脅威ハンティング(スレット・ハンティング)は、ハッカーが企業の防御網を突破して組織内に侵入していないかを判断するうえで効果的な手法です。脅威ハンティング(スレット・ハンティング)を利用することで、企業は、現在サイバー攻撃を受けているかどうか判断することができ、セキュリティ対応チームをサポートする役割も果たします。

脅威ハンティング(スレット・ハンティング)で「発見が困難な」サイバー攻撃を見つける

脅威ハンティング(スレット・ハンティング)は、探知が難しいファイルレスのマルウェアやPowerShellをはじめとする、最新のサイバー攻撃に対処するうえで最適なアプローチです。ファイルレスのマルウェアは、正規のプログラムを偽装することにより、その悪意ある振舞いが発見されないように設計されています。ほとんどのアンチ・ウィルスソフトウェアの検知を逃れられる為、ハッカー達は好んでファイルレスの攻撃手法にシフトしています。

ある世界的な大手企業では脅威ハンティング(スレット・ハンティング)により、企業の機密情報を盗む為に使われていたマルウェアを発見しました。”TCP/IP NetBIOS Helper” という名前のプロセスを調べたところ、コマンドラインの引数に、正規名称のpsファイルを無効にするバイパスの隠されたPowerShell が発見されました。データの流出も確認されており、ここでも PowerShell が悪用されて、プロキシを通じて、データファイルが遠隔地にアップロードされていました。

脅威ハンティング(スレット・ハンティング)チームは、PowerShell がプロセスの実行とDNSリクエストの間でデータのスタッキングを行い、DNSクエリを実行していることも突き止めました。問題は外部のどこのアドレスと通信が行われているのかということでした。残念ながら、その企業が所有しているものではないドメインにPowerShell がDNSリクエストを送信していました。

こちらの企業では、脅威ハンティング(スレット・ハンティング)により得られた情報により、新しいセキュリティガイドラインが導入されました。脅威ハンティング(スレット・ハンティング)の結果、PowerShell のプロセスが、99%サーバー上で実行されていて、全て悪意のあるアクティビティだったことが判明しました。対策として、アンチウイルスソフトウェアの制御機能を使い、ブラウザや Windows Managementが PowerShell を生成しないよう制限をかけました。また、サーバーで PowerShell スクリプトを使用する場合は、このスクリプトを特定のディレクトリに関連付け、スクリプトに署名を施し、特定の場所からのみスクリプトを実行するように改善しました。これらの措置を取ることで、企業のセキュリティレベルを飛躍的に高めることができました。

上記のケースからお判り頂けるように、脅威ハンティング(スレット・ハンティング)を活用することにより、ハッカーの手法を突き止め、ハッカーの潜伏を発見し、企業のセキュリティ体制を強化することができます。企業のセキュリティを再構築し、サイバー攻撃の再発を防止することが可能になるのです。

脅威ハンティングに関するレポート2017

多くの組織は、脅威ハンティング(スレット・ハンティング)が現代のSOC(Security Operations Center)の進化における次のステップであることを認識しています。

SOCにおける脅威の管理状況をより深く理解するために、私たちは330人以上のサイバーセキュリティとITのプロフェッショナルにオンライン調査を行いました。

調査レポートはこちらからダウンロードできます。
https://www.cybereason.co.jp/product-documents/survey-report/1966/