- 2022/10/28
- セキュリティ
振る舞いの痕跡(IOB)を活用することで早期検知を実現する
Post by : Anthony M. Freed
「侵害の痕跡(Indicators of Compromise、IOC)」が犯罪現場に残された手がかりだとすれば、「振る舞いの痕跡(Indicators of Behavior、IOB)」は目撃者であり、これらはどちらもサイバー攻撃に関するストーリーを語るものです。サイバー攻撃を調査する際に、これらの両方が役に立ちます。
Forbes誌が「高度なサイバー攻撃者を見つけるための新しいテレメトリ」と呼んだものを利用することで、当社は、攻撃が成功した後に残された証拠やアーティファクトを通じてだけでなく、攻撃に関する最も微妙なリアルタイムのインジケーターを通じて、未知の攻撃手法を早期に検知する機能を開発しています。
IOCのように攻撃を構成するコンポーネントを重視するのとは異なり、IOBの有用性は攻撃シーケンスには依存しません。
ある環境での攻撃を分析し、その結果得られたインジケーターを他の環境に適用することで同様の攻撃を見つけようとすることは有用ですが、IOCを文書化して普及させ、脅威ハンティングにIOCを適用できるようにするには、常に1匹(または複数)の「生贄の子羊」が必要となります。
『オペレーション中心のアプローチとは〜振る舞いの痕跡(IOB)を活用して早期検知と予測的対応を実現する〜』はこちらからダウンロードできます。
https://www.cybereason.co.jp/product-documents/white-paper/9109/
一方、IOBを活用すると、従来のセキュリティソリューションではアラートをトリガーしなかったアクションやアクティビティの場合でも、関連する振る舞いの連鎖自体により攻撃者の意図が明らかとなるため、どの「正常な」振る舞いが実際には悪質であるのかを判断できます。
「正規の振る舞い」が特定のシーケンスで連鎖すると、その結果として、極めて稀な状態が発生するか、または攻撃者にとって明らかに有利な状態が発生します(あるいはそれらの両方が起こります)。このような場合、エンドポイント、クラウド、アプリケーションスイート、ユーザーIDに関するコンテキストリッチな相互関連付けが、攻撃の初期段階で悪意ある行動を検知するための重要なカギとなります。
IOBは、ネットワーク上の一見無害な振る舞いの背後にある、悪意ある目立つ振る舞いの連鎖を分析することで、攻撃者が取った軌跡とその意図を浮き彫りにするものです。
IOBとIOCの比較
インターネット技術特別調査委員会(IETF)の主張によれば、「防御者は、ネットワークやエンドポイントにおける悪意ある活動を特定、追跡、ブロックするために、しばしば侵害の痕跡(IOC)を利用する」とのことです。IOCは、サイバー攻撃で残された確かな証拠の一部であり、かつフォレンジックがもたらすアーティファクトです。それは、次に攻撃者が来襲した時のためにセキュリティチームが「研究室に持ち帰」ってログに記録すべきものです。
しかし、1日に35万を超える新種のマルウェアが検知されており、かつファイルレス攻撃やLiving-off-the-Land(環境寄生型)攻撃が台頭する中、この方法はますます十分ではなくなっています。証拠を調べている時点では、事態はもはや手遅れなのです。
SolarWinds社への攻撃で見られたように、未知の新しい攻撃の進行をリアルタイムで検知して防御するためには、IOCは効果的ではありません。SolarWindsへの攻撃で使用された悪意のあるコードは、有効なデジタル証明書により署名された正規のソフトウェアアップデートに密かに組み込まれていたため、従来の方法ではこの攻撃を検知することが非常に困難でした。
過去のブログ記事でSam Curryは次のように述べています。「(自分たちが何をしているかを知っている悪質業者は)既知のファイルハッシュや世の中に出回っているマルウェアシグネチャと一致しないようにするために、自らのコードを独自にコンパイルしています。これにより、IOCが検知に関して無効となるほか、シグネチャベースのマルウェア対策ソリューションが同じインジケーターを使って複数の組織間で十分なレベルの保護を提供することも不可能になります」。
彼は次のように続けます。「また、より高度な攻撃者は、ノイズを増大させ、対応作業を複雑にするために、IOCデータベースに偽のアーティファクトをインジェクトすることがよくあります」。
ここで重要なポイントは、SolarWindsのような高度な攻撃を早期に検知するためには、IOBを活用して、より効率的かつ効果的なオペレーション中心のアプローチへとレベルアップすることで、攻撃の全体を検知できるようになる必要があると理解することです。相互に関連付けられていない個別のアラートに対応することでは、より大規模な攻撃オペレーションの重要な要素を明らかにできるかどうかは保証されません。
攻撃者がネットワーク上で予期される通常のアクティビティを行っている場合でも、アクションやアクティビティが連鎖すると、正規のユーザーやアクティビティの行動経路からは外れたパターンが浮かび上がってくるのです。
IOBを使うと、単体では無害に見える振る舞いであっても、個別にではなく相互の関係を踏まえて検証することで、その裏にある相互に関連付けられた攻撃計画を明らかにできます。
IOBとMITRE ATT&CKフレームワーク
IOBの背後にあるロジックをよりよく表現するために、MITREのATT&CKフレームワークを見てみましょう。MITRE ATT&CKフレームワークは、攻撃者が何を行っているかを技術的に明らかにするものであり、非常に有用です。このフレームワークは、「ハッカーはいかにして環境内を移動するのか?」、「彼らはいかなる戦術を使うのか?」、「彼らの使う手法とは何なのか?」、「攻撃に次回遭遇した際に、いかにしてそれを知ることができるのか?」などの問いに応えるものです。
ATT&CKフレームワークの真価は、防御者が攻撃者の行動や活動をより適切に記述するための分類法を作り出し、より優れた検知につなげることにあります。MITRE ATT&CKの各列は攻撃で採用される戦術を表しており、それぞれのボックスはそれを達成するために使用される手法を表しています。
これらの行動パターンは、単独で観察すると表面的には重要でないように見えるかもしれませんが、それらを「振る舞いの連鎖」としてまとめて調べると、攻撃の初期段階に関するインサイトを早期に得ることができます。
IOBのオペレーショナライズ
IOBのオペレーショナライズとは、大規模環境において振る舞いを計測し収集することです。これを実現するには、セキュリティスタック全体の潜在的価値を最大限に引き出し、かつ多様なテレメトリソースを通じて必要なコンテキストと相互関連付けを迅速かつ自律的に提供するような、標準化が必要となります。
私たちは、IOBに関する拡張可能な共通フォーマットを必要としています。そのようなフォーマットは、参加者全員が同じ認識を持てるようにするものであり、かつ私たちの能力と敵の能力が進化し続けた場合でもスケーリングが可能となるものです。そのためには、IOBに関する拡張可能な共通フォーマットが必要となります。そのようなフォーマットは、私たち防御者全員が同じ認識を持ち、かつ私たちの能力と敵の能力が進化し続けた場合でもスケーリングが可能となるものでなければなりません。また、ソリューションや資産クラスに関係なく、無害な行動と悪質な行動の両方を大規模に収集し、機械語クエリの自動化を可能にするようなデータ構造を体系化することも必要となります。
業界に関して言えば、私たちは、すでに起こったことを説明するだけのアーティファクトへの依存から脱却し、リアルタイムで起こっていることを明らかにする「振る舞いの痕跡(IOB)」を活用することで、攻撃の進行が重大なセキュリティイベントへとエスカレートする前に、攻撃の次なるステップを防ぐために予測的に対応する必要があるのです。
IOBを活用したオペレーション中心のアプローチでは、攻撃者が防御を回避するために自らの戦術を変更・調整するよりも早く、セキュリティ運用を動的に適応させ、予測的な対応を実現できます。これは、最終的に敵の優位性を逆転させ、防御側に優位な立場を取り戻すためのカギとなります。
オペレーション中心のアプローチとは〜振る舞いの痕跡(IOB)を活用して早期検知と予測的対応を実現する〜
今日のセキュリティモデルでは、関連性のないアラートが無限に生成されます。その大半は誤検知であるか、より大きな攻撃シーケンスの一部に過ぎません。
このホワイトペーパーでは、早期検知のためのIOC(Indicators of Compromise)の価値の低下、IOCを表現するための拡張可能な共通言語の確立によるIOCの定義と運用、SolarWindsの攻撃に基づくIOB(Indicators of Behavior)の活用に関するケーススタディなどについて深く掘り下げて解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/9109/
