脅威インテリジェンス - サイバー防御(2/3)

前回の記事では、攻撃者がどのような方法でデータを盗み出したり混乱を生じさせたりしているのかを理解できるよう、さまざまな種類の攻撃者の概要、および複合型攻撃チェーンについて説明しました。(http://www.fortinet.co.jp/security_blog/160416-threat-intelligence-part-1-of-3.html

また、攻撃チェーンには偵察、武器化、配送、攻撃、遠隔制御、内部偵察、存在維持の7段階があることもお話ししました。今回は、こうした情報を活用する方法、また攻撃チェーンの各段階で最近の戦術に対応できる防御体制を確立する方法について考えます。

偵察 - 攻撃者はこの段階で標的の組織、ネットワーク、ビジネスパートナーについてできるだけ情報を収集しようとします。

  • 攻撃の前兆である可能性があるため、外部スキャンに注意を払い、監視します。攻撃の試みを原因とするパターンやアノマリがないかも探します。
  • 「水飲み場」を特定します - 従業員が業務目的だけでなく私用でも頻繁にアクセスするWebサイトを特定します。こうしたサイトは、攻撃者にも調べられ、その後マルウェアを埋め込まれることがあります。感染したサイトに従業員がアクセスしてしまうと、マシンにマルウェアがダウンロードされ、ネットワーク内に侵入されます。そうしたサイトはコンテンツフィルタリングやプロキシツールを使用して注意深く監視します。
  • ソーシャルメディアを監視する - 無料のソーシャルメディア監視ツールを使用して、会社や従業員に関する記事が投稿されていないか確認します。インターネット上には、従業員の名前と役職、組織体制、新しいプロジェクトやシステム、合併・買収などの情報が多数掲載されており、攻撃者に悪用される可能性があります。
  • ベンダーを管理する - 取引のあるすべてのベンダーについて、自社に対してどのレベルのアクセス権を持っているのかを確認します。サードパーティのセキュリティを評価する重要な質問と考慮すべき事項を盛り込んだテンプレートを作成します。そして、ベンダーが自社との業務を開始する前に達成する必要のある最低限の要件を決定します。また、ベンダーとの接続経路も厳密に監視します。

武器化 - 攻撃者はこの段階で、特定済みの脆弱性を攻撃する悪意のあるコードを選択したり、時には作成したりします。したがって、自社に対する攻撃の実行者が国家機関なのかサイバー犯罪者なのか、あるいはその組み合わせなのかを知ることが重要です。

  • 国家機関による攻撃を受ける可能性が高い場合には、ゼロデイ攻撃に対応するためのプロセスとテクノロジーの導入に重点を置きます。重要なデータをエンドポイントに隔離するテクノロジーや非シグネチャベースでマルウェアを検出するテクノロジーが入手可能です。ネットワークアーキテクチャのセグメント化も、セキュリティ侵害の特定後にその影響を最小限にとどめるのに有効な方法です。この点については「内部偵察」の項で詳しく説明しますが、ネットワーク内でのアノマリ検知とユーザープロファイリングについては検討する必要があります。ゼロデイ攻撃では検出できるかが鍵となります。
  • サイバー犯罪者の方が大きな脅威だと判断した場合には、優れた脆弱性・パッチ管理プルグラムの開発に注力します。大半のサイバー犯罪者は、サイバー犯罪のエコシステムの中で開発されたツールを使用します。そうしたツールの1つが、既知のデバイス/オペレーティングシステム/ソフトウェアの脆弱性を標的にするエクスプロイトが含まれたエクスプロイトキットです。既知の脆弱性へのパッチ適用を継続的に実行することで、ネットワークへの侵入を阻止する確率が高まります。脆弱性・パッチ管理のテクノロジーを検討する際には、すべてのアセット、オペレーティングシステム、アプリケーション、および脆弱性に対応できるソリューションを選択してください。テクノロジーソリューションの中には、さらにポリシーに従って優先順位を決定できるものもあります。

配送 - 脅威は組織の中からも外からも侵入してくるため、また意図的な場合もそうでない場合もあるため、脅威とリスクを特定する多様なプログラムとプロセスを導入しておく必要があります。

  • マルウェアの配布に最もよく用いられる方法は、間違いなくフィッシングメールです。にもかかわらず、攻撃がどれだけ巧妙化しているのかを従業員に理解させるためのトレーニングプログラムをほとんど企業が実施していません。現在、従業員を対話形式でオンライントレーニング/テストできるさまざまなテクノロジーが利用可能になっています。トレーニングとテストが最新のもので、最新の攻撃手法に適応しているかどうかを確認するためにも、継続的に活用することが重要です。
  • たとえ最高のトレーニングを受けていても、従業員は悪意のあるメールの添付ファイルをクリックして、攻撃用ソフトウェアやマルウェアを自分のシステムとネットワークにロードしてしまう可能性があります。そこで、悪意のある添付ファイルを特定して削除するよう設計された電子メールとWebトラフィック用のコンテンツセキュリティテクノロジーを導入する必要があります。特に重要になるのが、未知のマルウェアや高度なマルウェアも検出できるサンドボックスツールが組み込まれたソリューションです。このテクノロジーについては、後ほど詳しく説明します。
  • 会社に不満を抱いている従業員が、感染したUSBを差し込んでマルウェアを配布したり、C&Cなどのハッキングツールを持ち込んだり、データを収集したりする可能性があります。不要なデバイスを検出してブロックし、USBデバイスにデータが漏洩する危険性を特定するテクノロジーを検討してください。行動パターンがコンプライアンスに違反しているユーザーを検出するには、ユーザー行動分析も有用です。
  • ドライブバイマルウェアは、Webサイトに表示あるいは電子メールに添付された広告を介してだけでなく、(前述したとおり)感染したサイトを経由して配布されます。攻撃者が広告サーバーを感染させると、その広告サーバーを使用している数千件のWebサイトに影響が及びます。この脆弱性を従業員に周知する必要があります。ビジネス環境にとって、ほとんどの広告サイトは全く利用価値がありません。ネットワーク内ではすべての広告をブロックすることを検討してください。

攻撃 - 多くの攻撃はフィッシング攻撃を介して実行されるため、強力な脆弱性・パッチ管理システムが鍵となります。

  • 可能であれば、全従業員が使用するブラウザを1種類に統一し、常に最新のパッチを適用するようにします。
  • JavaやFlashなどのプラグインの使用を制限します。従業員がプラグインを使用する必要がなければ、使用を禁止します。
  • 通常のドキュメントのように見えても悪意のあるスクリプトが含まれている可能性があることを、従業員に理解させます。
  • 大部分のマルウェアは迂回技術を使って、従来からのAVテクノロジーをすり抜けることができます。また、言うまでもありませんが、検出されていないマルウェアの亜種が存在します。サンドボックス技術を活用して、不審なコンテンツを安全なエリアに隔離し、安全な方法でその挙動を分析してください。また、ネットワーク上に複数の出入り口が存在する可能性があるため、ネットワーク上の全ポイントから不審なファイルを収集する機能を持ったサンドボックスソリューションを使用してください。
  • 脆弱性・パッチ管理プロセスを補完するその他の基本的な制御機能として、エンドポイントデバイスの管理権限を抑制する機能やアプリケーションホワイトリストの作成機能が挙げられます。こうした制御機能を使用することで、システム内の攻撃対象領域が狭まり、攻撃が成功する確率が低下します。

遠隔制御 - この段階で攻撃を阻止するには、境界上でアプリケーション制御を実行して、アプリケーションストリームを検査し、悪意のあるインフラストラクチャと通信しているマルウェアを検出する必要があります。

  • 多くの場合、悪意のある通信ツールは他のプロトコルを経由するため、通信ストリームを検査するアプリケーションセキュリティが必要になります。また、コマンドアンドコントロール(C&C)通信はSecure Socket Layer(SSL)とTORを使用して暗号化されることが多いため、SSL検査ツールを導入することが最大の防御となります。SSL検査ツールは、暗号化されたトラフィックをインターセプトし、開き、検査し、無害であると判断したトラフィックを転送します。この処理は、次世代ファイアウォールとプロキシ技術が導入されているネットワークエッジで実行されるのが一般的です。プライバシーの問題に直面する可能性があるので、導入前に法務チームと相談してください。
  • アプリケーション制御機能に加えて、レピュテーションデータベースを使用することで、悪意のあるIPアドレス、ドメイン、URLの特定が容易になります。アプローチとして望ましいのは、アプリケーション制御、レピュテーションデータベース、URLフィルタリングの機能を組み合わせて、トラフィックの監視・検査・保護を実行する方法です。
  • :上記を組み合わせて使用したとしても、ドメイン生成アルゴリズムなどが原因で通信の見逃しが発生する可能性があります。次の段階では、分析や機械学習を駆使しての悪意のある行動パターンの検出について説明します。

内部偵察 - 全攻撃の阻止を保証する防御対策は存在しません。標的を定めた攻撃者がひとたび境界防御を突破し、欲しいデータを特定するためにネットワーク内を水平方向に移動し始めた場合、堅牢なインシデント対応プロセスやテクノロジーがなければ攻撃を検出することはできません。

  • 優れたインシデント対応プランを策定してください。インシデントが発生すると人はパニックに陥る傾向があるため、実行すべき手順と連絡すべきスタッフを詳細に定めた計画があれば、より徹底的で効率的な対応が可能になります。反射的な対応は避けなければなりません。
  • ネットワークに侵入した攻撃者は、エッジ保護レイヤーをすでに迂回していますが、ネットワークをセキュリティゾーンにセグメント化することによってセキュリティ侵害の影響を最小化できます。セグメント化により、セキュリティ侵害の隔離とセキュリティゾーン間を移動するトラフィックの監視・保護を可能にする多様なチョークポイント(関所)を設けることができます。また、これまで大半の企業・組織が脅威インテリジェンスをほとんどあるいは全く活用してこなかったネットワーク内が詳細に可視化されるようになります。
  • これまで脅威が防御機能を迂回できたということは、脅威を検出できるシグネチャが存在していなかったということになります。そこで、アノマリベースおよびビヘイビアベースの検出機能の導入が必要になります。これは、異常あるいは予期せぬトラフィックパターンやデバイスの動作を迅速に特定できるよう、正常なトラフィックを理解しておくためにビッグデータ分析と機械学習のツールを活用するテクノロジーです。多くのベンチャー企業やSIEMベンダーがこの方法で検出の問題の解決に取り組んでいます。
  • 未知のマルウェアを特定する方法の1つとして、「攻撃」段階でサンドボックステクノロジーについて言及しました。言うまでもありませんが、マルウェアを検出したら対策を講じる必要があります。サンドボックステクノロジーが必ず他のセキュリティ対策ポイント(電子メールセキュリティテクノロジー、次世代ファイアウォール、エンドポイントなど)とやり取りして、対策を実行するようにします。一部のSIEMベンダーでは、一般的な調査や定期的な調査への対応が自動化されます。

存在維持 - 攻撃チェーンのこの段階で悪意のある侵入者は、ネットワークからデータを抽出するために滞在時間を可能な限り引き延ばそうとします。

  • 機密データが保存されているサーバーを文書化し、それらのサーバーがインターネットからアクセスできないようにします。こうすることで、抽出したデータを外部に送信する前に足場となるサーバーが必要となるため、攻撃が難しくなります。
  • また、機密データが保管されているサーバーへの攻撃経路をすべて特定し、より注意深く監視してください。特に厳密な監視が必要なのは、インターネットに接続しているサーバーにアクセス可能な攻撃経路です。
  • 攻撃が長期にわたって検出を逃れるのを回避するには、運用上の脅威インテリジェンス(TI)の活用を検討します。これを導入することで、セキュリティ侵害の早い段階での痕跡を検出できるので、ネットワーク内の脅威とその全体像の把握が可能になります。利用可能なTI情報には無料のものと商用のものがあり、既存のSIEMまたは脅威インテリジェンスのプラットフォームに組み込むことができます。
  • 繰り返しになりますが、高度な悪意のあるコードは従来型のAVスキャンでは検出されません。したがって、スキャンで検出されなかったといって、そのマシンにマルウェアが存在しないとは限りません。マシンの感染の有無を本当に明らかにするには、(特にデバイスに重要なデータやコンプライアンス関連のデータが保管されている場合には、)より詳細なフォレンジック処理を実行する必要があります。

上記は、攻撃者の戦術を理解することで分かる攻撃の概要にすぎません。その情報だけを頼りにセキュリティ対策を構築してはいけません。そうではなく、この情報に基づいてリスク分析の結果を補完し、最善のセキュリティ対策を組み込んでください。また可能であれば、資格のあるセキュリティコンサルタントのアドバイスを導入してください。

次回は、攻撃チェーンをさらに細分化して、極めて高度な攻撃であっても特定・阻止する方法を解説します。ぜひお読みください。

関連記事