Skip to main content

今だから知りたい、『脅威インテリジェンス』 シリーズ#4

第四講:脅威インテリジェンスを活用するための“サイバー攻撃への理解”(続き)


発行日:2021年5月4日
執筆:中村悠、編集:橋本詩保

第一講:「インテリジェンス」とは? 『脅威インテリジェンス』とは?
(第二講: オシント/シギント/ヒューミント? どうやって区別するの?)
第三講:「脅威インテリジェンスを活用するための“サイバー攻撃への理解”」



脅威インテリジェンスを活用するため、サイバー攻撃を3つのカテゴリに定義する

前回のコラムでは、「脅威インテリジェンスを活用する目的を設定する。そのために、サイバー攻撃のライフサイクルを理解する。」というテーマで話を進めてきました。

この図、是非、思い出してください。サイバー攻撃のライフサイクルを理解するために、非常にわかりやすいと思います。

出典:Mandiant APT1レポート

(https://www.fireeye.jp/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf)

P.27 “APT1 Attack Lifecycle”より

日本語にしたものがこちらです。

この 「1.情報収集」 ~ 「8.目的達成」 の8つのステップを踏むことで、攻撃者は攻撃を繰り広げます。

詳細は、前回の投稿をご覧ください。

では、「脅威インテリジェンス活用のために、セキュリティ対策の目的設定をする」というテーマで話を前に進めます。

セキュリティ対策の目的設定をする際、上述の7つのステップを以下の3つのカテゴリに分類してみてはいかがでしょうか。

  • 情報収集段階
  • 攻撃の前期段階
  • 攻撃の後期段階

具体的には、各カテゴリには、Mandiant社が定義したステップの以下が当てはまります。

(1)情報収集段階 → 1. 情報収集

このステージでは、攻撃者は、標的とする組織の実態調査を行います。つまり、セキュリティの弱い点を詳らかにし、標的とすべきか否かを決断します。

従って、セキュリティ対策も、(自社組織、並びに、関連企業の)現状把握が目的になります。自社のセキュリティ態勢はどうなっているのか、また、ビジネス上に関連する企業のセキュリティ態勢はどうなっているのか。そして、それらのセキュリティ態勢が攻撃者から見た時にどのように映っているのか。これらを推し量るために脅威インテリジェンスの活用が考えられます。

脅威インテリジェンスと照らし合わせてみた時、攻撃者から見て狙われやすい状況になっていれば、もちろん、攻撃者は抜け目なく攻撃の標的にしてきます。

(2)攻撃の前期段階 → 2. 初期侵入、3. 足場確立

このステージでは、攻撃者は何とかして、標的とした組織のネットワークに入り込もうと、外部から様々な攻撃を繰り返します。

従って、セキュリティ対策は、攻撃検知が目的として設定されます。”どんなマルウェアが利用されるのか”、”どんなシステムの脆弱性が利用されているのか”、”どんな手法があるのか”、”どんな攻撃メールが送られるのか”など、これまで攻撃に使われてきた手法などが分かれば、対策が取れます。これらを知ることが、脅威インテリジェンス活用の目的になるでしょう。

この段階の対策として、よく利用されるのが、ネットワークセキュリティ製品、メールセキュリティ製品、エンドポイントセキュリティ製品です。各ベンダーが提供する各製品には、それぞれのベンダーの脅威インテリジェンスが反映されています。

(3)攻撃の後期段階 → 4. 権限昇格、5. 内部偵察、6. 水平展開、7. 持続性確保、8. 目的達成

 このステージまで攻撃が浸潤すると、攻撃者は攻撃対象とした組織に、ネットワーク的に侵入している状態が作られることが多く、実際に、攻撃者自身が攻撃目的のコマンドを送り込んできます。

従って、セキュリティ対策の目的も、攻撃者の攻撃浸潤に利用されるコマンド実行を検知する、ネットワーク上/エンドポイント上で悪意のある振る舞い(情報持ち出し、不正な通信など)の確認を行うなど、現在、組織の中で攻撃が浸潤していないか、また、浸潤している場合は、その内容を把握することが目的になるでしょう。

最近導入が進んできた、EDR(Endpoint Detection and Response)やNDR(Network Detection and Response)、UEBA(User Entity Behavior Analysis)といった製品は、このカテゴリの脅威インテリジェンスが反映された製品と言えると思います。

どうでしょうか。少し、脅威インテリジェンスの活用方法が具体的に思い描けるようになってきたのではないでしょうか。

以下に、表でまとめてみます。

<脅威インテリジェンスの各カテゴリでの活用目的>

目的

具体的には、

1

情報収集段階

セキュリティ態勢の現状把握

”自社のセキュリティ態勢はどうなっているのか”、また、”ビジネス上に関連する企業のセキュリティ態勢はどうなっているのか”。そして、”それらのセキュリティ態勢が攻撃者から見た時にどのように映っているのか”を推し量る

2

攻撃の前期段階

攻撃検知

”どんなマルウェアが利用されるのか”、”どんなシステムの脆弱性が利用されているのか”、”どんな手法があるのか”、”どんな攻撃メールが送られるのか”など、これまで攻撃に使われてきた手法などを理解する

3

攻撃の後期段階

攻撃浸潤の状態把握

“攻撃者の攻撃浸潤に利用されるコマンド実行の検知”、“ネットワーク上/エンドポイント上で悪意のある振る舞い(情報持ち出し、不正な通信など)の確認”を行い、現在、組織の中で攻撃が浸潤していないかの確認する、また、浸潤している場合は、その内容を把握する


これまでの脅威インテリジェンス活用のトレンドとは

前述した通り、各セキュリティ ベンダーが提供する製品には、そのベンダー独自のインテリジェンスが反映されています。従って、意識的/無意識に関わらず、これまでも、セキュリティ製品を通じて、“脅威インテリジェンス”を活用されてきたと思います。

ここで、上記3つのカテゴリに照らし合わせると、これまでのセキュリティ投資がどのカテゴリに分類されるか、少し思いを巡らせてみませんか?

どうでしょうか。これまで私がお客様と話してきた肌感覚から申しますと、「(2) 攻撃の前期段階」への投資の割合が多いのかなと思ってきています。最近では、「(3) 攻撃の後期段階」に対応した製品の導入が進んできたとの実感もあります。

裏を返すと、「(2) 攻撃の前期段階」/「(3) 攻撃の後期段階」への脅威インテリジェンスの活用はかなり進んできているとも言えます。

では、「(1) 情報収集段階」ではどうでしょうか。

脆弱性管理ツール、レッドチームオペレーション、侵害調査サービスなど、様々なソリューションが存在し、多くの組織で「現状把握」の手段として、ご活用いただいていると思います。

でも、

『組織のセキュリティ態勢が攻撃者から見た時にどのように映っているのか。』を知る

この観点を持ったソリューションに出会うことは、これまでなかったのではないでしょうか。

この観点で言うと、「(1) 情報収集段階」への脅威インテリジェンスの活用は今後も広げていく余地がある分野であると言えます。

『組織のセキュリティ態勢が攻撃者から見た時にどのように映っているのか。』を知る

この観点、とても大切だと思います。どうして大切かというと、やはり、セキュリティは攻撃者優位の世界だからです。この世界では、防御側の主観ではなく、攻撃者が何を見て、何を考えていることを把握して、対策を行うことが最も効率的かつ有効です。

また、セキュリティ運用の観点からも、その組織に内在するセキュリティ観点での是正点、これらをすべて対応することは実質不可能(お金や人がいくらあっても足りないです)。では、どうしたらよいか、攻撃者が攻撃に利用する傾向が強いポイントから優先順位をつけて対応していく。こうすれば、限られたお金、限られた人で最大限の防御が可能です。

そんなことをしてくれるソリューションあるのでしょうか。もちろん、様々なアプローチ方法があります。

次回以降、このコラムでは、そのソリューションの1つである、「セキュリティ リスク レイティング」というソリューションを紹介したいと思います。






他の人気ブログ