Comments
Description
Transcript
内部・外部脅威の兆候は 捕捉できるのか?
Solution Brief 内部・外部脅威の兆候は 捕捉できるのか? 行動開始のきっかけを見直す 3 つのケーススタディ はじめに このソリューションブリーフでは、内部および外部脅威の兆候把握をテーマにします。最悪の事態は外部から問題の可能性 を指摘され、調べてみたら既に大きな問題に発展していたというケースです。そのような状況を避けるためにも、問題が大 きくなってから行動を開始するのでは無く、より早い段階で行動を開始できれば問題の範囲は限定的になり、少ない労力で 対応できる可能性が高まります。 このソリューションブリーフでは行動開始のきっかけの見直し、可視化による兆候把握のレベルアップ、既存の仕組みの有 効活用の 3 つを例にして、兆候をどのように把握できるか考えてみたいと思います。 リカバリー作業中心のリアクティブな対応から、プロアクティブで攻撃完了の前に攻撃を阻止する可能性を高めることが多 くのセキュリティ担当者に共通する課題です。このソリューションブリーフは実際に行動開始のきっかけを見直す参考になる ことを期待しています。 ケース 1:初動開始をプロアクティブにする 単純でも効果を発揮した行動開始のきっかけの変更 重要データに悪影響がでて問題に気づいた人から報告を受けた時点で行動を開始していた状況の改善例を見てみます。 きっかけは午前 2 時に発生したログインエラーでした。 Before Change 重要データの問題に気づ 業 務 時 間 外に 5 回 以 上ドメイン いてから対応開始 コントローラーに認証要求が発生 After アラートの発生をきっかけ に調査を開始 したらアラートを発生させる 「重要データに悪影響が発生するのを待つのではなく、積極的に兆候をとらえてアクションを起こす体制に変わりました。」 Lance Wright, information security manager for Volusion http://www.mcafee.com/us/resources/reports/rp-when-minutes-count.pdf Solution Brief このようなケースは珍しくありません。重要データへのアクセスログを SIEM(Security Information and Event Management)に集約することで、貴重な情報がセキュリティ担当者の監視対象に含まれ、発生したインシデントとの関連 に気づきやすくなります。ただし注意点もあります。ログインなどアクセスに関する情報は重要ですが、全てのアクセス情 報を監視するのは不可能で現実的ではありません。以下のようなアラートを、次に紹介する通常状態との違いに着目して確 認すると、通常の状態と不審な状態が見えてくることが多くあります。 ■ ログイン等のエラーの発生量 ■ サーバーへのアクセス量 ■ セキュリティシステムが発生するログの量 通常との違い 1 「いつもと違うから不思議に思った。」、不審の気づきとして最もよく用いられるのは普段との違いです。ある程度の期間の データを収集し、そのトレンドと現在発生しているアクティビティの量の違いはセキュリティの現場でも頻繁に用いられる視 点です。 通常(青いライン)と比較して実際に発生している状況(オレンジの棒グラフ)と差が把握可能 通常との違い 2 日常的に業務が実施される時間帯ではなく、それ以外の時間帯(通常勤務時間外や多くの従業員が退出している時間帯)に 目を向けるのも様々な気づきには有効な視点です。この時間帯はノイズも少なく、また正当、不審にかかわらずプログラム により実行されている活動を把握するのに有効な時間帯です。 通常業務が行われる時間外のアクティビティをみる(不審に思ったら詳細な情報確認もドリルダウンで可能) 内部・外部脅威の兆候は捕捉できるのか? 2 Solution Brief ケース 2:内部脅威に対する感度を向上させる 特定の重要アクティビティに注目して兆候を学習する 通常重要データにアクセスできるユーザは限定されているはずです。従って重要データに対する不審なアクセスを把握す るためには、アクセス権を持つユーザの行動可視化とアクセス権の入手に関するアクティビティの可視化が重要です。 Before Change After 外部からの連絡により重要 重要データへのアクセスや リスクの高いアクティビティ データの流出調査を開始 アクセスが可能になる状況 を可視化し、不審な状況(通 (権限付与)を可視化 常と違った傾向)に注目 まず通常状態を把握する 不審を察知するには、まず通常状態の把握です。通常の状態は個々の組織や環境に依存するため、単純ではないかもしれ ません。そこで、通常を把握するための第一歩は可視化です。もし、重要情報に対する内部脅威検知の感度向上を検討し ている場合は、通常状態をまず把握するのがお勧めです。また、大切なことは、間違っても全ての情報に対する「通常状態」 を把握しようとしないことです。まずは、特に重要な情報にアクセスする可能性があり、かつ問題発生より前に実行される 特定のアクティビティに注目して定期的に確認することです。 ■ 特権ユーザや重要情報にアクセス権を持つユーザによる DB アクセス 特権ユーザが業務時間外や業務とは関わりのない重要データにアクセスをしていないかなど、把握できるように する。 一般ユーザ DB 管理者権限 保有ユーザ 顧客情報 テーブル データベース 特権保有 ユーザ 内部・外部脅威の兆候は捕捉できるのか? 3 Solution Brief ■ ユーザのアクセス権の変更 一般ユーザに DBA 権限を新たに付与したなどの権限変更などを把握できるようにする。 データベース ユーザ A R&D 機密情報 テーブル DB 管理者権限 保有ユーザ 営業 機密情報 テーブル ユーザ B 監査対象イベントを実行した詳細表示 監査対象イベントを実行した ユーザをランキング表示 可視化に必要なのは情報の集約と確認できる仕組み作り 内部・外部脅威の兆候は捕捉できるのか? 4 Solution Brief 他には、通常より頻繁なアクセスがある、認証の成功無しにエラーが連続発生しているなどの状況監視も兆候の把握に有 効です。通常のログ管理システムや、DB 自身の監査ログシステムでは難しいこの手の監視も SIEM を活用すると比較的容 易に実現できます。認証の失敗や成功の全てを監視対象にするのは現実的に不可能ですが、下記のように「5 分間に、ログ インの成功無しに、同一 IP から 10 回のログイン失敗が発生」のような状況を監視すると単なるログインの失敗に忙殺され ることなく、リスクの高い状況を監視することができます。 5 5 3 3 2 2 時間(分) ログイン失敗 4 4 1 1 A さん B さん C さん D さん E さん ログイン元とログイン先の組み合わせ ケース 3:巧妙化するマルウェアの検知を見直し 未知のマルウェアの兆候を把握 脅威が巧妙化する昨今において未知のマルウェア検知は大きな課題です。ここではマルウェアに見られるアクティビティに 注目した、活動兆候の捕捉例を紹介します。ここで紹介する方法は万能ではありませんが標的型攻撃などに使われる未知 のマルウェアの検知にも有効な方法です。 Before Change After 感染拡大の兆候把握時に該 多くのエンドポイント エンドポイントでテンポラリフォルダ がマルウェアに感染し から実行ファイルが起動されたこと 当エンドポイントに関する てから対応開始 を検知してアラートを発生させる アクティビティ調査を開始 この方法を用いれば、ウイルス対策製品がブラックリストを基にしたパターンマッチによる検知に失敗したとしても、活動を 開始しようとした時点で補足できる可能性があります。マルウェアの感染被害が拡大してから行動を開始するより、はるか に良い状態で対応を開始できるはずです。 内部・外部脅威の兆候は捕捉できるのか? 5 Solution Brief 監視の視点にマルウェアの特徴に関する知識を活用 このような発想のためにはマルウェアの特徴的な動きと、使用している対策製品の機能の知識が必要になります。最近はマ ルウェアの情報も多く発信されているので活用できます。また、多くのマルウェア対策製品(ウイルス対策製品、脆弱性 予防製品など)にはファイルをチェックして検知する以外に、特定のフォルダへのアクセスを防止したり、特定のアプリケー ションの実行を禁止する機能、アプリケーションの起動状況の監視機能が備わっているものもあるので、これらの機能を活 用しない手はありません。 EXE C:¥windows¥Temp 例: 例: ■ テンポラリフォルダからの実行ファイルの起動 ■ テンポラリフォルダからのスクリプトの実行 ■ ■ ■ 左の例の事象が他 PC で発生していないか ■ 左の例の事象発生 PC で下記の事象の発生 – 評価の低い外部 IP、通常通信しない国と通信 – 業務時間外(夜間、週末)の通信 – 同様イベントの繰り返し 実行を禁止している通常不要アプリケーションの 起動(例:tftp.exe) セキュリティ関連アプリケーションの停止 SIEM SIEM で複数の事象(上記の左右の例)を関連付けたり異なるシステムで発生した同様事象を可視化 まとめ 今回ご紹介した内容はシンプルですが効果が期待できる例を紹介しました。脅威の兆候をとらえるために、これまでの視点 (実際に行動を開始すると決めていた状況)を少し変えてみることを提案しました。 多くの場合、全ての脅威をできるだけ早く検知したいという希望と、でも全部は無理だからという失望のはざまで実際に 試してみることを決断できないのが実情です。脅威は時々刻々と進化するので初めから全てを把握するのは困難ですが、 逆に脅威はそれなりに同じような傾向も見られるので、一つ一つの学習や試行が次の大きなステップになる可能性を秘めて います。普段とは違う ! という気づきは特別な才能を持った人のみができることではなく、その状況に目を向け、繰り返し 観察することから始まり、ちょっとだけ感じた疑問を仮説にして、確かめてみることで上達します。まずは、できることから 試して検証してみることが大きな成果の第一歩です。 マカフィー株式会社 www.mcafee.com/jp 東京本社 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F 西日本支店 〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F 名古屋営業所 〒450-0002 愛知県名古屋市中村区名駅4-6-17 名古屋ビルディング13F 福岡営業所 〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F TEL:03-5428-1100(代) FAX:03-5428-1480 TEL:06-6344-1511(代) FAX:06-6344-1517 TEL:052-551-6233(代) FAX:052-551-6236 TEL:092-287-9674(代) Intel および Intel のロゴは、米国およびその他の国における Intel Corporation の商標です。● McAfee、マカフィー、及び McAfee のロゴは、米国法人 McAfee, Inc. またはその関係会社の米国またはその他の国における登録商標または商標です。● 本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。©2015 McAfee, Inc. All Rights Reserved. ● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。● 製品の仕様、機能は予告なく変更する場合が ありますので、ご了承ください。 MCASB-SIEM-1506-GRP