2013年以来、FIN10はネットワークを侵害し、機密データを盗み、被害者に最大62万ドルの大きなランサム(身代金)を支払うよう要求しました。要求に応えなかった犠牲者のために、FIN10は重要なシステムを破壊し、盗んだデータをジャーナリストに漏らすことによって彼らの活動を拡大しました。
• FireEyeは、保険、投資、カードサービス、ローン、運輸、小売、教育、ITサービス、エレクトロニクスなど、様々な組織で米国証券取引委員会(SEC)の申請に関与する特定の担当者を標的としたグループ「FIN7」に関するレポートを公開しました。これらの攻撃は、情報がSECに提供され公表される前に、犠牲者から収集した情報を使った(証券詐欺による)インサイダー取引を支援するのが目的と推測されます。
• 組織化された犯罪者グループのメンバーは2018年の全侵害の半分に関与しており、国家または国家の関係者は12%に関与していました。.(Verizon.DBIR.18)
サイバー犯罪者 - グループと個人
攻撃の動機が財政的または地政学的な混乱を起こすためではなく、政治的な声明を発表することや現在の政治情勢を混乱させることである攻撃者にも、多くの有能な攻撃者が含まれています。この種の攻撃を行うのは、ベッドルームハッカーよりは高度な犯罪者です.-.「攻撃者としての政治的インサイダー」は、被害を引き起こしたり内部から情報を漏らしたりするための手段と動機を持つ政府内の誰かである可能性があります。
企業が持つ最も価値のある資産は、人々が考えているものとは違うかもしれません
国家が支援している高度な犯罪グループのゴールと目標を予測するのは難しいかもしれません。私たちのこれまでの知見を包括的に見直し、何が狙われたのかを以下の3つのカテゴリーに分類しました。
14
1.. 企業が他の企業にサービスを提供している場合、サプライチェーン攻撃の標的になるかもしれません。取引先を確認しましょう。皆様のビジネスそのものには犯罪者が興味を持ちそうなIPや資産は無いかもしれませんが、皆様の取引先企業に大企業は含まれていませんか?.大企業は数百万ドルを費やしてセキュリティを強化しているため、攻撃者はサプライチェーン内の脆弱な中小企業を経由して攻撃を実行します。
2.. 企業が請求書を発行している場合.-.ほとんどの企業があてはまります.-.その企業は潜在的に不正請求書攻撃の標的となり得ます。攻撃者が財務部門に侵入し、支払先を変更した不正な請求書を作成し、送信します。ほとんどの場合、当の企業は不正な請求書が作成されたことを知ることはありません。
3.. 顧客の名前、生年月日、銀行口座の詳細などの機密情報を保持している場合には、ダークウェブ(闇市場)でこれらの詳細を販売しようとしている犯罪グループや、企業の内部データを侵害しようとしている国家支援の攻撃グループがそれを狙います。
しかし、これらをさらにミクロレベルで見るために、最近私たちのインシデント対応チームが実際に経験した例をいくつか挙げます:
• あるヘルスケアプロバイダーは、開発サーバのひとつで異常な活動を認識するようになりました。調査の結果、国家が支援する攻撃グループが30ギガバイトもの人事ファイルを抽出しようとしており、消費財のIPに関する情報にもアクセスしていました。
• 地方自治体から、侵害されている疑いがあるとの連絡がありました。私たちの調査によると、国家が支援する攻撃グループが事務所のネットワーク内で3年間活動していました。
• 不正な請求書発行は、業種や企業の規模には関係ありません。私たちは最近、発送した請求書が米ドルではなく香港ドルでの支払いを要求していることに会計担当者が気づき、請求書詐欺が明らかになったインシデントを経験しました。
このセクションでは、地政学的な優位を得るためにSolarWorld社に 壊滅的な打撃を与えた例から、政治的主張を持つベッドルームハッカー、
即時の金銭的利益を狙う犯罪グループによる攻撃まで、 脅威の全容における主要なプレイヤーのタイプとその動機の
多様性を見てきました。攻撃者の動機を予測するのは困難ですが、 最新のトレンドに注意を払い、その観点から自らの組織が持っているもの
にどのような価値があるのかを再検討することは、非常に有効です。
まとめ
15
最初からセキュリティを組み込む
経営陣は、長期的なビジネスおよび成長戦略の中で、テクノロジーがどこにどのように適用されるのかを理解しているでしょう。そして企業は、これらの戦略がリスクプロファイルにどのように影響するかを考慮に入れておかなければなりません。IT資産に追加するテクノロジーを選択、導入、および維持するプロセスに、セキュリティを統合するための十分な時間を組み込んでおくことは、長期的なセキュリティ戦略において非常に重要な要素です。しかし、ビジネス部門のステークホルダーが計画を立て期限を設定する際には、往々にしてこれらを考慮に入れることを忘れてしまいます。
IT資産の幅広さとComplexity
企業をセキュリティで保護するための最善の方法の1つが、攻撃対象領域をできるだけ小さくすることです。アプリケーションでは、使用しない機能を無効にすることで実行するコードの量を減らし、リスクに晒されるコードを少なくします。また、エントリーポイントを減らすことも有効です。
しかし多くのグローバル企業にとって、攻撃対象領域を小さくしてそれを維持することは、現実的ではありません。ビジネス上重要な機能は、それらを
COMPLEXITY(複雑性):ビジネスゴールと成長目標がセキュリティ戦略に影響を与える
Complexityは、セキュリティ環境に影響を与える内部要素、すなわち複数のコンポーネント間の関係性と相互依存性、およびそれらが生成する未知の変数の数に関連します。IT資産とそれを利用する人々の全貌を精査し、システム内の重要な資産を特定してそれらを守るための戦略を立てて予算を確保することで、企業のComplexityを理解し、それに対応することができます。そして、デジタルトランスフォーメーションのための全ての計画にセキュリティを組み込みます。
使用する人 と々同様に、コードの量、複数のエントリーポイント、様々なサービスによって成り立っているからです。
攻撃対象領域の流動性を管理する
さらに複雑さを増すのは、攻撃対象領域が流動的だということです。新しいエンドポイント、ハードウェア、ソフトウェア、さらにはユーザが追加されるたびに、新しい脆弱性を追跡し管理する必要があります。大規模なグローバル企業では、IT資産の追跡と監視、エンドポイントとプログラムの追加と削除、さらに組織内の人 (々新人であれベテランであれ)が今でも最大の脆弱性であり、全てが課題を生み出します。
デジタルトランスフォーメーションにおけるComplexity
新しいテクノロジーは、多くの社員にとって成長戦略のバックボーンです。しかし、これらの導入にあたっては、セキュリティを考慮して管理する必要があります。私たちは、関連するリスクとチャンスの大きさを説明するために、いくつかの統計値をまとめました。
16
インテリジェント オートメーション
人工知能 (AI)
4 https://www.processexcellencenetwork.com/rpa-artificial-intelligence/articles/putting-process-back-in-to-rpa5 https://aibusiness.com/trust-ai-rainbird-ceo/
2020年までに、管理部門と財務部門のタスクの.64%.が自動化される可能性があります.(thoughtonomy)
AIを必要とする仕事の割合は、2013年以降.450%.増加しています.(Adobe)
販売プロセスの52%.が、2020年までに自動化される可能性があります.(thoughtonomy)
CEOの.77%.が、AIと自動化によって脆弱性が増し、業務を遂行する方法が混乱すると言っています.(PWC)
「我々は、AIシステムの利用の拡大が既存の脅威の増大、新しい脅威の発生、そして脅威の性質の変化につながると考えています。」 (Malicious AI Report)
Forresterは最近、AI関連の意思決定者の.45%.が、AIシステムを信頼するのは難しい5と言っていることを発見しました(AI.Business)
Forresterは、2019年の末までに大企業の.40%.以上がAIとRPA4を組み合わせて最先端のデジタルワーカーを作成すると予測しています.(Process.Excellence.Network)
イノベーション戦略を実行している企業の約.61%.が、本来なら見逃していた可能性があるデータ内のビジネスチャンスを、AIを使用して発見しています.(Narrative.Science)
64%.
450%.
52%..
77%..
45%40%.
61%.
17
クラウド
6 https://www.business.com/articles/cloud-computing-enterprise-data/7.https://searchcloudsecurity.techtarget.com/tip/The-problems-with-cloud-based-email-security8.http://www.vebuso.com/2018/02/idc-80-billion-connected-devices-2025-generating-180-trillion-gb-data-iot-opportunities/
2021年までに、データの.94%.がクラウドプラットフォーム6を介して処理されるようになるでしょう.(Cisco)
IDCは、2025年には.800億台.ものコネクテッドデバイスが登場し、1年で180兆ギガバイトの新しいデータを生み出すと見込んでいます8.(Velocity.Business.Systems)
エンタープライズクラウドコンピューティングプラットフォームの採用について尋ねられたとき、ITプロフェッショナルの66%.が、セキュリティが最大の関心事であると答えています(LogicMonitor)
2025年にIoTデバイスから生み出され、ビジネスプロセスを変革するために解析され利用されるデータは.2020年に生成された全データ量と同じに達するでしょう.(IoTInnovation)
平均して.51%.の企業が、少なくともひとつのクラウドストレージサービスを外部に公開していました.(RedLock)
IT関連の意思決定者の.78%.が、今後2年以内にIoTデバイスでデータ損失や盗難が発生する可能性があると考えています(IoT.Innovation)
クラウド内の全てのファイルのうち、.21%.に機密データが含まれており、これは過去2年間で17%増加しました7.(TechTarget)
IoTテクノロジーを製造および使用している950社を調査した結果、職場でIoTデバイスを使用している企業の.48%が、それらのデバイスがハッキングされているかどうかを検知するメカニズムを備えていません.(Gemalto)
94%.
800億.
66%..
2020..
51%..
78%..
21%.
48%.
IoT
24%.の企業が、重要度の高いパッチをあてていないホストをパブリッククラウド上に置いています.(RedLock)24%
18
コラボレーションツール および リモートワーク
意図しない見落としは 即座につけ込まれる
CIOの.81%.が、昨年自社でWi-Fi関連のセキュリティ問題が発生したと答えています.(iPass)
年間.14億人.が、チャットボットと対話をしています.(Oracle)
社員のVPN経由でのモバイルワークに自信を持っている企業は.46%.のみでした.(iPass)
80%.の企業が、現在チャットボットを使用している、または2020年までに使用を計画していると回答しました.(Oracle)
外部とのコラボレーション時に、データセキュリティを考えていると答えた回答者は、わずか.38%.でした(Queens.University)
CIOの.57%.が、昨年モバイルワーカーがハッキングされたか、モバイルセキュリティ上の問題を引き起こしたのではないかと疑っています.(iPass)
顧客からのリクエストは年間.2,650億回におよび、企業はこれらのリクエストを処理するために約1.3兆ドルを費やしています。チャットボットを使用すると、これらのコストを.30%削減できます.(chatbot-slife.com)
81%.
14億.
46%..
80%..
38%..57%.
2,650億. |..30%
回答者の.51%.が、公共のドキュメント共有ツールを使用してコラボレーションしており、職場で使用が認められていないというの理由でそれらのツールを使っていない人はわずか.16%.でした.(Queens.University)
19
企業はそれぞれ、計画を持っています。それは成長のためであり、 競合に打ち勝つためであり、デジタルトランスフォーメーションの
ためですが、それは同時に経営陣やステークホルダーの 目標に合致している必要があります。企業がその全体的な目標を 達成できるようにするためには、サイバーセキュリティをあらゆる
ビジネス上の意思決定の中心に置く必要があります。
まとめ
20
ソーシャルエンジニアリング攻撃 - そしてそれらが配信するペイロード - は多様化しています
フィッシングメールは、最も効果的な攻撃手法です。レッドチーム演習では、誰かにメールをクリックさせるように誘導すれば、ほとんどの場合ドメインの侵害を可能にしてしまいます。攻撃者は目的を達成するためにあらゆる個人情報を活用し、容赦のない攻撃を展開しています。
さらに攻撃者は、このメカニズムを介して配信されるペイロードの範囲を、リモートアクセスのためのトロイの木馬からランサムウェア、ワームからマルウェア、短縮URLそしてUnicode.URLに拡大し、悪意のあるプログラムをダウンロードさせるWebサイトに導いています。
インメモリ攻撃は回避と進化を続けています
.NET、反射型DLLローディング、既存プロセス内でのコードの動的ロード、および従来型のツールの使い回しを含む、正規な機能の悪用が拡大しています。より高度なステルス技術が、メモリ常駐型のインプラントを見つけにくくしています。
AMBIGUITY(曖昧性):どのように狙われるのか
誰がその企業をターゲットにしているのか、そしてその理由についての議論を始めることができたと思いますが、次のステップはその方法を考えることです。
これは容易なことではありません。Ambiguityは、適切な量の情報が提供されているにも関わらず、何かが不明瞭な場合に現れます。ここでは、複数のサイバー攻撃を分析して攻撃者の戦術、テクニック、手順(TTP)がどのように反映されているのかを確認し、コーポレートおよびテクニカルチームと共同でこれらを探索するための用語を定義します。
防御チームのために開発されたツールが、PowerShell.EmpireやCobalt.Strikeなどの脅威グループによって利用される例も、多数確認されています。
悪意のある添付ファイルが囮として使われる
悪意のある添付ファイルは、これまでは攻撃者が足掛かりを築くための主要な手段でした。添付ファイルの検知が進化し、成熟したため、高度な攻撃者は、悪意のあるLNKファイルや他の同等のものを隠すために、添付ファイルを囮として使用するようになりました。
たとえば、イランに関連しているOilRigグループの攻撃を分析したところ、攻撃の際に囮として使われるExcelスプレッドシートと同時に、武器化された配信文書がダウンロードされた例が発見されました。また、CiscoのTalosグループは、Cobaltグループによる悪意のあるVBAコードを実行するWord文書を使った攻撃を特定しました。このWord文書は、ハードディスクに投下された無害な囮ドキュメントを表示するとともに、感染チェーンを開始します。
21
企業が直面していること
攻撃側は防御側よりも時間に余裕がある
攻撃者は時間をかけて、攻撃の計画、電子メールフィルタの偵察、ソーシャルエンジニアリングの戦術が効きそうな従業員の特定、既知の脆弱性に対する対応の有無のテスト、および国家が支援するハッカーが使うグレードのツールや手法の収集などの活動を行います。
攻撃者が必要なのは一回の成功だけ
攻撃の間、攻撃側は一回成功すれば良いという前提で、任意の数の操作を試みます。それとは対照的に、防御側は全ての攻撃に対して防御を成功させる必要があります。攻撃の際のこの非対称性は、
防御と対応を行う際に攻撃者の一歩先を行くために、攻撃者のスキル、専門知識、および考え方についての知識が必要であることを意味しています。
意図しない見落としは、すぐにつけ込まれます
多くの企業が、複数の地域にまたがる何百万台ものサーバとエンドポイントを持つ膨大なIT資産を抱えています。これらのIT資産は規模が非常に大きいため、全てのエンドポイントとその上で実行されているソフトウェアを常時把握することは困難です。多くの攻撃グループが、ゼロデイが発見されるのを待っており、未対策のサーバを検索する準備をしています。
ヒューマンエラーは、2018年に起きた侵害事件のほぼ5件に1件(17%)を占める主な原因でした。.これには、機密情報を破棄しなかった従業員、間違った人への電子メールの送信、Webサーバの設定ミスなどが含まれます.(Verizon.DBIR.2018)
Ambiguityは、攻撃者が皆様のビジネスを侵害しようとしている ときに利用する可能性がある、様々な方法に関連しています。 ツール、戦術、手順は進化し続けていますが、それらの多くは
本質的には変わっておらず、ヒューマンエラーを悪用し、正規の ツールを操作して本来の目的を隠蔽します。
まとめ
22
Volatility – 企業のリスクに影響を与える外部要因
トリクルダウン効果.-.誰が使用しているかに関わらず、国家が支援するハッカーが使うグレードのツールと戦う準備ができていますか?
ゼロデイ.-.ソフトウェア、ハードウェア、およびファームウェアに未知の脆弱性が見つかった場合、どのような手順を準備していますか?
サプライチェーン:サプライヤをチェックするためのプロセスは用意されていますか?
Uncertainty – 誰が、なぜ狙うのか
御社とその中核的な事業活動は、中国の5ヵ年計画のような、国家の支援を受ける攻撃グループが追従する目標にどのように対応しますか?
請求書、IP資産、M&Aデータ、顧客の個人情報など、金銭的な利益を求めている攻撃者が価値を見出しそうなものが社内にありますか?
皆様をサプライヤとして考えているのは誰ですか?
Complexity - ビジネス目標と成長目標が
セキュリティに影響を与える
成長と競争力の向上に欠かせないデジタトランスフォーメーションは、攻撃対象領域を拡大します。これは誰によって、どのように継続的に管理されていますか?
アップデートやアップグレードなどによる攻撃対象領域の流動性をどのように管理しますか?
攻撃対象領域のどの要素がビジネスにとって重要なのか、そしてそれらが危険に晒されたりオフラインにされた場合、どのようにそれらに対処しますか?
Ambiguity – どのように狙われるのか
フィッシングとソーシャルエンジニアリング
インメモリ攻撃とその継続的な進化
囮としての悪意のある添付ファイル
思い出して下さい:
・ 一部の攻撃者は数ヶ月.-.時には数年かけて攻撃の計画を立てる・ 攻撃者が必要なのは一回の成功のみ
CISOサマリー:VUCAチェックリスト
VUCAフレームワークは、どのようにサイバーセキュリティ戦略を策定し、経営陣を納得させるためのガイドになります。企業内で何が最も保護を必要としているか、そしてそれをどのように達成するのが最も適切かについてを明らかにすることで、誰が企業を狙っているのか、その方法、および理由を判断する際に、推測を排除できます。これまでに説明したことをまとめ、チェックリストを作成しました。
23
私たちのContinuous.Responseアプローチは、適切な人を適切な場所に適切なタイミングで配置し(Collaboration)、意志決定を行うための適切な情報を提供し(Context)、適切な行動を採る能力を提供(Control)します。
皆様の現在の検知と対応がどのような状況にあろうとも、私たちのアプローチが役立ちます。これにより、インシデントが発生したときにそれを管理し、迅速な意思決定のためのフレームワークを提供し、特定の行動が及ぼす影響を徹底的に理解し、
攻撃が発生したときに証拠、インテリジェンス、およびフォレンジックを収集する能力を養うことができます。
一言で言えば、企業が攻撃を受けた場合に、可能な限り早い段階で攻撃に対応できるよう、準備を整えることができるようになるということです。
しかしその前に、検知が(不可欠ではありますが)企業を保護するためには不十分である理由を見てみましょう。
2. どのようにして 攻撃を阻止 すべきか?私たちは、即座にインシデントに対応できるよう
常に備えている必要があります
24
検知への投資を 無駄にしない
攻撃検知の技術は飛躍的に進歩し、過去5年間で市場は急激に拡大しました。F-Secure.Counterceptはこの進歩の最前線にあり、自社でManaged.Detec-tion.and.Response(MDR)ソリューションを開発しました。私たちはレッドチームとしての経験から、企業を守るよりも侵害するほうが遙かに簡単であることに気づき、対するブルーチームの能力を同等にする方法を模索したのです。
また私たちは、セキュリティツールに何百万ドルもの開発費が投じられている一方で、現代の攻撃者は伝統的な検知技術を回避するための独創的で見つかりにくい方法を考案しているという明確な証拠も持っていました。
攻撃の自動化に対抗するための防御の自動化には長い時間がかかりましたが、攻撃の検知に欠けていたのは人的要素でした。つまり、私たちは人に勝つために人を必要としていたのです。
しかし、検知だけでは不十分なのです。さらに、名前にレスポンスを表す「r」を含めているにもかかわらず、多くの検知機能では、攻撃を受けている最中に適切に対応する能力が提供されません。
さらに多くのソリューションでは、必要なテレメトリデータが提供されず、脅威インテリジェンスも継続的に提供されていないため、多くのチームは既知の脅威に対する防御のみを行うしかありません。
セクション1で述べたように、現代では未知の戦術、テクニック、手順(TTP)が最も高度な攻撃者から様々な脅威グループへとトリクルダウンで広まっているいるために、検知がますます困難になっています。これらは組織を侵害する機能を持っており、従来の予防技術によって検知されることなく、ほんの数分で目的を達成できます。CrowdStrikeの2019.Global.Threat.Reportによると、ロシアの国家が支援する攻撃者は、最初の足がかりを得てから18分49秒でラテラルムーブメントを始めたことがログに残っています。
25
セキュリティチームが直面している課題
9.https://bricata.com/blog/how-many-daily-cybersecurity-alerts/.10.https://www.americanbanker.com/news/alert-there-are-too-many-cybersecurity-alerts.11.https://www.ponemon.org/local/upload/file/Damballa%20Malware%20Containment%20FINAL%203.pd12.Verizon:.“2018.Data.Breach.Investigations.Report”.www.verizonenterprise.com/industry/public_sector/docs/2018_dbir_public_sector.pdf13.https://www.ibm.com/downloads/cas/861MNWN2
アラートの海で溺れかける
より困難になる攻撃の検知
検知に時間がかかり、対応が遅れる
79%.が、アラートの数に圧倒されている9
インサイダーが関与する攻撃の28%.が正規のアクセスのため、検知が困難12
侵害の検知には平均して.100日.以上が必要13
61%.の銀行が、毎日100,000件以上のアラートを受信10
50%.の攻撃に犯罪者グループが関与12
攻撃からの復旧には平均して.46.日.かかり、そのコストは一日あたり.€18,689.13
アラートの.50%.が誤検知11
12%.の攻撃に国家が関与12
79%.
28%.
100.日以上
61%.
50%.
46.日.
50%.
12%.
€18,689./日.
26
の攻撃が、1ヶ月またはそれ以上の間、発見されません.*
攻撃からの復旧には平均46.日かかっています.**
68% 46日
* Verizon.2018.Data.Breach.Investigations.Report** Ponemon.2018.Cyber.Security.Trend.Report
これは、これまでの検知への投資が無駄だったということではありません。Continuous.Responseのためには、適切な検知が不可欠です。検知能力を高めることで、攻撃者がシステムにいるうちに検知して戦うことが可能になり、その結果、ビジネスに影響を与える前に攻撃を阻止できるのです。
適切な検知がContinuous.Responseを可能にし、攻撃者がシステム内に潜伏してしまう前に、システムから攻撃者を追い出すのです。どのようにしてそれを実現するかを、これから説明します。
企業は依然として検知と対応に苦しんでいます
50%
0%
100%侵害後の時間経過侵害前
ほとんどの侵害は数分の間に起こる
数分で発見されるのは
3% だけ
発見された攻撃
分分 時間時間 日日 週週 月月
87%
68%
27
Control
ContextCollaboration
Continuous Responseの仕組み
意志決定のために必要な全ての情報を
提供
アウトオブバンドのコミュニケーションをサポートし、必要に応じてその他の知識を
提供
ビジネスへの影響を最小限にするための最適なアクションを起こす
F-Secure.Counterceptは数十年にわたり、社内外のチームと協力して、システムに侵入してくる攻撃者を検知してリアルタイムに戦いながら、長い年月をかけて独自のテクノロジースタックおよびサービスを開発してきました。その結果、企業のセキュリティ環境や成熟度に関係なく、どのようなビジネスにも適用できるアプローチができあがりました。
私達はそれをContinuous Responseと呼び、それは3つの「C」で構成されます。
Continuous.Responseは、適切な人を適切な場所に適切なタイミングで配置し(Collabora-tion)、意志決定を行うための適切な情報を提供し(Context)、適切な行動を採る能力を提供(Control)します。
Continuous Responseの「Continuous」とは何か?
Continuous Responseは、悪意のある活動の兆候を常時探索し、侵害の最初期の兆候を検知すると、一連の対応行動をリアルタイムに実施します。
CONTINUOUS RESPONSE アプローチ
詳細な定義は以下のとおりです。
Collaboration:事前に役割、任務、および責任を定義した専門家チームと意思決定者を設定し(必要に応じて内部および外部)、関係者間の協力とコミュニケーション、そして適切な意思決定を支援します。
Context:関連する全てのビジネスインテリジェンスへのアクセスと、全システムからの最も適切なデータおよびテレメトリを組み合わせ、チームが迅速に目前の脅威を理解し対応できるようにします。
Control:リアルタイムにフォレンジックを収集して修復を試みながら、進行中の攻撃を封じ込め、ビジネスへの影響を最小限に抑えるための様々なオプションを提供します。
攻撃が識別されたときに遅延が発生しないよう、検知と対応を最適に組み合わせます。侵害が発生した後でなければ対応措置が取られないのではなく、Continuous Responseはキルチェーンの早い段階で最適化された対応措置を展開し、人間によるリアルタイムの攻撃に対するインテリジェントな対応を可能にします。
28
COLLABORATION 人に勝つためには、人が必要です。攻撃者がまだシステム内にいるうちに彼らと戦うためには、明確なプロセスと技術を持ち、熟練した専門家が必要なのです。.
Continuous.Responseの特徴は、チームの役割と責任をあらかじめ定義しておくことです。攻撃が検知された瞬間に、組織内の複数の人々が互いに協力する必要があります。Collaborationは迅速な意思決定を可能にするために不可欠であり、IT資産全体に明確なコミュニケーションラインを設定し、必要に応じてそれを段階的に拡大できるようにしておくことが重要です。
それでは、攻撃を受けている最中に、どのようにすれば優れたCollaborationを実現できるのでしょうか?
29
一次対応窓口
一次対応窓口は、インシデントに関する単一の窓口です。彼らの仕事は、企業とセキュリティパートナー、そしてサプライチェーンとの間の連絡係になることです。彼らには、次の目的を達成するための権限を与え、そのために必要な訓練も与えるべきです。
• 意志決定とエスカレーション• 予算の執行• 管理業務の監督• インシデントの最初の48時間を管理
重要な点は、彼らは特定の行動が及ぼす影響について完全に理解している必要があるということです。たとえば、顧客データが保存されていたり支払い処理をしたりするためのサーバが侵害されている場合、即座にプラグを抜いても大丈夫かどうか、バックアップはとってあるかどうか、といったことです。
脅威ハンター
脅威ハンターは、それが社内のリソースであれアウトソーシングであれ、Continuous.Responseの中心的な要素です。
「脅威ハンティング」という用語が生み出されてから、様々な業界で使われるようになりましたが、私たちにとっての定義は常に同じです。脅威ハンティングは、攻撃者の考え方を理解し、高度に訓練された、熟練し好奇心の強い個人によって構成されるチームによって行われるものです。知識と洞察力により、テクノロジーだけでは特定できない侵害の兆候を調べて発見します。
脅威ハンターは、単なる検知以上のことを担うべきです.-.それをエフセキュアが行う場合には、対応までを含みます。これには、ネットワークからログを取得すること、インメモリ分析を実行すること、マルウェアを逆コンパイルすること、および攻撃者の行動を遅らせるために妨害スクリプトを書き込むことなどが含まれます。
社内のITチーム
社内のITチームは、Continuous.Responseにおいても非常に重要です。彼ら以上に、社内のIT資産を包括的に知っている人間はいないのです。Collaborationのためには、IT資産のそれぞれの要素に対して日々の責任を持つ人(または人々)をアサインし、そういったメンバーで全体を構成することが重要です。
これには以下の責任が含まれます:
• ハードウェア• ソフトウェア• サーバ• アプリケーション
IT資産とその上で実行されている全てのプログラムのマップ。
各要素と、その全ての側面を知るためにチームメンバーを割り当てることで、インシデント対応にかかる時間を数日から時には数ヶ月も短縮することができます。インシデント対応に割り当てられる従業員が日常的にビジネス上重要な機能を担当している場合は、その従業員がインシデント対応をしている間、バックアップチームのメンバーが通常の業務を肩代わりすることをお勧めします。
セキュリティパートナー
攻撃が検知されると、様々なスキルセットを持った担当者のチームが必要となります.-.社内にいる人もいれば、外部の人もいます。チームがどこにいようと、明確な指揮系統が必要です。そのためには、一次対応窓口が重要です。
人々
30
実際にインシデントが起きる前からセキュリティパートナーとの関係を構築しておくことには、多くの理由があります。まずそれは、インシデントが起きたときに2番目に電話をかける相手を確保したことを意味します。攻撃を受けてから「誰に相談すべきか?」を検索するために貴重な時間を浪費することがありません。さらにそれは、インシデントが起きる前にCollaborationのための重要な基礎を築くことができることを意味します。パートナーとの間であらかじめプロセス、プレイブック、役割、ツー
ル、そして責任について合意しておくのです。そしてそれはまた、皆様がContinuous.Responseアプローチをうまく適用できるのかどうかを事前にテストし、その有効性に関してフィードバックを得ることができることを意味します。
企業内でCollaborationを最適にサポートする方法を決定する際には、以下の点を考慮してください:
• インシデントに対応してセキュリティパートナーと連絡を取り合うチームを率いるのは誰か?.彼らは、夜中にサーバをシャットダウンする権限を持っているか?
• IT資産の特定の部分に対して責任を持つ技術的な専門家のチームをアサインするとき、全てのハードウェアとソフトウェアはカバーされるか?
• 新しいIT資産が追加されたときのプロセスは決まっているか?
• 企業全体を通して対応の準備状況を共有するための計画に責任を持っているのは誰なのか?
• シンプルなアンチウイルスのアラートを監視して対応するのは誰なのか?
31
プレイブックの重要性
対応のためのプレイブックは、企業の経営陣がこれまでに承認した中でも、最も重要な文書になるでしょう。これは、企業が何を持っているのか、それがどこにあるのかを理解し、そしてそれをどのように保護しようとしているのかのプロセスを明確にします。それはインシデントの間、迅速な対応を可能にし、コミュニケーションを効率化し、そして全員に共通の理解を与えます。
しかし、あらゆる状況に対応できる単一のシナリオはありません。テンプレートは便利ですが、プレイブックは社内の役割分担、責任、そして目的に合わせなければなりません。全てのIT資産、プログラム、およびエンドポイントをログに記録し、バックアップし、アクセス可能にし、調査できるようにすることは、ITチーム全体との共同作業です。
プレイブックを使った訓練には、最悪のシナリオを考えることが含まれます。たとえば、夜中に誰が電話をとるのか?.誰かが休暇中の場合はどうするのか?.特定の人に連絡が取れない場合のプロセスはどうなっているのか?.データはどこから来るのか?.社内外のコミュニケーション計画はできているのか?.誰がそれをリードするか?.支払い処理のサーバが侵害され、シャットダウンする必要がある場合にはどうするのか?.誰がその決定を下す権限を持っているのか?.その場合、どのように顧客に伝えるのか?.誰がマスコミからの問い合わせを処理するのか?
インシデント管理は多くの場合、SOCチームやITチームの権限・役割をはるかに超えるものになります。
インシデントが起きている間には、多くの未知な出来事が起こります。それが表面的には計画を難しくしていますが、Collaborationのための基礎を確立しておくことの重要性は変わりません。データとテレメトリを収集する脅威ハンターから、インシデントの間専用の会議回線を保持すべき主要連絡先、バックアップのための計画、または侵害されたサーバやマシンの電源プラグを引き抜くための計画に至るまで、これら全てについて事前に決定されたプロセスが必要で、それは経営陣によって承認されていなければなりません。私たちの経験では、最初に手を付けるべきなのは、「プレイブック(攻撃の想定シナリオ)」です。
プロセス
32
プレイブックを成功に導くために
プレイブックをテストします。その後、もう一度テストします。そして、もう一度。
プレイブックは、継続的にアップデートされ続けなければならない、生きている文書です。企業が成長し、発展するにつれて、プレイブックが効果的な文書であり続けるために反映しなければならない様々な変化を経験することを想定してください。しかし、プレイブックを承認する前に、参加者全員の役割が明確になっており、全てのプロセスをできるだけ円滑に実行できることを確認するために、テストすることが重要です。これは、災害復旧の際のシナリオをテストするのと同じことです。
全ての役割の、全ての人をテストする
役割と責任を明確にすることの重要性について確認しましたが、それをさらに進めることが重要で、そうすればコアチームの全ての人が必要な全ての役割で訓練されテストされることになります。これにより、あらゆる事態(および想定外の事態)に確実に対処できます。
継続的な評価が重要
どのような企業においても、物事は変化します.-.そして変化は急速です。たとえば組織変更の際には、特定の業務を処理する担当者の連絡先リストのようなものは、すぐに使えなくなる可能性があります(Equifaxが侵害された事件では、既知の脆弱性を修正するための指示が古い受信者リストに対して送られたことが原因でした)。インシデント対応計画は、継続的に再評価されるべきで、特に企業が何らかの変更や合併を予定していたり、何らかのインシデントが起こった直後などは、計画が現在のセキュリティ環境や最新の攻撃状況に即しているかどうかを確認することが重要です。Collaborationの基本は、全てのネットワークマップ、メーリングリスト、その他の情報を最新のものに維持することです。
33
テクノロジーは、それを使用する人々によってプログラムされるべき
エフセキュアでは、基礎研究の一環として、そしてお客様のシステムに対する攻撃との闘いの中で脅威ハンティングチームが発見した戦術、テクニック、手順(TTP)に基づいて、常にツールを更新しています。脅威ハンターは絶えず新しいハンティング手法や仮説を検討しており、ツールを開発するチームは彼らの隣に座っています。
機械学習と人間による最新情報の正しい組み合わせ
多国籍企業の平均的なIT環境は、一時間に何百万件ものデータを生成します。私たちは攻撃の検知に人的要素が必要であることを主張していますが、既知のマルウェアや実行ファイルを識別するために機械学習ができることもたくさんあります。機械学習と統計解析の役割は、データをかき分けて進むことではなく、不要なノイズを除去し、異常を見つけやすくすることです。それにより、脅威ハンターは最も疑わしいインシデントの調査に時間をかけられるのです。
「だれが何を所有しているのか」を知るための方法のひとつとして、IT環境に含まれている資産を文書化し、すぐに利用できるようにしておくことが挙げられます。しかし同じくらい大事なのは、ITチームとパートナーがContinuous.Responseを行えるようにするための包括的なテクノロジースタックを構築することです。そのようなスタックの仕様は相当なボリュームになりますが、私たちの経験から導き出された必須の要素は次のとおりです:
コミュニケーション
インシデント対応において、コミュニケーションが不可欠であることは言うまでもありません。理想的には、全てのチームが攻撃の状況を透過的に、明確かつ瞬時に把握できるように、ポータルまたは中央制御の通信プラットフォームが必要です。通常のチャネルとの接続が危険にさらされる可能性があるため、アウトオブバンドの通信オプションを検討しておくことにも価値があります。
さて、これでCollaborationの基盤ができました。攻撃と戦うために必要な情報をどのようにして蓄積し始めれば良いでしょうか?.それには、Contextが必要です。
テクノロジー
34
CONTEXT 攻撃を検知した場合、迅速にデータを収集して意志決定することが重要です。しかし、どのようにして適切なデータを収集し、その整合性を確保すれば良いでしょうか?
Contextは、インシデントについて可能な限り多くの情報を提供するために、データを収集するための適切な環境を提供します。データセットを最も有用な形に加工するための適切なツールを持ち、訓練を受けた専門家が必要です。どこから始めれば良いでしょうか?
それは、脅威ハンターです。
35
脅威ハンティングのためのスキルセット
以前よりも手法は確立されつつありますが、脅威ハンティングは新しい分野であり、チームのために経験豊富なハンターを見つけることは難しい場合があります。F-Secure.Counterceptもその例外では無く、そのため現在のチームには大きな価値があると考えています。
しかし、長年の経験が必ずしも必要ではないことを私たちは学びました.-.ある個人が良い脅威ハンターになれるかどうかを左右するのは、無数のスキル、性格や特質、および生い立ちなどです。長年の経験や大学での専攻は必ずしも重要ではありません。それどころか、皆様はチームが慣例を無視し、時には伝統的な情報セキュリティフローに反する道を選ぶことを望むでしょう。彼らは脅威ハンター以上のものであるべきです.-.彼らは、レッドチームのメンバー、インシデント対応の担当者、そしてデータサイエンティストが持つべき特性とスキルを兼ね備えている必要があります。
脅威ハンターは、次の様な特性を備えるべきです:
攻撃を受けた場合、広範なビジネス上のコンテキストおよび様々な行動が与える潜在的な影響について、幅広いグループの人々が関連する情報を提供する必要があります(この点については、プレイブックを扱うCollaborationとControlのセクションで、この問題に対応する最良の方法についてご確認いただけます)。継続的なトレーニング、準備のための演習、およびコンサルティング(脅威のモデル化、パープルチーム演習、攻撃経路マッピングなど)により、チームおよびパートナーの準備を行い、適切な判断を迅速に下し、関連する全てのビジネスコンテキストを考慮し、最も重要な情報を把握するための知識と経験をチームに提供します。
セキュリティに魅了され、刺激を受けている
この特性は、様々な方法で確認できます。攻撃をシミュレートするために自宅にテストのためのネットワークを構築したり、暇なときにマルウェアを解析したり、個人でアクティブなGithubアカウントを持っていたり、個人の資格でセキュリティカンファレンスに参加したりするなど、彼らがセキュリティのために生き、セキュリティを呼吸しているという証拠を探しましょう。
技術的に優れている
脅威ハンターは、コンピュータがどのように動き、壊れ、使われ、悪用されるかについて、非常に深いレベルで理解している必要があります。また、OSの基礎と内部構造、ネットワークの基礎の理解、そしてマシン同士がどのように通信するのかについての本質的な理解も必要です。プログラミングとスクリプティングに関する十分な知識を持っていれば、分析と統合をスピードアップするために複数のシステム、大規模なデータセット、またはフォレンジックアーティファクトを扱う際に非常に役立ちます。.
挑戦し、疑問を持つ
人々
36
脅威ハンターは、問題への取り組み方において革新的でなければならず、新しく創造的で建設的な方法で問題を解決すべきです。そして現状に決して満足せず、常に知識に基づいて攻撃の検知方法を改善するべきです。
攻撃者の考え方を理解している
脅威ハンターの仕事には、攻撃者がどのように行動するかを知り、攻撃者の次の動きを予測し、攻撃者よりも先に新たな技術を開発することが含まれます。脅威ハンターは、検知ツールに対して模擬攻撃を実行して正しいテレメトリが収集されることを確認し、効率的に仕事をできるようにする必要があります。
研究の時間を与えられる
私たちは脅威ハンターに基礎研究のための時間を割り当てており、彼らは自社開発のツールとオープンソースの防御ツールの両方をテストし、オープンソースのコードとツールを開発して広くセキュリティ業界に配布すると共に、新しい攻撃者の戦術、テクニック、手順(TTP)について研究しています。私たちの脅威ハンターは、あらゆる規模、業界、地域で脅威ハンティングを行うため、常に検知の最前線にいなければならないからです。
37
私たち独自の脅威ハンティングプロセスでは、ツールとテレメトリをインテリジェンスと組み合わせ、攻撃者のTTPを詳細に調査します。これにより脅威ハンターは、誰がどのように企業を攻撃しているのかについてのインサイトに基づいて、未知の脅威や新たに出現する脅威を継続的に探すことができます。
脅威ハンティングの進め方:
プロセス
脅威ハンティング
自動化
脅威インテリジェンス
インシデント対応 レッドチーム 行動解析研究
3. 発見した脅威への対応を自動化して誤検知を減らし、新しい攻撃者のTTPを
解析するための時間を稼ぐ。
1. 内部・外部の複数の研究から、攻撃者の新たな手法に関するハンティングの
「仮説」を捜し出す。
キルチェーンの初期の段階で悪意のある
活動の兆候を見つけるために、脅威ハンターは
攻撃者の考え方にシンクロ。
未知の脅威を見つけ、自動化された通知を新たに作成。(ハンティングユースケースを実行)
検知と対応のチーム
2. 4.
38
データ解析
EDRによって収集された情報は、持続的メカニズム、メモリ操作、プロセス情報、ユーザセッション、その他多数のデータソースなど、悪意のある活動の早期警告サインとなる異常を発見するために、内部または外部の脅威ハンターによって分析されるべきです。
脅威インテリジェンス
新しい脅威が特定された場合、それらをインテリジェンスフィードに追加する必要があります。それらは既知の脅威となり、同じシグネチャを持つ攻撃にはフラグが立てられます。これは誤検知を排除するのに役立つだけでなく、脅威ハンターが現場で実際に見られる侵害の指標からユースケースを作成することを可能にします。
「正しい」データを照合する
攻撃が疑われる場合、エージェントは脅威ハンターが解析しやすいようにデータセットをできるだけ縮小する必要があります。人、プロセス、およびテクノロジーを組み合わせて、たとえばデータの異常性に基づいたり、特定のファイルやプロセスを探すためにデータをフィルタリングしたりしてデータをグループ化できるようにする必要があります。
これでデータを入手できました。次のステップに進み、インシデントをControlするための意志決定を下すことができます。
脅威ハンターが使うツール
脅威ハンターは、サイバー攻撃を最初に検知することで、企業が攻撃と戦うための最初のステップを踏み出します。攻撃者が侵入していることをリアルタイムに検知するためには、攻撃が本物であるかどうかを確認し、キルチェーンに沿って追いかけるために、脅威インテリジェンスと既知の脅威を組み込み、革新的で常に最新に保たれたツールが必要です。これはプロセスやテクノロジーと同じくらい重要です。
EDR
EDR.(Endpoint.Detection.and.Response:エンドポイントの検知/対応)エージェントは、組織に対する攻撃を検知してそれに対応するための重要な基盤です。EDRには、全てのエンドポイントのアクティビティが収集され記録されることを確認し、Continuous.Responseを可能にするための豊富な機能を含むべきです。
インシデントが起きる前にEDRを導入することで、企業内のエンドポイントの正確な数と場所を特定することができ、攻撃者が重要な資産にアクセスするために悪用する可能性のある攻撃経路を事前に調べることができます。そして作業の一部として、これらの経路を排除します。
その他のテレメトリには、ログとネットワークデータを含める必要があります。
テクノロジー
39
CONTROL攻撃がこちらを狙わないように.誘導する.
Controlには、Continuous.Responseのための捜査、封じ込め、および修復のための行動が含まれます。
企業の規模と予算に応じて、ひとりまたは複数の担当者が対応を行いますが、中核となるスキルには、インシデントの封じ込めのためにContextフェーズで照合されたデータの取込みに加え、フォレンジックとアーティファクトのリアルタイムな収集が含まれます。
40
ファーストレスポンダの価値
防御担当者からインシデント対応の担当者まで、チーム全体が「ファーストレスポンダ」の意識を持てば、その後の調査活動の成功率が大幅に向上します。これによりチームは、組織全体の事業継続性に影響を与える、情報に基づいた協調的で重要な決定を下すことができます。
専任のファーストレスポンダをアサインして初期対応を行う事で、経験豊富な研究者は、より迅速に分析を実行し、調査することができます。その役割は、皆様のオフィスでの防火責任者だと考えてください.-.すなわち、火事の場合に何をすべきかを知っており、皆が安全に逃げられたかどうかを確認するけれども、消防隊ではない人、ということです。
IT資産内でリアルタイムに活動している攻撃者が
人々
いるときは、時間が最も重要となります。ファーストレスポンダによる対応で、攻撃者がシステムに侵入している時間を大幅に減らすことができ、最適な封じ込めと修復を行う事ができます。
チームは、最低でも以下を備えている必要があります:
• 証拠取扱いのための、企業のポリシーと手順に関する知識
• メモリ、ディスク、ネットワーク、およびログからデータを収集する能力
• 証拠の追跡、分析およびトリアージ(選別)のための手法
• 一次対応窓口と一緒に、検知後48時間、インシデントを管理する能力
41
プロセス
パートナーのサービスデスクが
セキュリティインシデントを受信
インシデントを記録し、パートナーの
セキュリティチームに連絡
ツールやユーザからの追加情報を
レビュー
SIEM/IDPS/AV 等
誤検知か正しい検知か?
チケットをアップデートして
クローズ
問題を解決してクローズ インシデントは
P 1/ 2 か P 3 か ?
クライアントのセキュリティチームに
連絡して主インシデントを起動
セキュリティインシデント報告
フォームに記入してチケットを
アップデート
パートナーのセキュリティ、インシデント、
デリバリーチームに連絡
正検知
誤検知
P3
P1/2
パートナーのサービスデスク
パートナーのセキュリティチーム
パートナーのセキュリティマネージャ
パートナーのセキュリティインシデント
およびサービスデリバリー
CSIRTクライアントのセキュリティチーム
START マルウェアの特性を特定するための
初期解析
感染ホストを全て特定し、
接続遮断または隔離
ホストのフォレンジック、
アーティファクト、解析結果を収集
即座のエスカレーション
は可能か?
既知の感染経路か?
マルウェアはリモートコードの
実行が可能か?
第二の感染の可能性はあるか?
適切なCSIRTメンバーに連絡
CSIRT連絡先
感染が確認されたホストの接続解除
または隔離
地域の標準に合わせて対応ポリシーを
レビューしてアップデート
攻撃の影響をレビュー
通常とは違うファイル、レジストリエントリ、
プロセス、サービス、ネットワーク活動、定期タスク、ログエントリー
ディスクイメージ、メモリのスナップショット、
ネットワークまたはドメインのログ、その他利用可能なログ
マルウェアは実行前に
検知されたのか?
NO
YES
YES
NO
YES
新規の感染を継続的に監視
42
サンプルプレイブック:全員に共通の理解を持たせる
これは、あるお客様とそのセキュリティパートナーのためのプレイブックのうちのひとつです。プロセス全体を説明しているわけではありませんが、インシデントが起こる前にプロセスを文書化するために、どれだけの詳細が必要であるかについてのヒントが得られるでしょう。
パートナーのサービスデスクが
セキュリティインシデントを受信
インシデントを記録し、パートナーの
セキュリティチームに連絡
ツールやユーザからの追加情報を
レビュー
SIEM/IDPS/AV 等
誤検知か正しい検知か?
チケットをアップデートして
クローズ
問題を解決してクローズ インシデントは
P 1/ 2 か P 3 か ?
クライアントのセキュリティチームに
連絡して主インシデントを起動
セキュリティインシデント報告
フォームに記入してチケットを
アップデート
パートナーのセキュリティ、インシデント、
デリバリーチームに連絡
正検知
誤検知
P3
P1/2
パートナーのサービスデスク
パートナーのセキュリティチーム
パートナーのセキュリティマネージャ
パートナーのセキュリティインシデント
およびサービスデリバリー
CSIRTクライアントのセキュリティチーム
START マルウェアの特性を特定するための
初期解析
感染ホストを全て特定し、
接続遮断または隔離
ホストのフォレンジック、
アーティファクト、解析結果を収集
即座のエスカレーション
は可能か?
既知の感染経路か?
マルウェアはリモートコードの
実行が可能か?
第二の感染の可能性はあるか?
適切なCSIRTメンバーに連絡
CSIRT連絡先
感染が確認されたホストの接続解除
または隔離
地域の標準に合わせて対応ポリシーを
レビューしてアップデート
攻撃の影響をレビュー
通常とは違うファイル、レジストリエントリ、
プロセス、サービス、ネットワーク活動、定期タスク、ログエントリー
ディスクイメージ、メモリのスナップショット、
ネットワークまたはドメインのログ、その他利用可能なログ
マルウェアは実行前に
検知されたのか?
NO
YES
YES
NO
YES
新規の感染を継続的に監視
43
Continuous Responseのためのツールに求められる機能
対応のためのツールは、疑わしい活動の迅速なトリアージ(選別)と、攻撃検知データやその他の情報源から特定された疑わしい活動についての詳細な調査を実施する必要があります。攻撃者がネットワーク上で足場を築いた時期、攻撃の展開方法、使用したツールやテクニック、その他多くの詳細について、対応担当者が正確に特定できなければなりません。この情報は、攻撃経路を追跡して阻止するための対策や、別の侵害が再度発生することの防止、またはその両方に役立つため非常に重要です。
テクノロジー
対応担当者には、以下の技術が必要です:
• 足場が確保されたかどうかを確認するために、ターゲットエンドポイント上のレジストリ、スケジュールされたタスク、サービス、およびファイルに対してアクションを実行する技術
• 悪意のある攻撃者が所有するC&Cサーバへの悪意のあるアウトバウンド接続や、その他の疑わしいイベントを検知するためにターゲットエンドポイント上でネットワーク関連のアクティビティを可視化する技術
• レジストリハイブやマスターファイルテーブルなど、目的のエンドポイントから特定のファイルまたはフォルダを抽出する技術。これは、既知の悪意のあるファイルまたは疑わしいファイルがホスト上で検知された場合に、オフラインでさらに分析する際に特に役立ちます
• スケジュールタスク、サービス、またはレジストリキーを削除して、悪意のある既知の持続的攻撃のメカニズムの実行を阻止する技術
対応担当者が使うツールは、次の機能を備えている必要があります:
• メモリやディスクのアーティファクトなどのフォレンジックデータを収集し、さらなる分析のためにそれらをチームに送信する機能
• 特定のIoC(Indicators.of.Compromise)が存在するかどうかを確認するために、複数のエンドポイントを積極的に検索する機能
• Contextからのデータを使用して、侵害のタイムラインを追跡する機能
• 侵害されたマシンのファイルシステムで重要なアーティファクトを探索する機能
• ターゲットマシンから全てのイベントログを収集する機能
44
攻撃者が目標を達成することを積極的に防止
攻撃者がシステムに侵入して攻撃を行っている間、攻撃者に気づかれないように攻撃者の行動を妨害することで、対応担当者が脅威を封じ込めるための時間を確保し、資産を保護することができます。
この能力には、洗練度に応じて異なるレベル(基本と上級)があります。
基本
ネットワーク接続を遮断すると、ホストと悪意のあるドメインとの間の接続が全て切断されます。場合によっては全てを遮断するのではなく、特定の接続だけを遮断し、攻撃者が特定のエンドポイントにアクセスできなくすることもあります。
ターゲットエンドポイントをネットワークから隔離することは、最も強力な積極的防御タスクです。対応担当者との接続を除く全ての接続をブロックするため、脅威ハンターまたは対応担当者は防御とホスト上での捜査活動を実行し続けることができます。これは、既知の脅威を封じ込めるためにも、既知の標的を封じ込めて攻撃者が目標を達成するのを防ぐためにも有効です。
上級
ネットワーク接続の品質を低下させると、攻撃者は迅速に活動できなくなり、攻撃を妨害することができます。対応担当者は、特定のエンドポイントの特定のIPアドレスレンジとの間で送受信されるパケットの転送速度を制限できます。これにより、攻撃者が特定のデータを抽出しようとする際に時間がかかり、対応チームが侵害の全体像を把握するための貴重な時間を稼ぐことができます。
攻撃者のC&Cチャネルを劣化させることで攻撃を封じ込め、妨害します。攻撃者は、検知されたことはわかりません。
45
3. 実案件への適用: CONTINUOUS RESPONSEの ケーススタディ
私たちのContinuous.Responseアプローチは、リアルタイムに活動している攻撃者と戦うためだけのものではありませんが、それは大きな部分を占めています。そして残りの部分は、企業のあらゆる側面において対応の準備が整っているかどうかについてであり、侵害が起きた場合に備えて様々な準備が整っているかどうかを確認することです。
本セクションでは、あるグローバル金融機関が侵害された案件について解説します。これは実際に起きた事件ですが、企業名が特定されないよう匿名化されています。最初にインシデントの全容について説明し、次にContinuous.Responseが採用されていれば異なる結果がもたらされた可能性があることを説明します。
攻撃はいかにして起きたか
攻撃を説明する際に使われる最も一般的な方法のひとつは、キルチェーンとして知られている概念に沿うものです。これは多くの場合線形のプロセスとして示され、攻撃者は偵察、初期の侵害、ラテラルムーブメント、データの漏洩など、各ステージで一定のステップをたどります。現実的には、現代の攻撃者は方法論においてこれほど直線的ではなく、その代わりに情報収集、侵害、および特権のエスカレーションのプロセスではより柔軟なアプローチを採用しています。
このケーススタディの攻撃も例外ではありませんが、攻撃がどのように行われたかをわかりやすく説明するために、従来のキルチェーンを使用します。
46
偵察
このグローバル金融機関は、中小規模のフィンテック新興企業向けに定評のあるインキュベーターを持っており、それらの企業のいくつかを買収するつもりでいました。そのことは、Webサイトで詳細に説明されていました。
国家が支援する攻撃グループが、これらの間もなく買収される予定の企業のひとつを標的としました。この企業は当時IT部門の担当者は2人しかおらず、小規模なチームが管理者権限を共有していました。
配信
攻撃グループは、このフィンテック企業の法務チームが頻繁に利用していた法律事務所のWebサイトに水飲み場攻撃を仕掛けました。マルウェアは、この特定の会社だけを標的とするような方法で配信されたため、その法律事務所のサイトにアクセスした他の組織のユーザは誰も影響を受けていませんでした。.
持続性、制御、特権、ラテラルムーブメント
全ての従業員が管理者権限を持っていたため、攻撃者にとってラテラルムーブメントは簡単でした。彼らは迅速にシステム内を移動し、共有ファイルを検索し、他のツールやバックドアを仕込みました。.
目標 1
攻撃者は6か月以上をかけて組織全体を横断し、ソースリポジトリを狙って足場を構築し、ソースコードを抽出しました。
しかし、これは始まりにすぎませんでした。.
目標 2
このフィンテック企業はグローバル金融機関に買収されましたが、両社のシステムが統合された時点では、フィンテック企業は侵害に気付いていませんでした。親会社の方には、脅威ハンティングの手法や実績のある統合手順を含む、十分に確立されたサイバーセキュリティプログラムがあり、それには、買収する企業のシステムを全て初期化し、再構築することが示されていました。しかし時間的制約の中で、実際にはただシステムを移設して再起動しただけでした。攻撃者は、効率的にグローバル金融機関に侵入できたのです。
攻撃はどのように行われたか
47
攻撃の検知
統合作業を開始してから24時間後、グローバル金融機関の内部に置かれていたSOCは、エンドポイントのゲートウェイIDSシステムからの疑わしいトラフィックを検知しました。
しかし統合作業を急いでいたため、グローバル金融機関のサイバーセキュリティ管理プロセスは、フィンテック企業までは展開されていませんでした。
セキュリティパートナーへの連絡
当初SOCは、この通信はフィンテック企業にとって異常なものではないと考えていましたが、念のためにインシデント対応担当者に連絡しました。
グローバル金融機関のセキュリティ管理プロセスはフィンテック企業に全くロールアウトされていませんでしたが、テレメトリを収集できる可能があったため、私たちのチームはEDRをフィンテック企業に導入しました。
悪意のある活動を特定
数時間後、チームが現地に到着したところで、マルウェアがDNSを介して通信を始めました。
捜査の開始…
48
マルウェアのリバースエンジニアリングと通信のリダイレクト
暗号化されたトラフィックを捉えるために、チームはC&Cチャネルを制御して「ビーコンを追いかけ」、攻撃者がどこに向かっているのかを確認し、C&Cを私たちの制御下のインフラストラクチャにリダイレクトしました。それと並行して、F-Secure.LABSにいるチームが、マルウェアとその暗号化ルーチンのサンプルのリバースエンジニアリングを開始しました。
見つけて隔離
これが完了すると、キャプチャされたC&Cトラフィックを復号化し、ビーコンを送信しているコンピュータの正確な台数を特定し、それらを隔離しました。.
捜査への支障
この時点で、グローバル金融機関とフィンテック企業の両社は、大量のデータを失っていました。.
困難な捜査
その他にも、多くの要素が関与を困難にしました。私たちは社内のパニックに陥った担当者から多くの電話を受けましたが、その一方で、私たちはしばしば適切な担当者を見つける事が困難であることを知りました。私たちが話をしたチームや担当者には、意思決定や予算を承認する権限がありませんでした。
Continous Responseを採用していれば、結果は変わっていたで しょうか?
49
重要な意思決定へのセキュリティ担当者の関与
会社統合を急いだことは、理想的なシナリオではありませんでしたが、通常のM&Aプロトコルに従わないという意思決定にセキュリティチームが関与していれば、できることはあったはずです。たとえば、期限が間に合わない場合は、統合前にEDRをフィンテック企業に導入するなど、セキュリティチームが他のアクションを実行できた可能性があります。
企業のインフラの全体像を把握
Continuous.Responseアプローチは、その一部として企業独自のインフラに3つのCを適用するため、攻撃が発生したときにチームは全システムを確実にマッピングできます。今回の捜査では、システムが完全にマッピングされていなかったために封じ込めのフェーズで問題が起こりました。3つのCにより、企業は自分たちのIT資産について継続的な評価と管理を行い、ビジネスを適切にコントロールできていることを確認できます。
エスカレーションルートと手順の標準化
Continuous.Responseアプローチは、想定外のものも含め、できるだけ多くの不測の事態に備えるためのプロセスの定義をサポートします。
これには、M&Aに先立って機密性の高いトピックスを伝達するための標準化されたエスカレーションルートや手順の設定が含まれます。
コミュニケーション方法の事前設定
優れたContinuous.Responseプラットフォームは、コミュニケーション、エスカレーション、および特定のアクションを承認するための動的な手段を提供します。Continuous.Responseの理想は、誰がオンラインであるか、彼らの権限が何であるかを表示し、特定のアクションが実行されたときにメッセージを送信するようなリアルタイムプラットフォームを備えていることです。
CONTINUOUS RESPONSEを採用していれば 結果は違ったものになったのか?
Continuous.Response.は、いくつもの方法によってこの侵害事件の結果を変えることができます:
COLLABORATION
50
CONTEXT CONTROL
攻撃に関連するデータの照合および配布のための合理化された方法
グローバル金融機関の一部のみがEDRを導入し、フィンテック企業はそれを持っていませんでした。このため、攻撃経路を即座に追跡することが困難でした。さらに、SOCチームは攻撃を迅速に検知しましたが、捜査を支援するためにシステム全体からデータを収集するための確立された手順はありませんでした。
検知と修復能力
グローバル金融機関は、しっかりしたSOCを備えていましたが、脅威ハンティングの能力は検知に偏っていました。.SOCにはアラートを監視する能力のある人がたくさんいましたが、理想的なシナリオは、全てのチームメンバーが封じ込め、遠隔調査、および対応を拡張する能力について訓練を受けていることです。
51
結論
本ホワイトペーパーは、企業を新たな「対応」の時代へと導き、そのためのアプローチの方法を提供することを目的としています。私たちは、脅威を取り巻く状況の最悪の部分を見てきました。そして、企業が自分自身、従業員、そして株主を守るためには、Continuous.Responseが不可欠であると信じています。
私たちは、それが簡単なことではないこともよくわかっています。そのためには、セキュリティリーダーシップ、各チーム、そして経営陣からの多大なサポートが必要です。
私たちとの対話にご参加下さい。皆様からのご質問やフィードバックをお待ちしています。
私たちの目標は、皆様が組織を守るための活動のどのような段階にあるかに関わらず、サイバー攻撃の影響を受けずに皆様がビジネスを継続できるようにサポートすることです。これは、皆様がすでに脅威ハンティングチーム、EDR、または対応のための担当者を持っているとしても変わりません。
安全な世界は、私たち全員にとってメリットを.もたらします。
52
www.f-secure.com
Connect.with.us
エフセキュア株式会社〒105-0004東京都港区新橋2-2-9.KDX新橋ビル2FTel..03-4578-7710E-mail.:[email protected]