ここ最近、注目を集めている「脅威ハンティング(スレット・ハンティング)」

ここ最近、セキュリティ対策の分野で注目を集めている手法が脅威ハンティング(スレット・ハンティング)です。たとえアンチ・ウィルスプログラムを導入していても、企業の防御ラインを突破して、すでにネットワーク内に侵入しているハッカーやマルウエアが存在することに、多くのセキュリティ担当者が気付きはじめています。本記事では、企業のネットワークに潜んでいるハッカーやマルウェアをあぶり出す、脅威ハンティング(スレット・ハンティング)についてQ&Aの形でご説明します。

脅威ハンティング(スレット・ハンティング)とペネトレーションテストはどう違いますか?

脅威ハンティング(スレット・ハンティング)は、侵入を防ぐ最大限の対策を行っているにもかかわらず、ハッカーが企業のネットワークに入り込んでいると仮定し、ネットワークの内部で何が起こっているのか、特にプロセスの不審な振舞いに注目してデータを集め、分析します。マルウェア等による悪意のあるアクティビティをあぶり出し、詳細に調査を進めていきます。

ペネトレーションテストでは、外部から企業ネットワークに侵入するテストを行い、どの部分からハッカーがアクセスする可能性が高いのか、ハッカーがどの程度深く企業内部まで侵入できるのか、を診断します。 

脅威ハンティング(スレット・ハンティング)とインシデント対応はどう違いますか?

脅威ハンティング(スレット・ハンティング)の目的は、すでに環境内に侵入・潜伏しているハッカーやマルウェアを見つけ出すことにあります。一方、インシデント対応では、検知済みの脅威について対処を行います。

スレットハンティングで検知された脅威は、インシデント対応チームにとっては未知の脅威です。言い換えれば、脅威ハンティング(スレット・ハンティング)は事前対応型のアプローチであり、インシデント対応は事後対応型のアプローチであるといえます。

ただし、この2つの分野はお互いに独立した存在ではありません。脅威ハンティング(スレット・ハンティング)により見つかったハッカーやマルウェアの処置について、インシデント対応チームが依頼を受けたとき、必要な準備は十分に整った状態になっているはずです。対象領域の絞り込みや動作の大部分が、ハンティングの過程においてすでに完了しているからです。脅威ハンティング(スレット・ハンティング)担当者は収集したデータの分析を行い、問題の内容や、影響を受けたマシン、悪意あるプロセスの及ぼす影響が把握できています。

これらの情報はすべて、インシデント対応チームに渡されます。インシデント対応の準備作業が完了していることで、対応される方の作業量はその分減ることになります。また、すぐに脅威の対処に取りかかることできます。

脅威ハンティング(スレット・ハンティング)で得られた情報は、企業セキュリティの向上に利用できますか?

もちろん、あらゆるデータが有用です。企業のセキュリティ担当は、脅威ハンティング(スレット・ハンティング)で得られたハッキング情報を入手し、その脅威を検知できなかった理由を特定することや、今後同様の攻撃を受けた場合に検知する方法を習得できます。また、より強固で効果の高い防御メカニズムの構築に利用できるデータを収集することも、脅威ハンティング(スレット・ハンティング)の業務において重要な業務です。

脅威ハンティング(スレット・ハンティング)を行っても環境内に何も見つからなかった場合、時間やコストの無駄になりませんか?

そんなことはありません。確かに、脅威ハンティング(スレット・ハンティング)の第一の目的は、環境内にある既存の脅威を見つけ出すことにありますが、脅威ハンティング(スレット・ハンティング)を行うことにより、これまで以上に詳しく、企業ネットワークの状況を把握できるようになるほか、潜在的なセキュリティの問題を特定することも可能になります。

たとえば、ある金融サービスの企業で脅威ハンティング(スレット・ハンティング)を実施したところ、ネットワーク内にハッカーやマルウェアは発見されませんでしたが、多くの従業員がFTPを利用していることが判明し、毎日、約80GBのデータが社外に発信されていることも明らかになりました。FTPの利用に不審な点は確認されませんでしたが、CIOが懸念を示し、この企業ではFTPの利用が禁止となりました。

この結果、ftp.exeを悪用する攻撃者にデータを窃取されるリスクが解消されました。もし脅威ハンティング(スレット・ハンティング)を行わなかったら、企業はリスクの高いシステムの運用を続け、組織のセキュリティは危険にさらされた状況でした。

サイバーリーズンの脅威ハンティング(スレット・ハンティング)担当者はどのような方ですか?

サイバーリーズンが派遣する脅威ハンティング(スレット・ハンティング)担当者は、IT環境に関する膨大な知識を持っているだけでなく、ハッカー・マルウェアによる攻撃の手口やハッカーの最終目的について深い知識と経験を持ち、企業の環境内で調査すべきハッカーのTTP(ツール、技術、攻撃の手順)を把握しています。

ハッカーがどのような情報を求めているのか、全体として何を狙っているのか、どのシステムが侵害を受けたのかといったような攻撃に関する情報を収集することに脅威ハンティング(スレット・ハンティング)の担当者は注力しています。発見した脅威に対する具体的な対応や修復業務は、原則として企業のセキュリティ担当者に引き継がれます。

脅威ハンティング(スレット・ハンティング)に携わる人たちは、過去に政府の関係機関での勤務を経験していることが多く、警察や保安機関で働いた経歴をもっている方も多数在籍しています。

脅威ハンティング(スレット・ハンティング)に関するレポート2017

多くの組織は、脅威ハンティング(スレット・ハンティング)が現代のSOC(Security Operations Center)の進化における次のステップであることを認識しています。

SOCにおける脅威の管理状況をより深く理解するために、私たちは330人以上のサイバーセキュリティとITのプロフェッショナルにオンライン調査を行いました。

調査レポートはこちらからダウンロードできます。
https://www.cybereason.co.jp/product-documents/survey-report/1966/