「脅威ハンティング」による脆弱性悪用攻撃対策の実例
今回は「「脅威ハンティング」による脆弱性悪用攻撃対策の実例」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
前回の記事で紹介した通り、組織は脅威ハンティングを取り入れることで、潜在的な脅威を顕在化させて被害を未然に防ぐことができます。後編となる本稿では、より具体的な理解を得ていただくために脅威ハンティングサービスの実例を紹介します。
脅威ハンティングサービスは、単体でも侵害をより早期に「発見」することに貢献しますが、さらに「防御(Protection)」を目的とした対策と組み合わせることで、より効果的に組織のサイバーレジリエンス(障害などの問題に対するIT環境の回復力)を向上させることができます。
防御の例としては、アイデンティティーの管理、「Active Directory」のハードニング(セキュリティ強化)、ネットワークセグメンテーション、パッチマネージメント、アプリケーション許可リスティングなどさまざまにありますが、組織のIT基盤の構成や予算に応じて、効果的な対策を実施することが重要になります。
一例として、アカマイ・テクノロジーズが提供している、ネットワーク内部の通信制御を行う「マイクロセグメンテーション」と呼ばれるカテゴリーの製品である「Akamai Guardicore Segmentation」(AGS)と脅威ハンティングサービス「Akamai Hunt」を解説します。
その前に、マイクロセグメンテーションの理解がないと後の説明が難しいため、少しだけマイクロセグメンテーションを解説します。マイクロセグメンテーションは、「ゼロトラストセキュリティ」の主要な構成要素として、米国標準技術研究所(NIST)の文書にも言及されている技術です。これを使うと、自社の内部で発生する通信の制御を強化できます。
「内部で発生する通信」は、主にサーバー間の通信を指します。外部にいるクライアント(端末)からサーバーへの初期通信が行われますが、そこからサーバーがほかのサーバーと多くの通信を行っています。このサーバー同士の通信に社内ネットワークが利用されますが、サイバー攻撃の侵入拡大も、この社内ネットワークを通して行われます。こういった内部の横移動(ラテラルムーブメントとも呼称される)を防ぐ技術がマイクロセグメンテーションです。
標的型ランサムウェア攻撃では、多様化したさまざまな手口によって、攻撃者がいつの間にか内部に侵入します(初期侵入)。しかし攻撃者の侵入後でも、ネットワークに通信制御ポリシーを実装することで、攻撃者の行動を遮断し、最終的な被害を防ぐことができます。通信制御ポリシーとは、「AとBの通信を遮断する」というように、ルールを明記する静的かつ厳格なものです。これに、脅威ハンティングの動的な検知と調査機能を組み合わせることで、防御と検知の両面からAGSの効果を最大化することができます。
上図のように、組織全体のネットワーク通信を可視化し、そこに一元的な通信ルールを設定することができるようになります。従来の内部通信の制御は、大量にある通信機器から情報をかき集めて調査したり、個々のルーターやファイアウォールに通信ルールを記載して制御したりしていました。その方式はとても複雑で、昨今のクラウドを中心としたIT基盤には適さず、現在では多くの企業がこのマイクロセグメンテーション技術を採用しています。ネットワーク全体を一カ所から可視化して隅々まで把握し、一貫したルールを定義することができるようになります。
通信制御と脅威ハンティングは相性が良く、以下では、ある深刻な脆弱性を起点としたサイバー攻撃に対する脅威ハンティングを実例に解説します。