UEBAならば検知できたSolarWinds事件、その方法とは

12月に発生したSolarWindsサプライチェーンに対する悪名高いサイバー攻撃はその範囲だけでも衝撃的であり、少なくとも9つの連邦政府機関、重要インフラ事業者、100件を超える民間組織にまで被害が広がりました。高度な戦略によりFireEyeが発見するまで事実上気付かれることなく、連邦政府機関のセキュリティに対する姿勢を変える出来事になりました。

Federal News Networkに掲載された『CISA：SolarWinds後のサイバー防衛にとって「アイデンティティがすべて」』の記事では、タイトルの「アイデンティティがすべて」についてだけでなく、侵害から得た多数の教訓を取り上げています。サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) のストラテジストJay Gazlay氏は、ハッカーが検証済のクレデンシャル情報を悪用していた事実により、セキュリティ侵害の阻止には、アイデンティティ管理が重要であることが浮き彫りになり、特にクラウドアプリケーションの使用が増えている現状においては一層重要であると述べています。Gazlay氏は他にもいくつか重大な分析結果を提示しています。

• 検知に最も長けていたのは、アイデンティティ管理に行動分析手法を組み入れて「不可能なログイン」を中心とする異常な活動に対してフラグを立てることができた機関でした。詳細は後述します。 
• 連邦政府機関がこうした異常な活動を検知できる環境が整っていない場合、類似のなりすまし攻撃を検知できず、攻撃者にとって恰好の標的になります。
• セキュリティはできるだけ自動化することが望まれます。個々のユーザに対して[IoC (侵害指標)]の検証を求めるのは実に困難です。

Exabeamでは、SolarWindsの侵害事件が発覚した経緯と各攻撃ステップへの対策に関するアドバイスをこちらで詳細に説明しています。

UEBAの採用

上記の分析結果から、あらゆる機関のセキュリティ面における欠かせない武器として、UEBA (ユーザーとエンティティの行動分析) の重要性が浮き彫りになっています。UEBAの厳密な意味については複数の記事で詳細に説明しており、UEBAの定義とインシデント対応に不可欠な理由、UEBAとSOARを使って、スタッフを増やさずにセキュリティチームの生産性を向上する方法などの記事でご参照いただけます。 

UEBAのセキュリティに対するアプローチは、従来型のファイアウォール、マルウェア対策、侵入防止、SIEMで通常使用される、ルールベースのものと本質的に正反対になります。ルールベースでは数千種類の攻撃シナリオから相関する個別ルールを作成します。例えば、「ユーザーが4MBを超えるファイルが添付されたメールを送信するときは常にアラートを送信する」といったルールです。 一般的に、ルールベースのアプローチでは多くの時間とリソースが必要とされ、誤検知が生じやすく、次の攻撃より最後の攻撃を常に追いがちです。

UEBAでは手動でルールを作成・維持管理する代わりに、機械学習と高度な分析を使用して一定期間にわたり正常なユーザー活動を追跡、分析し、グラフィックアーティストなどの同類グループに属する他のユーザーの活動と比較します。Gartnerが追加したUEBAの「E：エンティティ」では、サーバー、ルーター、IoTデバイスといった、リソースやデータにアクセスするユーザー以外の実体の行動を追跡します。UEBAは想定される行動の基準ラインを確立すると、その基準ラインから外れるすべての活動に自動的にフラグを立てます。ただし、異常行動の都度アラートを送信する代わりに、UEBAは次の対応を図ります。

• 複数のログソースからデータを取り込む
• すべてのユーザー活動を1つのタイムラインにまとめて分析、組み合わせる 
• 異常行動にリスクスコアを割り当てる 
• すべての異常行動にわたる合計リスクレベルが特定の基準を超えた場合のみ、ユーザーにアラートを送信する

UEBAと不可能なログイン

格好の事例としては、SolarWindsに対する攻撃における異常行動で、Federal News Networkの記事で「不可能なログイン」と呼ばれるものが挙げられます。このシナリオでは、世界の数か所でログインのために同じ認証情報のセットが使用されています。 

この攻撃の戦略を把握したら、個々のルールのスコアを作成してこの攻撃にフラグを立てることもできますが、UEBAの優れた点はこうしたルールが一切必要ないところです。UEBAでは単に「不可能なログイン」をそのユーザーや同類グループに属する他のユーザーの通常の活動ではないとして検知します。つまりUEBAは未知の脅威も検知できるのです。その端的な例を、以下のExabeam UEBAスクリーンショットでご覧いただけます。 

• ユーザー、Barbara Salazar、シカゴから午後5:06にログイン、このユーザーにとって完全に正常なログイン行動。 
• 翌朝このユーザーはウクライナからログイン。距離と時間を考えると「不可能なログイン」である可能性が濃厚。 
• UEBAはウクライナでのログインを、このユーザーだけでなくデバイスと組織全体にとっても初めてであると特定。ソースIPアドレスとISPからも初めての接続。 
• 割り当て済みリスクスコアの合計は徐々にアラート基準を超え異常行動レベルに達し、確認が必要な顕著な異常活動としてアラートを生成。 

UEBAはユーUEBAはユーザー、デバイス、組織にとって最初のログインなどの未知の脅威を検知できます。ザー、デバイス、組織にとって最初のログインなどの未知の脅威を検知できます。

UEBAはアイデンティティベースの攻撃を直接検知する仕組みになっており、特権アカウントに対する攻撃や他のゼロデイ戦略を発見・阻止するうえでうってつけのツールです。Gazlay氏が述べているように、SolarWindsの事例や他の類似攻撃を踏まえると、連邦政府組織はこうした行動分析をセキュリティ対策に加えることを真剣に考慮すべきです。