CrowdStrike
クラウドストライク
スレットハンティングとは
システム等で自動的に発見することができない脅威が存在している事を前提にしています。つまり、ネットワーク境界やエンドポイントなどのセンサーでは発見できず、脅威が組織内のネットワークに既に存在している状態を前提としています。
また、標的型攻撃などの高度な攻撃では、マルウェア単体が動作するのではなく、感染した端末を足掛かりにオペレーター(ハッカー)が遠隔操作することで、彼らの目的を達成すると言われています。つまり、防御側の対策によって一時的に組織を保護できていたとしても、それを迂回する手段を検討・実施してきます。更に内部に侵入した攻撃者は、既にコンピュータ内に存在しているツールや正規に利用可能なツールをうまく活用し、内部ネットワークの掌握や移動、情報窃取などを行っていくため、防御側にとって中々発見が難しいと言われています。
スレットハンティングは、上記の防御側、攻撃側両面の状況を前提にしたアプローチです。先の通り、高度な脅威は自動的に発見することができないという観点から、完全に自動化されたシステムだけでは防御することができません。また、攻撃者は「人」であり、防御側の迂回手段を検討してくるという点もあり、防御側も「人」が攻撃の状況・状態の仮説を立て、検出を行う必要があると考えられています。
しかしながら、侵入している可能性をすべて人手で探し出し検証することは、運用コストの観点で困難です。多くのケースでは機械学習などを利用し、世間一般と異なるパターン、過去に発生したことがないパターンなどを組織内のデータから自動的に発見し、攻撃であることを「人」が検証するという形で行われています。
エンドポイントの市場では、EDR = スレットハンティングという理解もあります。しかし、上述の通り、一般的には「人」が介在し、脅威を発見していくプロセスを意味することから、本来の趣旨とは異なる意味合いで使われているケースもあることをご認識ください。
IOA(Indicator Of Attack)とは
攻撃者が攻撃を行う為に必要な行動や、マルウェア/ツールの動きを捕捉する為のパターンを指します。
例えば、ランサムウェアは実行されると端末上のファイルを暗号化し、その復号化キーの提供と共に被害者から金銭を要求します。そのため、ランサムウェアを利用するサイバー犯罪者は、容易に元の状態に戻すことができないような攻撃手法も併せて利用しています。その一つとして、Windows 端末におけるVolume Shadow Copy と呼ばれるバックアップ領域を削除する機能があります。
この様な攻撃者が行う動作において、IOAではVolume Shadow Copy を削除するステップに着目し、例えば、正規のプロセス以外がこのVolume Shadow Copy の削除を試みた場合に、未然に防止し、ランサムウェアの暗号化行為を中断させることができます。
類似する言葉として、IOC (Indicator Of Compromise)というものがあります。このIOCは、感染した痕跡、つまり攻撃によって侵害された結果として残るマルウェア/ツールのハッシュやレジストリーキーなどに着目して検出を行うコンセプトです。
これらの “痕跡” は、攻撃者にとって比較的容易に変更が可能な為、多くの場合はすぐに形骸化してしまう可能性があります。
IOAは上述の通り攻撃者がとる行動パターンに着目している為、攻撃者にとって容易に変更が出来ず、IOCよりも形骸化し難い傾向があります。
株式会社マクニカ CrowdStrike 担当
- TEL:045-476-2010
- E-mail:crowdstrike_info@macnica.co.jp
平日 9:00~17:00