「脅威ハンティング」とは?

「脅威ハンティング(スレット・ハンティング:Threat Hunting)」という言葉をご存知でしょうか? その名の通り、「セキュリティ脅威を“狩る”(ハンティング)」取り組みのことを指すのですが、近年その重要性がクローズアップされています。

「狩る」という行為は、自ら獲物を捕りに行くことを意味します。情報セキュリティの世界に置き換えると、自社ネットワーク内に存在するセキュリティ上の脅威を、自ら捕まえに行くということです。これまでのセキュリティ対策はどちらかというと、セキュリティ製品がマルウェアを検知し、アラートを発したことを受けて、初めて対策を始めるのが通常でした。つまり「受け身の対策」だったといえます。

一方の脅威ハンティングは、セキュリティ製品の「検知のお知らせ」を待つことなく、自ら能動的に脅威を探しに行く「攻めの対策」といえるでしょう。具体的には、あらかじめ「重点的に守りたいエリア」「マルウェアが潜伏していそうな領域」を洗い出し、ある程度ターゲットを絞った上で、そこで行われているあらゆるアクティビティに関するログを収集し、それらを分析して疑わしい動きが発生していないかを調査します。

近年のマルウェアは高度化・巧妙化の一途を辿っており、既存のセキュリティ対策ではなかなか検知できなくなっています。特にファイルレスのマルウェアや、PowerShellなど正規のツールを悪用した攻撃などは、既存のセキュリティ対策製品ではなかなか検知できないため、アラート通知を待っているだけの受け身の対策では、被害を防ぐのが難しくなってきています。脅威ハンティングは、こうした最新の脅威から自社の情報資産を守る上でも、極めて有効な手段だと目されています。

脅威ハンティングとインシデントレスポンスの連携

一方、脅威ハンティングは、「インシデントレスポンス」の取り組みを強化する上でも極めて有用であると言われています。インシデントレスポンスとは、万が一セキュリティインシデントが発生した際の対応を迅速に行い、被害を最小限に抑えながらいち早くビジネスを復旧させるための取り組み全般のことを指します。このインシデントレスポンスと脅威ハンティングの取り組みを連携させると、さまざまな相乗効果が生まれます。

アラート通知をトリガーとして発動されるインシデントレスポンスは、ときにその初動において脅威そのものの実態や深刻度がまだ正確に把握できていないために、混乱することもままあります。しかし、脅威ハンティングによって自ら検出した脅威に関しては、対象領域の特定や絞り込み、トリアージといった作業の大部分が既にハンティングの過程において完了しています。ここで得られたさまざまな情報をインシデントレスポンスの担当者にフィードバックすることで、初動をスムーズに運び、迅速に脅威に対応できるようになります。

また脅威ハンティングで得られた各種の情報は、インシデントレスポンスの初動だけでなく、再発防止策を講じるためのフォローアップのフェーズにおいても有用です。脅威ハンティングでは、発見された脅威が具体的にどのような目的を持ち、どんな侵入経路を経て侵入し、具体的にどのような手口を使って情報を窃取しようとしているのか、その詳細な情報を得ることができます。従って、インシデントレスポンスにおいて再発防止策を検討する際に、そうした情報を基にマルウェアの侵入経路や情報の流出経路をふさぐなどして、同じ手口で被害が生じる事態を防ぐことができます。

このように、脅威ハンティングで得た情報をインシデントレスポンスチームにタイムリーにフィードバックすることで、さまざまな利点が得られるのです。

サイバーリーズンがお客様環境の脅威ハンティングを代行

なお弊社では、こうした脅威ハンティングの作業をお客様に代わって実施する「ハンティング・サービス」を提供しています。このサービスでは、弊社のEDR(Endpoint Detection and Response)ソリューション「Cybereason EDR」をお客様環境のPCやサーバといったエンドポイントに一時的に導入し、PCやサーバ上を監視して不審な挙動を検知するEDRの手法を用いてネットワーク内に存在する脅威をあぶり出します。

「製品を導入する」と聞くと、何だか手間が掛かりそうなイメージがあるかもしれませんが、Cybereason EDRは各エンドポイントから取得したデータをクラウド環境上に集め、その上で分析処理を行います。従って、お客様環境内に新たにサーバーを構築する必要はありません。PCやサーバーなどのエンドポイント上にはエージェントソフトウェアを導入する必要があるのですが、このソフトウェアはカーネルモードではなくユーザーモードで動作するので、極めて簡単に配布できる上、既存の環境に及ぼす影響も最小限で済みます。

こうしてお客様環境から集めたデータは、クラウド環境上でAI技術を駆使して分析された上で、その結果をさらにサイバーリーズンのセキュリティ専門家が評価して、最終的にお客様の環境に存在する脅威の種別やその脅威度などを子細にレポーティングします。

このように、弊社が提供するハンティング・サービスを利用すれば、本来であれば専門のツールや高度なノウハウを必要とする脅威ハンティングを極めて手軽に実施できます。サイバーリーズンのハンティング・サービス(侵害調査)の詳細はこちらをご確認ください。

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」インシデントレスポンスプランに組み込むべきでありながら忘れがちな9つの重要なステップ