滞留時間(dwell time)とは、攻撃者がネットワークへのアクセス権を取得してから、同攻撃者のアクティビティが最終的に検知されるまでの時間を意味します。滞留時間は、サイバー攻撃が組織に与える潜在的な影響と、組織が採用しているセキュリティプログラムの全体的な有効性を示す重要な指標となります。

たとえば、「Cost of a Data Breach Report 2021(データ侵害にかかるコストに関するレポート2021年度版)」によると、攻撃者は検知される前に、被害者のネットワーク内で平均287日を滞留しており、これがデータ侵害にかかるコストを劇的に上昇させる原因であることが判明しています。

この調査によれば、企業や組織は、検知と修正を行うまでに200日以上かかったデータ侵害に対して、平均487万ドルを費やしていることが判明しています。一方、200日未満で検知と修正が行われたデータ侵害の場合、被害額は361万ドルでした。

この調査結果から、攻撃者の滞留時間を短縮することで、被害者である組織がデータ侵害により被るコストを削減できることは明らかです。すなわち、攻撃のより初期段階(数ヶ月ではなく数時間以内)で攻撃を検知するほど、望ましい結果が得られるはずです。では、なぜ多くの企業や組織が「我々は攻撃を受けているのか?」という問いに答えるのに、これほど長い時間がかかるのでしょうか?

平均検知時間の短縮

上記のような滞留時間は、企業や組織の持つ防御能力の低さにより発生します。特に、多くの企業や組織は、サイバーセキュリティのスキル不足に悩まされています。多くの場合、今日のセキュリティスタックにより生成される大量のアラートを処理できるアナリストの数は限られているからです。これは、トリアージ、調査、潜在的な問題への対処を行うアナリストの数が足りないために、あるイベントが大きなセキュリティ上の問題へとエスカレートする前に、早期検知や迅速な修正が行えないことを意味します。

多くの企業や組織が、テクノロジーを利用することで、セキュリティチームが備えている攻撃に関する平均検知時間(MTTD)と平均対応時間(MTTR)を改善しようとしています。しかし、必ずしもセキュリティプログラムの強さに貢献するようなやり方でそれを行っているとは限りません。一部の企業や組織は、エンドポイントにおけるマルウェア感染、ファイルレス攻撃、脆弱性攻撃を防ぐための多層戦略を採用しておらず、今もなお、従来型の時代遅れのシグネチャベースのアンチウイルス製品に固執している状態です。

シグネチャベースのツールは、既知のコモディティマルウェアをブロックすることに関しては、それなりに長けています。しかし、同ツールは、新種のマルウェア、ポリモーフィックマルウェア、再パッケージ化されたマルウェアから守ることに関してはほとんど役に立たず、脆弱性攻撃、ゼロデイ攻撃、ファイルレス攻撃に関しては全く役に立ちません。このような問題を解決するために、企業や組織には、次世代アンチウイルス(NGAV)ソリューションを導入することが推奨されます。同ソリューションは、AI/MLベースの検知を活用することで、シグネチャベースのツールでは見つけることができないような悪意あるコードやエクスプロイトを見つけることができます。

さらに、 EDR(Endpoint Detection and Response)ソリューションを導入することも強く推奨されます。同ソリューションは、マルウェアが配信される前にエンドポイントにおける攻撃者のアクティビティを検知し、脅威が本格的な攻撃をする前に脅威ハンティングを実現します。EDRプロバイダーの中には、利用可能なすべてのエンドポイントテレメトリを取り込めるわけではないという制限付きのものもあります。そのようなソリューションでは、より早期の検知とより迅速な修復に必要となるインテリジェンスの一部または大部分をフィルタリングすること を余儀なくされます。そのような「データフィルタリング」では、テレメトリが検知に役立つ可能性があるにもかかわらず、排除されてしまいます。

データフィルタリングを必要としない堅牢なEDRツールを導入したとしても、EDRソリューションは、エンドポイントデバイスから発生する高度な攻撃や、組織のインフラの他の部分にまで拡大する高度な攻撃を検知するのが難しい場合もあります。また、EDRソリューションを導入した場合であっても、アナリストは依然として、エンドポイントに対する脅威を、ネットワークの他の側面から得たインテリジェンス(クラウドワークロードや漏洩したユーザー認証情報など)と、手動で関連付ける必要があります。

XDRを活用したセキュリティスタックの最適化

企業や組織は、セキュリティスタックの最適化を通じて、自動化された機能を活用した多層保護を提供すると同時に、ネットワーク全体における可視性を高めることで、攻撃の早期停止に必要となるコンテキストと相互関連付けを利用できるようにする必要があります。

ここでXDR(Extended Detection and Response)の出番となります。XDRは、EDRがエンドポイントに提供する戦略的優位性を、組織のネットワーク全体に適用するものです。XDRは、最も初期の段階(最初の侵入、ラテラルムーブメント、IDの不正使用、データ流出など)において攻撃を検知するために必要となる継続的な脅威防止、脅威検知、および脅威対応機能を提供します。これは、エンドポイント、アプリケーションスイート、クラウドワークロード、ユーザーIDを通じて脅威インテリジェンスを相互に関連付けることにより可能となります。

XDRは、次に示す4つの方法を通じて、企業や組織のセキュリティスタックを最適化します。

  • セキュリティスタック全体における統合を最大限に達成:XDRを使うと、セキュリティスタック全体に取り込まれたテレメトリから、実用的でコンテキストリッチなインテリジェンスを生成することを自動化できるため、アナリストが発行されたすべてのアラートをトリアージする必要はなくなり、時間と労力を削減できます。電子メール、生産性ツール、アイデンティティおよびアクセス管理、およびクラウド環境とのネイティブな統合を通じて、アナリストは侵害の初期兆候を迅速に把握し、悪意あるオペレーションを迅速に停止できます。これがXDRにおける“X”のパワーです。
  • 悪意あるオペレーション全体を検知:XDRの持つ相互関連付けのパワーを利用すると、セキュリティチームは、影響を受けるすべてのデバイス、システム、およびユーザーに関して、MalOpTTM(悪意ある操作)全体を根本から明らかにすることで、オペレーション中心の検知アプローチを採用できます。XDRを使用すると、アナリストは、進行中の攻撃を終了させることに集中できるようになります。アナリストは、攻撃者のアクションや活動を手動でまとめるのに貴重な時間を費やす必要がなくなるほか、さまざまなセキュリティツールにより生成された整理されておらず相互に関連付けられていない大量のアラートを分類する必要もなくなります。これがXDRにおける“D”のパワーです。
  • 予測的な自動対応の実現:オペレーション中心のアプローチにより、攻撃者の振る舞いの意図と、それらが組織のネットワークのさまざまな要素にどのように関連しているかを完全に理解することで、アナリストは、攻撃者の次の動きを予測できるようになるほか、セキュリティポリシーに応じて自動化されたまたはガイド付きの修正を行うことで、攻撃の進行を先制的にブロックできるようになります。攻撃者の滞留時間を数カ月から数分に短縮できるのは、オペレーション中心のアプローチだけです。これがXDRにおける“R”のパワーです。
  • プロアクティブな脅威ハンティング:XDR を使うと、企業や組織はプロアクティブな脅威ハンティングを行えるようになります。これは非常に重要なアクティビティであり、これにより企業や組織は、疑わしい振る舞いの連鎖を検索することで、攻撃を早期に表面化させ、それらのオペレーションが引き起こす可能性のある損害を最小限に抑えることができます。XDRを使用すると、セキュリティチームは、複雑なクエリを作成しなくても、イベント間でのピボットや脅威の探索が行えるようになります。また、セキュリティチームは、成功したハンティングから学んだ教訓を、オペレーション中心のアプローチに基づいて、さらなる脅威ハンティングのためのカスタム検知ルールとロジックに取り入れることができます。これが、XDRの持つ3つの側面のすべてを1つのソリューションに統合することのパワーです。

AI駆動型のXDRが持つ強み

AI駆動型のXDRソリューションにより、企業や組織は、オペレーション中心のセキュリティアプローチを採用することが可能となるほか、すべてのネットワーク資産におけるセキュリティ体制を確実に整えるために必要となる可視性と、攻撃の進行を初期段階で阻止するのに必要となる自動応答を実現できます。

また、AI駆動型のXDRソリューションを使うことで、防御側は、企業全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースを含む)におけるサイバー攻撃を予測および検知した上で、それに対応できるようになります。

さらにサイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/