** 本記事は、Secrets of a security analyst: Starting a threat hunt の翻訳です。最新の情報は英語記事をご覧ください。**
経験豊富なセキュリティアナリストのヒントを基に、脅威ハンティングを始めるための基本的な知識をここで共有します。
脅威の検出と対応に関しては、MDR (Managed Detection and Response) プロバイダーに注目する組織が増えています。ESG Research によると、「51% が MDR サービスプロバイダーを活用の上、テレメトリデータを統合して脅威の検出と対応に役立てている」とのことです。
Sophos Managed Threat Response (MTR) のような MDR プロバイダーには、社内のみのセキュリティ運用プログラムと比較して、さまざまな利点があります。その中でも最大のメリットは、経験の多さです。この記事シリーズではその経験を活用して、脅威ハンティングを皮切りに、ソフォスのセキュリティ担当者の技術を説明します。
セキュリティアナリストは常に脅威を追跡し、さらなる対応が必要となるような不審な点を探しています。しかし、すべての脅威ハンティングが同様というわけではありません。ソフォスでは、脅威ハンティングを大きく 2 種類に分類しています。
- 手がかりをもとにした脅威ハンティング
- 手がかりがない場合の脅威ハンティング
脅威ハンティングの手がかりあるかどうかにかかわらず、検出された脅威はセキュリティチームが作業の優先順位を判断し、対応し、無力化する必要があります。
手がかりをもとにした脅威ハンティング
セキュリティアナリストは、悪意のある不審な行動がないか、24 時間 365 日体制で調査対象を監視する必要があります。ソフォスでは、さらなる調査が必要な検出結果がある場合、あらゆる状況に人間ならではの論理的思考とビジネスコンテキストを適用できる、人間の脅威アナリストによって確認されます。彼らは、アクティビティを観測し、過去に確立されたビジネスコンテキストを考慮し、仮説を立て、その仮説に基づいて行動します。その仮説は、潜在的なインシデントに直接関与するものかもしれませんし、目下の問題に関する知識をより深めるためにさらなる調査を行うことかもしれません。
この手順を完結させるために、アナリストは仮説とテストの結果がどうなるかを待って確認します。さらなる調査が必要な場合は、結論が出るまでこのサイクルを繰り返すことになります。イベントがセキュリティインシデントであることが確定した場合、アナリストは脅威に対応するため、応答モードに完全移行します。
経験豊富なセキュリティアナリストは、調査のガイドとしてフレームワークを活用します。たとえば、ソフォスの MTR チームは、OODA ループと呼ばれる調査プロセスを利用しています。これにより、上記で説明したサイクルを回して、すべての調査結果が検証し証明されたものであると確認することができるのです。
OODA ループは軍事概念に基づいています。ソフォスのチームは OODA ループに従い、イベントと周囲の動作を完全に理解するために、論理的なサイクルを回します。 そして、OODA ループと同時に人間の意思決定と直感を用いて、顧客環境内に悪意のあるアクティビティが存在するかどうかを結論付けることができます。その後、アナリストは調査の結論に基づいて行動を起こします。
では、これを実際の例に落とし込んでみましょう。参考として、約 800 台のデバイスを Sophos MTR で監視していた以下の顧客を挙げます。
トリガー
影響を受けたシステムで何かが起こっていることを示す唯一の兆候は、ProcDump (管理者がアプリケーションのメモリ空間をキャプチャするために使用する完全に正規のツールで、通常はトラブルシューティングのために使用されます) 一見すると無害な実行でしたが、この例では、ソフォスのエンドポイントが報告したシグナルは、ProcDump が lsass.exe のメモリをダンプしようとしていることを示していました。
<pLSASS とは、Microsoft Windows の Local Security Authority Subsystem Service のことで、セキュリティポリシーの適用や Windows システムへのログイン処理を行っています。仮にそのメモリをディスクに書き出すと、ユーザー名やパスワードが取得されてしまう可能性があります。
エンドポイントプロテクションの Sophos Intercept X は、このアクティビティを「認証情報の窃取」のイベントとしてブロックしましたが、手がかりをもとにした脅威ハンティングを全面的に行うのに十分なレベルの警告でした。 これを受けて、MTR システムによって自動的にケースが作成され、MTR の脅威アナリストが対応することになりました。
ハンティング
最初の「認証情報の窃取」の後、MTR のアナリストはプロセスツリーを ProcDump から追跡し、追加の指標を見つけ出そうとしました。 その結果、攻撃者は Meterpreter を使用してユーザー権限を昇格させようとしていたことが分かりました。 また、攻撃者はコマンド & コントロール (C2) トラフィックの痕跡を残しており、未知の外部 IP アドレスに向けて、Cobalt Strike などの偵察・常駐化ツールに関連する、アナリストが以前見たことがあるものと同様の方法で通信を行っていました。
この時点で、ネットワーク上にアクティブな攻撃者がいることが明らかになり、MTR アナリストはこのイベントをお客様にエスカレーションし、お客様が選択した MTR 対応モードに沿って、MTR チームと一緒に調査を続けました。
このケーススタディの詳細については、「MTR ケースブック: アクティブアドバーサリーの阻止」をご覧ください。
手がかりのない脅威ハンティング
手がかりをもとにした脅威ハンティングでは、センサーが重要な「シグナル」を発するか検出する必要がありますが、手がかりのない脅威ハンティングはより系統的に実施されます。 取り込んだ大量のデータを処理するために人工知能のアルゴリズムを使用している場合もありますが、手がかりのない脅威ハンティングでは、ほとんどの場合、最初から人間の脅威アナリストが指揮を執ります。
系統的なシグナルを頼りに、調査を開始するのではなく、顧客または顧客の複数のアセットに対してプロアクティブにクエリを実行します。 これには、以下のような理由があります。
- <liソフォスの同じ業種の顧客が特定の方法で標的にされていたので、同じ攻撃者が他の MTR Advanced の顧客を攻撃しようとしていないことに注意して確認するため。
- SophosLabs が MTR チームに、1 社または多数の MTR Advanced の顧客と同じ業種、または類似した特性を持つお客様を標的とした重大な攻撃が発生していることを報告したため。
- セキュリティ業界で重大なイベントが発生しており、ソフォスの顧客がその影響を受けていないかどうかを確認するため。 ゼロデイ攻撃の脅威がより高度になり蔓延している現在の状況では、残念ながらこのようなことはよくあることです。
Sophos MTR サービスについての詳細は、ソフォスの Web サイトか、 ケーススタディや調査結果からご覧になれます。