インフラストラクチャを保護するための行動分析:ハッカーとコロナウイルスがセキュリティ市場を変えている

2020/10/29 セキュリティーニュース
logo

最近まで、行動分析(UBAおよびUEBA)は、不正なトランザクションと内部関係者を特定するために、ビジネスアプリケーションでのみ積極的に採用されてきました。 現在、攻撃者はより巧妙になっています。攻撃者はステルス標的型攻撃を実行し、自分自身に注意を向けることなく、機密データを数か月間ダウンロードできます。

テレワークの導入によりリスクが増加

COVID-19の流行によるテレワークの採用は、リスクのさらなる増加につながりました。 ハッカーがより独創的になり、ユーザーがパブリックネットワークを介して企業の情報システムに大量にアクセスするにつれて、セキュリティを確保することがより困難になっています。2つの要因が相乗効果になって影響を及ぼしています。 既存のソリューションのほとんどは、侵入者の外部からの正当な行動(リモートデスクトップアクセス)を特定するのに不十分であるため、行動分析はITインフラストラクチャを保護するために積極的に使用されるようになっています。

既存のソリューションのデメリット

新しいツールの導入により、従来のソリューション(ファイアウォール、アンチウイルス製品、攻撃検出システム)を使用する必要がなくなるわけではありません。 それらはそれらの機能として素晴らしい仕事をしていますが、行動分析は攻撃者がすでにネットワーク内にいるときに役立ちますが、一方、攻撃者の行動は正当なユーザーの行動と同じです。 システムにログインしている従業員が、特定のアカウントで実際にリモートコンピューターで作業していることを確認する必要があります。 さらに、IT部門は個人用デバイスを管理していません。デバイスはマルウェアに感染し、所有者の意志に反して損害を与える可能性があります。 攻撃者は、他の誰かのマシンを制御することにより、正当なユーザーのアクセスを使用して企業ドメインに簡単に入ることができます。 同時に、他の情報セキュリティシステムは気づくことさえありません。

行動分析のしくみ

 内部インサイダーを識別するためにビジネスアプリケーションで使用される数学モデルは、ITインフラストラクチャに対する標的型攻撃を認識するのにも適しています。 アイデアは、さまざまなエンティティ(アカウント、ネットワークノード、さまざまなサービス)に関連付けられたデータを分析し、それらのパターンを識別して、それらの行動が通常と異なり始める瞬間を判断することです。 たとえば、ユーザーが以前に操作したことのないドキュメントをアクティブに表示していて、不明な外部サーバーに接続してそこに情報を送信しようとしたとします。個々に見ると、これらは単なる疑わしいイベントですが、合わさると、このシーケンスでは、それらは攻撃のようなものです。

ネットワークスキャン、奇妙なDNSクエリ、DNSトンネルの「構築」の試み、異常な電子メール送信アクティビティ-隠されたインテリジェンス、ターゲット情報へのアクセス、およびデータ漏洩の多くの兆候があります。 それらをまとめて分離し、相互に関連付けるには、さまざまなシステムからの大量のメタデータを分析する必要があります。 基本的に、これはActive Directoryであり、あらゆる組織のITインフラストラクチャのソフトウェア「心臓部」です。  ADアカウントを取得すると、攻撃者は他のセキュリティシステムからほとんど見えなくなりますが、他の方法が失敗した場合、行動分析は文字通りすべてに関する情報を調査します。ユーザーがドメインに入力したワークステーションまたはIP、パスワードの入力を間違えたかどうか、およびその回数 それが機能するリソース。 メタデータは、メールサーバー、ファイルストレージ、プロキシサーバー、ファイアウォール、VPN、DNSサーバーなどのターゲットシステムからも収集されます。

基本的に、プロファイリングはActive Directory資格情報のコンテキストで行われます。これは、ディレクトリ内で、ITインフラストラクチャに存在するほぼすべてのエンティティ(ワークステーションとサーバー、プリンター、通常のユーザーアカウント、および管理アカウントとサービスアカウント)に一致するものを見つけることができるためです。 ファイアウォールやその他のアクティブなネットワーク機器との相互作用のおかげで、ドメインに含まれていないノードに関するデータも収集できます。実際、行動分析システムは組織のスナップショットを作成し、組織内の危険な異常をリアルタイムで識別します。 それらは単に通常のイベントの経過に従わないか、既知の攻撃プロファイルと一致しない可能性があります。 他の情報セキュリティツールは、データをより詳細に調べます。それぞれが独自の狭い領域にあります。 彼らはネットワークトラフィックや、たとえばディスク上のファイルを分析しますが、全体像を把握することはできません。

行動分析ソリューションには、次の3つの主要コンポーネントがあります。

 データ分析:データを収集して、ユーザーとオブジェクトの「通常の」動作を判別し、それらの通常の動作のプロファイルを作成します。 次に、統計モデルに接続して、異常な動作を検出します。
 データ統合:ログ、ネットワークパケットデータなどのさまざまなソースからのデータを既存のセキュリティシステムと比較できることが重要です。
 データの提示:得られた結果を視覚化する必要があります。 これは通常、検出された異常な動作をさらに調査するようにセキュリティ担当者に警告することによって行われます。

認識することは防ぐことです

 インシデントを特定するだけでは不十分です。 理想的には、悪意のある活動のつぼみを摘み、大規模な攻撃を防ぎ、潜在的な被害を最小限に抑える必要があります。 一連のトリガーが実行された後や、異常または特定の脅威モデルが検出された後、行動分析システムはイベントをSIEM(セキュリティ情報およびイベント管理)に送信し、ドメインコントローラー、コンピューター、またはファイアウォールに個別にコマンドを送信できます。

 

最も印象的な例は、ランサムウェアトロイの木馬への対抗策です。 通常、それらはシステムへの侵入の段階でアンチウイルスソフトウェアでは検知されず、損傷が発生した後にリカバリーするのは遅すぎます。 動作分析により、データの大幅な変更が明らかになり、最終段階でアカウントを切断したり、暗号化が実行されているノードをブロックしたりするなど、さらなる予防措置をすぐに実行できます。 特定のマルウェアについて何も知らなくても深刻な被害を防ぐことができますが、通常、そのようなソリューションを購入することを正当化するにはこれだけでは不十分です。

ビジネス上のメリット
 行動分析システムを実装する効果を金銭単位で測定することは、同じファイアウォールまたはアンチウイルスを評価しようとするようなものです。 これを直接行うことはできません。  ITインフラストラクチャのセキュリティを強化することを目的としたソリューションは、機密データの漏洩や破損の脅威を軽減します。 それらは収入を生み出さないので、実施による経済的効率は、インシデントの結果を排除するコストを削減することによってのみ達成することができます。 問題は、脅威が潜在的であるということです。たとえば、会社で大きな経済的および評判の損害を伴う真に深刻な事件が発生するまで、トップマネジメントはセキュリティを強化するソリューションを導入することに非常に消極的です。

これは間違ったアプローチです。 プロトタイプ段階でも、ほとんどの組織は、行動分析なしでは検出できない安全でないプロセスを特定しています。  Active Directoryドメインに含まれる自宅やラップトップから従業員が持ち込んだ保護されていないワークステーション、広すぎるユーザー権限、他人のメールへのアクセス、ITスペシャリスト(クラウドを含む)やその他のシャドウエンティティの知識なしに実装されたソフトウェアソリューション。 企業インフラストラクチャが非常に複雑であり、管理者権限を持つ人を含め、その保守に関与する人員が多いため、手動で追跡することはできません。 さまざまな悪用に加えて、ボットネット、そしてもちろん、ネットワーク上で静かに活動しているインサイダーがしばしば発見されます。

インフラストラクチャを保護するための行動分析システムの人気は、従業員の遠隔作業への移行以外の理由で急速に高まりました。 コロナウイルスの流行は、このプロセスを大幅に加速させただけです。 したがって、そのようなシステムが組織で必要かどうかを判断するときは、大規模な攻撃を防ぐ方が、その結果を排除するよりも通常は安価であることを忘れないでください。

 そしてもう1つの重要なポイント-今日の行動分析はセキュリティソリューションを完全に置き換えることはできません。 むしろ、それは会社の全体的なセキュリティ状況を改善するための補足です。 さらに、DLP、CASB、SIEMなどのシステムの多くのメーカーは、ソリューションに行動分析機能を追加しています。