- 2018/10/09
- EDR
セキュリティ違反検知:5つの致命的な欠点とそれらの回避方法
Post by : Lior Div
先進的な企業であっても、境界ベースで従来の慣例がまだ残っており、改善すべき問題が放置されたままになっています。
今日のITセキュリティは、(もはや存在していない)境界を防御するものではなく、組織のアタックサーフェスを保護するものとなっています。クラウド、モビリティ、BYOD、および企業コンピューティングにおけるその他の進歩はネットワークのアーキテクチャと運用に根本的な変化を引き起こしており、これが原因で組織のアタックサーフェスは大幅に変化しています。
事実上、これは、セキュリティの維持を成功させるためには、ファイアウォールの内部で発生しているあらゆる物事をファイアウォールの外部で発生しているあらゆる物事と同じように監視する必要があることを意味します。これは、「堀と城」の防御モデルとは対照的な、「千にも及ぶ光の点」(George W.H. Bushが大統領就任演説で使ったフレーズ)モデルをベースとした、セキュリティ侵害を経験した後の考え方だと見なすことができます。
理論的にはこれは進化ですが、セキュリティ組織が成熟するペースを考慮するならば、必ずしも容易に移行できるとは限りません。脅威の状況が変化しているだけでなく、必要とされるリーダーシップ、スキル、ツール、予算が常に変化しているのです。
結果として、先進的な企業であっても、境界ベースの防御慣例がまだ残っています。従来の考え方または誤解に基づく慣例がチェックされないまま放置されているため、迅速な検知や応答が妨げられています。そのような環境に見られる特に重要と思われるいくつかの問題を、その解決策と共に下記に示します。
「侵入防止への執着」
解決策:「侵入された後にどうするか」という考え方に変えましょう。現在、APT攻撃がかつてないほどに注目を集めており、もはや侵入されるかどうかは問題ではなく、いつ侵入されるかが問題となっています。このような問題意識の変化に応じて、自社のセキュリティを進化させる必要があります。侵入対策に注目するのではなく、ネットワーク内で進行中の攻撃者の振る舞いに注目すべきです。なお、御社がすでに侵入されていたとしても、攻撃者よりも優位に立っています。なぜなら、通常、被害が発生するのは、侵入後の数ヶ月後だからです。ハッカーは「安価で遅い」手法で検知を逃れるために1日当たり最小限のアクションを実施する傾向にあります。彼らは、標的とした組織をより良く把握し、真の標的に到達するための確実なロードマップを作成することを目的としているからです。
「簡単な説明の受け入れ」
解決策:常に詳しく調べることが必要です。セキュリティ関連の事件は、エラーや偶然により発生するものではありません。あらゆる証拠を詳しく分析し、常に悪意の存在を考慮に入れる必要があります。セキュリティチームはすべての攻撃者のアクティビティを知ることはできないため、この意味ではセキュリティチームは不利な立場にあります。このためセキュリティチームにとっては、その他の検知されていない関連要素を明らかにするために、彼らが目にしたあらゆる物事を詳しく調査することが必要となります。また、セキュリティチームは常に、自分達が全体像の半分しか見ていないと仮定した上で、パズルの残りのピースを見つけるために地道に作業する必要があります。
「迅速な修正の要求」
解決策: 既知の悪意あるプロセスを活用しましょう。隔離されたインシデントを可能な限り迅速に修正する代わりに、セキュリティチームは、既知の悪意あるプロセスを注意深く監視することで、それが当該環境内の他の要素に接続する方法を理解し、未知の悪意あるプロセスを発見するように努める必要があります。たとえば、ある未知の悪意あるプロセスが、検知済みの既知の悪意あるプロセスと同じIPアドレスに接続した場合、そのようなプロセスを暴き出すことができます。また、ハッカーの使用しているツールが容易に検知できることをハッカーに分からせた場合、ハッカーは意図的に既知のツールを過剰に配備することで、防御者の気をそらし時間稼ぎをする場合があります。
「マルウェアへのフォーカス」
解決策:攻撃全体に目を向けるようにします。マルウェアを検知することは重要ですが、個々のエンドポイント上の隔離されたアクティビティの検知に注力するようなソリューションでは、複雑なハッキング作戦と適切に戦うことはできません。そのようなソリューションの代わりに、より包括的な防御方式を採用します。自動化(特に分析と脅威インテリジェンスの自動化)を活用することで、単なるプログラムではなく、悪意ある作戦全体の持つコンテキストを確保します。攻撃者は単なる人間にすぎないこと、そしてマルウェアは彼らが利用する強力なツールの1つ(ただし彼らが持つ多くのツールキットのうちの1つ)に過ぎないことを肝に銘じるようにします。
「偽のアラートへの対応」
解決策:調査を自動化します。多くのセキュリティソリューションはわずかなコンテキストに基づいて大量のアラート(その多くは誤判定)を散発的に生成するため、セキュリティチームは、そのようなソリューションが生成したアラートを手動で調査および検証していたのでは、時間がいくらあっても足りないことになります。このような時間のかかるプロセスは、セキュリティチームが「サイバー攻撃は進行中であるか?」という現実的な問題に対処するのを遅らせる原因となります。このような場合、自動化を利用することで、生産性が大幅に向上し、検知と対応にかかる時間を短縮できます。この結果、コストのかかる攻撃や被害を最小限に抑えることができます。予算の制限が存在するために、このようなプロセスの自動化を適切に利用できない場合、投資の価値を定量化する必要があります。
ITの多くの側面と同様に、セキュリティ侵害の検知は、芸術と科学の両方の分野にまたがっています。ただし、良いアナリストと最高のアナリストを区別する基準となるのは、アナリストの「考え方」です。このような誤解を避けることで、セキュリティチームによるセキュリティ侵害検知に対するより戦略的なアプローチが可能となり、チームが自由に使えるリソースをさらに有効活用することが可能となります。
Lior Div(リオ・ディヴ)は、Cybereason Inc.のCEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。
