「脅威ハンティング」による脆弱性悪用攻撃対策の実例

今回は「「脅威ハンティング」による脆弱性悪用攻撃対策の実例」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　前回の記事で紹介した通り、組織は脅威ハンティングを取り入れることで、潜在的な脅威を顕在化させて被害を未然に防ぐことができます。後編となる本稿では、より具体的な理解を得ていただくために脅威ハンティングサービスの実例を紹介します。

　脅威ハンティングサービスは、単体でも侵害をより早期に「発見」することに貢献しますが、さらに「防御（Protection）」を目的とした対策と組み合わせることで、より効果的に組織のサイバーレジリエンス（障害などの問題に対するIT環境の回復力）を向上させることができます。

　防御の例としては、アイデンティティーの管理、「Active Directory」のハードニング（セキュリティ強化）、ネットワークセグメンテーション、パッチマネージメント、アプリケーション許可リスティングなどさまざまにありますが、組織のIT基盤の構成や予算に応じて、効果的な対策を実施することが重要になります。

　一例として、アカマイ・テクノロジーズが提供している、ネットワーク内部の通信制御を行う「マイクロセグメンテーション」と呼ばれるカテゴリーの製品である「Akamai Guardicore Segmentation」（AGS）と脅威ハンティングサービス「Akamai Hunt」を解説します。

　その前に、マイクロセグメンテーションの理解がないと後の説明が難しいため、少しだけマイクロセグメンテーションを解説します。マイクロセグメンテーションは、「ゼロトラストセキュリティ」の主要な構成要素として、米国標準技術研究所（NIST）の文書にも言及されている技術です。これを使うと、自社の内部で発生する通信の制御を強化できます。

　「内部で発生する通信」は、主にサーバー間の通信を指します。外部にいるクライアント（端末）からサーバーへの初期通信が行われますが、そこからサーバーがほかのサーバーと多くの通信を行っています。このサーバー同士の通信に社内ネットワークが利用されますが、サイバー攻撃の侵入拡大も、この社内ネットワークを通して行われます。こういった内部の横移動（ラテラルムーブメントとも呼称される）を防ぐ技術がマイクロセグメンテーションです。

　標的型ランサムウェア攻撃では、多様化したさまざまな手口によって、攻撃者がいつの間にか内部に侵入します（初期侵入）。しかし攻撃者の侵入後でも、ネットワークに通信制御ポリシーを実装することで、攻撃者の行動を遮断し、最終的な被害を防ぐことができます。通信制御ポリシーとは、「AとBの通信を遮断する」というように、ルールを明記する静的かつ厳格なものです。これに、脅威ハンティングの動的な検知と調査機能を組み合わせることで、防御と検知の両面からAGSの効果を最大化することができます。

　上図のように、組織全体のネットワーク通信を可視化し、そこに一元的な通信ルールを設定することができるようになります。従来の内部通信の制御は、大量にある通信機器から情報をかき集めて調査したり、個々のルーターやファイアウォールに通信ルールを記載して制御したりしていました。その方式はとても複雑で、昨今のクラウドを中心としたIT基盤には適さず、現在では多くの企業がこのマイクロセグメンテーション技術を採用しています。ネットワーク全体を一カ所から可視化して隅々まで把握し、一貫したルールを定義することができるようになります。

　通信制御と脅威ハンティングは相性が良く、以下では、ある深刻な脆弱性を起点としたサイバー攻撃に対する脅威ハンティングを実例に解説します。