- 2022/04/19
- セキュリティ
サイバー脅威検知:複雑なことをもう一度シンプルに
Post by : Greg Day
サイバーセキュリティの世界には、不変であることが存在しています。すなわち、脅威の件数は増え続ける一方であり、ビジネスがオフラインで行われる時間は短くなる一方です。はっきりしているのは、侵入された時間が長くなるほど、ビジネスの混乱や商業的な影響が大きくなる可能性が高いということです。そして、ランサムウェアは、数日または数週間ではなく、数時間または数分間で成果を上げるものへと、その形を移行させています。これに対して、サイバーセキュリティはより複雑になる一方です。なぜこのような事態が起こっているのでしょうか。
サイバーセキュリティの歴史を振り返る
1990年代、私がソルモン博士の下でアンチウイルスの研究を開始した頃、典型的なエンドポイントセキュリティソリューションとは基本的なシグネチャ検知のことでした。これはシグネチャの一致により対象となるウイルスが脅威XまたはYであることを判定するものであり、判定はシンプルでした。すなわち、それは「ブロックする」か、そうでなければ「許可する」という二者択一的なものでした。
90年代半ばになると、攻撃者は単純なコード難読化技術やポリモーフィズム、メタモーフィズムといったより高度な動的コード修正手法を用いて、シグネチャ検知をすり抜けるようになりました。
90年代後半、学位論文のために、私は初期のEDRスタイルのツールをコーディングしました。このツールは、脅威を見つけようとするのではなく、脅威の「振る舞い」を見つけようとするものでした。私はオペレーティングシステム(お年を召した方はご存知でしょう、あの懐かしい「DOS」です)を制御することで、個々のオペレーティングシステムリクエストを実行すべきか否かを検証する機能をユーザーに提供しました。
この方法のプラス面は、シグネチャファイルで捕捉できなかったものを含めすべての脅威を検知できることでしたが、大きなマイナス面は、それがたった1つの技術情報に基づく人間の判断を必要とすることでした。誤解しないで欲しいのですが、これは非常に基本的な概念実証ツールでしたが、私が強調したいのは、異常を検知するというコンセプトはそれほど難しいものではないということです。
問題は、「この知識に基づいてブロックすべきか、それとも許可すべきか」という実際の判断を誰かがしなければならない段階にあります。今日のSOCアナリストに話を聞いたところ、彼らは、判断に時間がかかればかかるほど潜在的なコストが大きくなるため、より早く検知してブロックすることを好むようです。しかし、判断を誤った場合のコストも同様に大きくなります。未知の脅威に関する検知と対応は、発見された証拠に基づいて人間が判定することにより行われるというのが、単純な事実なのです。
長年にわたって、ベンダーはより多くの優れた検知ツールや機能を構築することで、疑わしいアーティファクトを収集する能力を向上させてきました。より多くの証拠があるほど、問題の特定においてより強い自信が持てるというのは理にかなっています。
しかし、目先の問題を解決しようと焦るあまり、私たちは問題解決のための複雑なプロセスをスキップしてしまいました。その結果、より大きな問題が生まれることになりました。データセットが大きくなるほど、ラグが大きくなり、異種データセット間で相互関連付けが必要となります。そして、その結果、統合をはじめ、通常、人間による分析が必要となります。このため、SOCはますます大きくかつ動きが遅くなっており、多くの人々がSOCはいかに機能すべきかについて、次なるパラダイムを模索しています。
SOC次なるパラダイムとは
私たちは、優先順位を付け直す必要があります。すなわち、複雑な脅威を発見するために集められた必要なすべてのデータを活用するにはどうすればよいでしょうか?また、サイバーインシデントの可能性を示す指標や最初の痕跡を見つけるという簡単な作業から、「ブロックするかそれとも許可するか」を、自信を持って判定することを可能にし、信頼するための証拠がある完全なパッケージを得るために、プロセスをデジタル的に構築するにはどうすればよいでしょうか?
ところで、その証拠には、単に「何が」起きているかを示す「侵害の痕跡」だけではなく、何が「どのように」起きているかを示す攻撃者のオペレーションや振る舞いの痕跡(IOB)も含まれます。実際には、このようなオペレーションは不変のままであることが多いため、ビジネス全体にわたってこれらを関連付けられることは、実際のビジネスへの影響を理解する上で極めて重要となります。
私たちは、データの取得だけでなく、そのプロセス(データサイエンス)に注目しなければならないのです。これらのいくつかの順序を議論することや、さらに多くのことを追加することもできますが、このプロセスはシンプルなレベルで、次のことを行う必要があります。
- すべてのデータを精査し、最初の手がかりを得るとともに、分析に値するデータの優先順位を決定すること。
- その証拠の質を検証すること。それはどの程度信頼できるか?その証拠をさらに発展させるべきか?
- 関連する手がかりを見つけるために、多数のデータセットを相互参照すること。この作業は、1つの手がかりを十分に理解し、関連しそうな手がかりを知り、その中から一致するものを探し出す人間によってのみ行われることがほとんどです。多くの場合、このプロセスは、「ブロックするかそれとも許可するか」を決定するまでに、何度も繰り返されます。
では、明日から違うことをするためには、実際に何が必要となるでしょうか?データの収集そのものではなく、そのプロセス(つまり、データにデータサイエンスをどう適用するか)を重視する必要があります。セキュリティチームの成功に何が不可欠であるかを考えてみてください。私は毎日、チームが集まって新しい検知方法について議論しているのを見かけますが、正直なところ、検知方法に関しては、現在この段階で十分だと私は思います。
その一方で、「使いやすさ」に関する議論は、ほとんど見かけることがありません。これは、ユーザーインターフェイスのルックアンドフィールに関する問題ではなく、これらの各ツールからの出力情報を取得し、それらの出力情報を、スケーラブルで反復可能なプロセスに関連付け、ビジネスが要求するペースで許可またはブロックの判定を行うために必要となる、人的作業に関わるものです。
この問題をさらに深刻にしているのは、セキュリティチームが保護および監視しなければならないものの規模と範囲が拡大し続けていること、そして運用上の回復力への期待が高まるにつれ、問題を特定するために必要な時間が短縮され続けていることです。
プロセスについてのまとめ
最後に、上記のポイントを強調するために、実話を紹介します。数年前、私は行動検知能力をテストする組織と関わっていました。同組織では多くの厳密なテストを行った結果、最終的には「すべての機能はその結果においてほぼ同等である」と提案することになりました。
彼らが言わなかったのは「あるツールは他のツールに比べて100倍以上のイベントを生成したが、プロセス(つまりデータサイエンス)は優れていなかった」ということです。これは、結果を得るまでの平均時間はツールにより大きく異なっており、あるツールは「許可またはブロック」の決定に至るまでに他のツールよりはるかに長い時間を要した、ということを意味します。すなわち、彼らは「機能」はテストしたが、「使いやすさ」はテストしなかったのです。ところで、より多くのデータを持つこと自体は、あなたがデータを自分のペースと規模で活用するためのプロセス(つまりデータサイエンス)を保持している限り、悪いことではありません。
ランサムウェア攻撃が発生した場合、あなたの企業がどれほどの時間をかけて「許可またはブロック」の判断を下すかを検討した上で、あなたのチームに、彼らがそれを実現するためのプロセス(データサイエンス)、能力、スキルを備えているかどうかを判断してみてください。
サイバーリーズンは、エンドポイント、企業全体、そしてモダンなRansomOps攻撃を含むサイバー攻撃が行われているあらゆる場所で同攻撃を阻止するために、防御者と一丸となって尽力しています。
サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。
加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~
近年、世界中で深刻な問題となっているランサムウェア。
このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/
