― 攻撃実行を阻止するAI脅威検知とふるまい分析 ―
前回に引き続きCyber Kill Chainに基づきランサムウェア対策について解説していこう。
前回まではCyber Kill Chainの3.配布(Delivery)までを説明した。Deliveryでは、「攻撃の道具」である攻撃コードやエクスプロイトをターゲット(ユーザーやシステム) に送り込む段階だ。フィッシングメールで悪意のあるドキュメントを添付、悪意のあるURLをクリックさせる、マルウェアを忍ばせたUSBをPCに挿入させる、などである。この段階ではまだコードは実行されていない状態、単に “届けた” だけである。
4. Exploitation(悪用/脆弱性突き)
ここでは届けられたエクスプロイトやトリガーが実行される。Deliveryで届けられたトリガーは、ドキュメント、ブラウザ、アプリ、ネットワークサービスなどさまざまな脆弱性経由で実行され得る。これらが成功すると RCE (Remote Code Execution: リモートでのコード実行) が成立する。RCEとは、攻撃者がターゲットのマシン上で任意のコード(プログラム)を遠隔から実行できる状態を指し、橋頭保を築いたということになる。これに成功するとマルウェア展開、権限昇格や横展開につながってしまう。また、痕跡を消すためにログの削除・修正にも手を伸ばしてくる。
現実にはサイバー脅威の侵入を100%防ぐことは、不可能と言っても過言ではない。だが、Exploitation段階での検知・阻止ができれば被害を大幅に抑えることが可能だ。では、エンドポイントなどに実装しているセキュリティをすり抜けてきた脅威を検出するにはどうすればよいか。従来ではファイルスキャンを重ねることでエンドポイントのサニタイズを実施してきた。昨今では侵入を前提とし、不審なアクションをリアルタイムに検出・阻止するためのソリューションが登場してきている。
システム的挙動(プロセス, メモリ, 通信など)と人的挙動(故意, 過失, RCEなど)の二つの視点で、様々なテレメトリとAIを活用した検知・対応のソリューションである。一口にAIといっても複雑な分析を行うために、目的に応じ様々なAIエンジンや機械学習、教師データのアリナシを組み合わせる必要がある。また、これまでの膨大な脅威データプラットフォームの裏付けがあって初めて実現できるソリューションでもある。
OpenTextでは組織内で発生している最もリスクの高いエンティティやアラートを特定する包括的な脅威検知と対応を支援するOpenText™ Core Threat Detection & Response (TDR)とOpenText™ Behavioral Signals(ArcSight)を提供している。
TDRは、Microsoft DefenderやEntra IDをはじめとする多様なテレメトリ、例えばプロセス生成、メモリ操作、ファイルレス実行、通信などを取り込み正規化した上で、エンティティ分析の後、機械学習によるふるまい分析、リスクスコア分析を行う。分析結果からアノマリーアラートとしてダッシュボード上に表示し可視化と脅威ハンティングの支援を行う。これにより内部に潜む脅威の早期検出を実現し、損害を引き起こす前に特定して無力化につなげる。また、組織固有の通常値を自動的に調整することで、誤検知の大幅削減を実現した。運用サイドからすると、誤検知減少によるアラート疲労の軽減は嬉しい効果であろう。さらに、セキュリティ担当者が自然言語でシステムに問い合わせができるSecurity Copilotを実装し、検知から対応までの運用効率を高める設計となっている。
Behavioral Signalsは、いわゆる「ふるまい検知」ソリューションで、内部脅威や外部標的型攻撃などの未知の脅威を特定する分析プラットフォームだ。教師なしのオンライン機械学習を使用しているため、使うほどに精度が向上する。UEBA(User and Entity Behavior Analytics)を使用して、企業内で最もリスクの高い行動をコンテキスト化されたビューで把握し、手遅れになる前に脅威を視覚化して調査するための適切なツールをSOCチーム/ITセキュリティ担当者に提供する。数百のデータモデルからスコアリングするためルールでは検知できない複合的な「怪しい行動」をあぶりだすことができる。従来のSIEM製品ではルールベースで脅威ハンティングを行ってきたが、「ふるまい」を可視化するには複雑な条件設定が必要であった。たとえば「退職予定者によるデータ窃取」のような典型的な内部脅威や「なりすまし」を想定した場合でも、脅威アクターによる検知回避行動を考慮すると多数のルールを組み合わせる必要があった。さらには変化する運用に適応するため、ルールを更新し続ける必要もあったが、Behavioral Signalsではチューニングレスで運用ができるのは大きな魅力だ。また、サーバーやPC等の「怪しい行動」も対象とするため、マルウェア感染等もリスクスコアに反映される。これらリスクスコアは確率的に計算され、最終的にはスコアの高い順にリスト化される。
ここで紹介した二つの製品は、膨大な脅威データとAIをフルに活用した新たなコンセプトのソリューションであり、組織に新たなサイバーセキュリティの盾の実装を支援する。これからのサイバーセキュリティの中核を担う機能と言ってもいいだろう。
ここまでは外部からの攻撃や内部脅威アクターを想定した話しを展開してきたが、アプリケーションに内包した脅威への対策も検討する必要がある。最近ではDX推進によりアプリケーション内製化に取り組んでいる組織が増えているが、果たしてそのアプリケーションは安全だろうか。少し話が前後するが、次回はアプリケーションのセキュリティ対策について検討したい。
———————————————————————————
【参考情報】
