脅威インテリジェンス - サイバー防御(3/3)

前回の記事では、攻撃者の手法を理解した上でよりインテリジェントな防御体制を構築できるよう、攻撃チェーンの各段階で実行可能な高度な防御策について説明しました。(http://www.fortinet.co.jp/security_blog/160517-threat-intelligence-part-2-of-3.html

連載最終回となる今回は攻撃の各段階をさらに掘り下げ、サイバー防御の詳細を解説していきます。

言うまでもなく、現在のサイバー世界においてセキュリティが100%保証されることなどありません。多くの場合、サイバー犯罪者はパッキングツールなどの迂回ツール、難読化技術、あるいはポリモーフィック型マルウェアを利用することで防御側の一歩先を進んでいます。このような状況では、私たちはデジタル資産の保護に対する考え方を改めなければなりません。実際には、ビジネス運営の環境が極めて小規模でない限り、環境内のすべてを保護することは不可能です。企業が競争力の維持のために新たなテクノロジーを次々導入していることに伴い、攻撃対象領域は急速に拡大しています。問題点は、導入された新しいテクノロジーの多くが攻撃の成功率の上昇につながっているという事実です。

必要なのは、3段階から成るセキュリティへのアプローチです。最初に、できる限り多くの不正なプログラムを検出・ブロックすることによって、重要な資産の保護に重点を置く必要があります。また、マルウェアや攻撃者はセキュリティ対策を通過するものだと考えなければなりません。つまり、可能な限り迅速に脅威を検出して対応する機能を強化する必要があります。侵入に成功した攻撃者は素早く行動を起こすので、攻撃に対抗する時間を確保できるよう、攻撃速度を遅くする戦略を導入する必要があります。最後に、インテリジェンスの収集と防御の強化を目的として、攻撃が成功した場合の影響を計算できる優れたフォレンジックツールが必要です。

攻撃チェーンの各段階で考慮すべき追加項目を以下に記します。

検出: 前述したように、脅威はネットワーク防御対策を迂回してしまうという仮定に基づく必要があります。したがって、検出が極めて重要です。前提として、「ネットワークに侵入してしまった脅威が攻撃の各段階で用いるであろう多様な方法をどうすれば検出できるのか」と考えなければなりません。一般的には、ネットワーク内のさまざまなデバイスからログを監視し、異常な挙動または攻撃パターンの検出時にアラートを送信するシステムを導入します。たとえば、ログをSIEMテクノロジーに送信すれば、相関付けに基づいて脅威を特定し、自動アラートとポリシーベースの対応を設定するのに役立つルールが構築されます。このようなシステムはノイズを生成する傾向にあるため、あらかじめユースケースを定義して、検出対象を明確にしておくことが推奨されます。また、ログの相関付けだけでは見逃してしまう攻撃パターンも識別できるよう、ビッグデータおよび機械学習テクノロジーの導入を検討します。各段階でセキュリティ侵害の可能性を示す痕跡のうち、どれが脅威の特定に役立つのかを検討してください。

妨害(Disrupt): 多くの攻撃者、中でもサイバー犯罪者にとっては効率が何よりも重要です。つまり、攻撃プロセスを妨害する方法を発見して攻撃を遅らせることができれば、攻撃者がイライラして攻撃を中止する可能性があります。サイバー空間では攻撃対象に事欠かないため、イライラを募らせた攻撃者はより脆弱な相手に標的を変えるかもしれません。あるいは、持続的な攻撃であったとしても、妨害工作によって少なくとも攻撃を遅らせることはできるため、対策を実行したり、他の選択肢を検討したりする時間が得られます。

低下(Degrade): 脅威、特に持続的な脅威に対応する時には、攻撃者は自分が検出されたことを知ると、攻撃方法を変更したり休眠状態に入ったりする可能性が高いということを理解しておく必要があります。そうなった場合、悪意のある挙動を観察・評価できなくなるため、攻撃の全体像が把握しにくくなります。その結果、脅威がなくなったと早合点して通常業務を再開してしまい、数週間後あるいは数か月後に攻撃が再開されるかもしれません。「低下」とは、攻撃を検出したことを攻撃者には知られないように低速化する手法です。攻撃者は単にネットワークの問題または低速なネットワークに遭遇したと考え、攻撃計画を継続すると考えられます。

欺き(Deceive): 攻撃者の意図を理解することは常に重要です(すでに環境内に侵入されている場合は特に)。ネットワークに侵入した理由、侵入した方法、侵入してからの経過時間、感染しているデバイスの台数、目的などを解明する情報を収集することが、脅威の根絶に要する時間を短縮する上で役立ちます。情報を収集し挙動を監視しながら、攻撃者には「まだ検出されていない」と思わせる必要があります。

阻止(Contain): もう1つの考慮すべき項目は、どうすればこのセキュリティ侵害の影響を最小限に抑えられるか、という点です。ネットワークに侵入した攻撃者を何らかの方法で隔離して、機密データへのアクセスやビジネスサービスのコントロールを制限する必要があります。

では次に、上記の戦略を攻撃の1つの段階にどのように適用できるのかを簡単に説明します。ここでは、攻撃チェーンの中でも内部偵察の段階に対する対応を例に取ります。

検出 - 内部偵察: 中央システム(SIEM デバイスなど)へのログの送信に加えて、ネットワーク全体にセキュリティセンサーが配備されていることが重要です。ここで言うセキュリティセンサーには、HIDS、NIDS、およびエンドポイント検出/対応(EDR)製品などのその他の検出テクノロジーが含まれます。EDRツールを使用することで、ネットワーク全体でIOC(セキュリティ侵害の痕跡)を探し、特定と優先順位付けがされた脅威に迅速に対応できます。内部ネットワークにおける不正あるいは異常な横方向の動きを検出するには、ネットワークの適切な場所にセンサーが配備されていることを確認する必要があります。できれば、機密データへの攻撃パスが交差する場所や、ネットワークが適切にセグメント化されているのであればネットワークゾーンの分界点にセンサーを配備します。また、重要なサーバーを出入りするトラフィックの量を制限することで、異常を検出する可能性が高まります。

前回説明した通り、エンドポイントとネットワークの両方でビッグデータ分析と機械学習テクノロジーも活用してください。新興のセキュリティ企業の多くは高度な検出と相関付けに重点を置いていることから、一部の機能はお使いの次世代SIEMにも搭載されている可能性があります。

中断 - 内部偵察: ホストファイアウォールの導入またはプライベートVLANの配備によってワークステーション間の通信を最小化することを検討します。これによって横方向の動きを必ず阻止できる訳ではありませんが、攻撃者が検出されないままネットワーク全体を自由に移動することができなくなる程度には動きを妨害できます。

低下 - 内部偵察: 横方向の動きを低下させるには、Quality of Service(QoS)テクノロジーを導入して活用し、悪意のあるトラフィックやアプリケーションの拡散速度を低下させます。通常QoSは、レイテンシが重要な Voice-over-IP(VoIP)トラフィックなど、特定のトラフィックの優先順位を保証するために用いられます。しかし、通信がマルウェアに悪用されていることを検出した場合には、通信は終了させずに厳しい制限を適用するようにQOSの設定を変更して、その特定のトラフィックを圧迫します。通常、この状態はネットワークに問題があるか接続状態が悪いと見なされるため、検出されたと攻撃者が疑う可能性は低くなります。

欺き - 内部偵察: 攻撃者を欺く方法の1つとして、ネットワークの主要なエリアにハニーポットを仕掛ける方法があります。ハニーポットは、攻撃者に正規のデバイスを攻撃していると信じ込ませ、悪意のあるアクティビティを調査するためのおとりです。正規のトラフィックはハニーポットには送信されないため、ネットワークに侵入した脅威の検出にも適しています。すでに脅威を特定している場合は、ソースベースのルーティング機能を使用して攻撃者をハニーポットに送り、監視を継続できます。攻撃者の動きを把握した後は、その情報を基に脅威の全体像を特定し、食い止め、緩和することができます。ハニーポットは各セキュリティゾーン(インターネット、DMZ、サーバー、PCIゾーンなど)に配置してください。こうすることで、各ゾーンで攻撃者を調査できる上に、各ゾーンでの検出率が向上します。追跡できるようファイルにビーコン機能を追加することに加え、偽のドキュメントを設定するといったその他のアイディアも探究されています。

阻止 - 内部偵察: 横方向の動きを食い止めるには、特定後攻撃者を阻止・隔離できるようにネットワーク内に透過的なチョークポイントを設ける必要があります。この方法はネットワークセグメンテーションとも呼ばれます。セグメント化は何年も前から適用されている方法で、つい最近までセグメント化に次世代ファイアウォールテクノロジーを効果的使用することができなかったため、一般的にはネットワークレイヤーで実行されます。次世代ファイアウォールテクノロジーを使用してネットワークセグメンテーションを監視・保護することにより、過去にセグメント化に使用されることの多かったルーターやスイッチと比較して、可視性とコントロールが大幅に向上します。前述したように、プライベートVLANを使用すれば「マイクロセグメンテーション」とよばれる詳細なセグメント化も可能になります。最後になりますが、検出した脅威への対応を自動化するには、検出テクノロジーと次世代ファイアウォールテクノロジーの統合を検討する必要があります。

以上で「脅威インテリジェンス - サイバー防御」の連載は終了です。お分かりの通り、防御戦略は非常に細かいレベルまで策定できます。しかし重要なのは、どのようなテクノロジーを導入したとしても、共通のベンダーテクノロジーの使用あるいはオープンAPIを通じた統合によって(またはその両方によって)、テクノロジー間での連携が可能であることです。大半の企業がそうであるように、技術リソースも人的リソースも制限されている場合には、今後攻撃に対する最初の分析と対応を可能な限り自動化する必要があります。

次回のブログでは、変化するサイバーセキュリティの戦場について、またゼロデイ脆弱性の拡大する市場について、詳しく検証していきます。