製品とサービス 製品とサービス

セキュリティアナリストの技術:24 時間 365 日対応を保証するには

経験豊富なセキュリティアナリストが語る、インシデントの調査に役立つヒント

** 本記事は、Secrets of a security analyst: Ensuring 24/7 cover の翻訳です。最新の情報は英語記事をご覧ください。**

ソフォスのインシデント対応サービスである Rapid Response がインシデントに対する際に、何度も見た光景があります。それは、サイバー攻撃を受けて破壊されたネットワークを修復しようとする IT チームの姿です。管理者にセキュリティ侵害の原因について尋ねると、セキュリティソフトウェアを導入していたにもかかわらず設定ミスで攻撃者のネットワーク侵入を許してしまったり、攻撃前にあった侵入の兆候を警告する指標を見逃してしまったりしていたということが多くあります。

厄介なことに、ネットワークに侵入する攻撃者の多くは、十分なツールや資金を持ち、ネットワークやシステムへの侵入技術に精通しています。攻撃者は大抵、以下で示すような攻撃の準備にかなりの時間を費やします。

  • 攻撃対象の調査。
  • ネットワーク内外の偵察。
  • ターゲットになりうるデバイス (または人物) の特定。
  • ターゲットに対してソーシャルエンジニアリング攻撃を行い、ユーザー名や認証情報など、ネットワークに深く侵入するための追加情報を取得する。

ソフォスが攻撃者の残した痕跡を調査したところ、攻撃者が、サイバー攻撃を実際に仕掛ける前に、長期間ターゲットのネットワーク内に潜伏していたことが確認できます。潜伏期間は数日、数週間、また長い場合には数ヶ月に及びます。攻撃者は目的とする攻撃を実行する前に、この期間を利用してネットワーク内に完全に入り込みます。目的とする攻撃は、ランサムウェア攻撃であったり、クリプトマイニングソフトウェアの大量の展開であったりする場合があります。

ほとんどの場合、攻撃発生のかなり前の時点で、ネットワーク内における攻撃者の活動を示す何らかの兆候は現れています。とはいえ、IT 管理者やセキュリティチームは、これらの兆候を見逃したり、これらの脅威から保護し警告するためのシステムを正しく構成できなかったりすることもあります。これは、日々の過酷な業務を考えれば無理もないことです。

これらのリスクを軽減するのに必要なのは、適切な監視と管理機能を実装する多層防御ソリューションです。具体的には以下のようなものです。

  1. 多層防御を提供する、完全な機能を備えた次世代エンドポイントセキュリティ製品。
  2. 多要素認証 (MFA) などの対策で保護されたセキュリティ製品の強固な管理プラットフォーム。
  3. 年中無休でセキュリティインフラを効果的に監視し、プロアクティブかつ柔軟に脅威ハンティングを実施できるチーム (これが重要なのは、FBI や CISA が指摘するように、攻撃者はほとんどの場合、IT およびセキュリティチームが環境を監視していない可能性が高い、週末や祝日の時期を狙って攻撃するからです [2]) 。
  4. 脅威の分析とネットワーク上で確認されたインシデントへの対応に関して、正しい判断を迅速に下すための知識をチーム内で共有しておくこと。

1 と 2 は簡単に入手できますが、一方で 3 と 4 の要件を満たすのは難しいかもしれません。ここ数年、セキュリティチームの作業量は大幅に増加しています。昨年 1 年間で、IT チームのセキュリティ以外の作業量は 63% 、サイバーセキュリティの作業量は 69% 増加しました[1]。この増加は、IT チームの日常業務に影響を与え、チームのメンバーの 61% が IT 案件への対応時間が長くなったことを報告しています。IT チームは、人員の不足に関わらずネットワークの安全性を維持しながら、負荷が増大するセキュリティ業務をこなさなければなりません。

さらに、IT 分野は大規模なスキル不足に直面しています。IT 管理者の 54% は、現在のサイバー攻撃はあらゆるツールを駆使しても、IT チームだけではもはや対処できないほど高度になっていると考えています[1]。セキュリティチームに対する予算を確保している組織でも、充分な防御態勢を整えるのは困難です。また、24 時間 365 日体制でセキュリティ対策を行うには、最低でも 6 人のスタッフが必要ですが、それだけのスタッフ数を用意するのも組織にとっては容易ではないでしょう。

その点で、Sophos Managed Threat Response (Sophos MTR) のように、MDR (Managed Detection and Response) を 24 時間 365 日体制で行うセキュリティサービスは、多くの組織にとって理想的なソリューションです。組織のセキュリティを強化する目的で MDR サービスを選択する際には、以下の点について必ず検討してください。

    • セキュリティチームが提供するサポートのレベル。脅威を無力化してくれるサービスか?もしくは脅威を警告するだけのサービスか?
    • 対応している修復のレベルはどうなっているか?攻撃者がネットワーク内をラテラルムーブメントできないようにデバイスを隔離するだけなのか、それとも完全に脅威を排除するサービスか?
    • 脅威ハンティングチーム、脅威の無力化チーム、インシデント対応チームのスキルレベルは?

ここで、これらの領域におけるソフォスのサービスレベルを説明します。

サポートレベル

ソフォスの MTR は、お客様の IT チームと連携し、顧客の組織と統合、拡張していきます。さまざまな対応モードを提供しており、お客様はソフォスとどのように連携してインシデント対応を進めていくかを選ぶことができます。

  • 通知モード
    • ソフォスの MTR チームは、今後の攻撃の可能性を示す振る舞いや動作を検出してお客様に通知し、修復方法を指導します。
  • 連携モード
    • ソフォスの MTR チームはお客様のチームと協力し、攻撃による影響を修復するための作業量を軽減します。
  • 承認モード
    • ソフォスの MTR チームは、お客様に代わってネットワーク環境における脅威を自ら修復して無力化します。
    • どのような対応を実施したのかをお客様に事後報告します。
    • 重要なセキュリティインシデントが発生した場合、またはネットワーク上で攻撃者が活動している場合には、指定された連絡先に連絡して即時対応が必要なインシデントが発生していることを報告します。
  • 連携モードから承認モードへの移行
    • インシデントや脅威に関するソフォスからの最初の報告にお客様の応答がなかった場合に、承認モードに移行することもできます。

修復のレベル

ソフォスは、これまでの常識にとらわれることなく組織のシステムの高い安全性を確保します。ソフォスが提供している機能は次のとおりです。

機能 説明
構成の変更 現在進行中の脅威に対応できるように構成を調整します。これには、脅威ポリシーの調整、保護されていないデバイスでのソフォス保護機能の有効化、除外項目の調整などの操作が含まれますが、これに留まるものではありません。
ホストの隔離 セキュリティが侵害されたアセットが別のシステムと通信しないように制限します。
ファイルのブロック ネットワーク環境内でハッシュによってファイルをブロックし、悪意のあるコンテンツの実行を禁止します。
スキャン実行 システムスキャンを開始します。
Web サイト/ IP / CIDR のブロック Web コントロールによって特定の Web サイトや IP アドレスをブロックします。
アプリケーションのブロック アプリケーションコントロールにより、特定のアプリケーションをブロックします。
Live Terminal の使用 他の対応策が有効でない場合、Live Terminal を使用することで、ホストに直接アクセスすることができます。
SophosLabs ソフォスの MTR チームは SophosLabs に直接接続し、特定の脅威に関する最新のデータを収集します。

 

Live Terminal について詳細に説明します。手動でネットワークにアクセスしている攻撃者を排除するには、標的となっているデバイスに直接アクセスするしか手段がないことがあります。このような場合には、MTR の上級アナリストがお客様の管理者から承認を得て、ネットワークにある関連デバイスに直接アクセスする Live Terminal セッションを有効にします。このセッションで、アナリストはデバイスにコマンドライン ( OSX と Linux ではターミナル ) で直接アクセスできるため、進行中の攻撃に対して効果的な防御策を実行できます。さらに、MTR アナリストがデバイスを分離する必要がある場合でも、デバイスへの安全なトンネルを確立し、進行中の脅威を無力化して修復できます。

セキュリティの専門知識

ソフォスの MTR チームは、認定された脅威ハンターとセキュリティ実務者 (SSCP、SCP) で構成されています。 メンバーは C|EH、C|TIA、ECSA などを専門にし、CompTIA Security+、Network+、CySA+ の資格を取得しているなど、セキュリティのあらゆる分野において包括的な知識を持っています。ソフォスは、お客様の安全を責任を持って守ります。

最後に

脅威ハンティングと無力化には、24 時間 365 日稼働できる専門のオペレーターが必要です。自組織だけでこのような作業を行うことが出来ない場合は、サードパーティのアナリストを加えてセキュリティチームを拡張しましょう。その際には、毎日休むことなく防御サービスを提供できるチームを選ぶことが重要です。

コメントを残す

Your email address will not be published. Required fields are marked *