UEBAがSolarWindsの侵害事例を検知した方法 - Exabeam

UEBAがSolarWindsの侵害事例を検知した方法

Published
August 10, 2021

Author
Joe Lareau

12月に発生したSolarWindsサプライチェーンに対する悪名高いサイバー攻撃はその範囲だけでも衝撃的です — 少なくとも9つの連邦機関、重要なインフラストラクチャ企業、100件を超える民間組織にまで被害は広がりました。高度な戦略によりFireEyeが発見するまでほぼ気付かれることなく、連邦機関のセキュリティに対する姿勢を変える出来事になりました。

Federal News Networkに関する記事、『CISA:SolarWinds後のサイバー防衛にとって「アイデンティティがすべて」』では、侵害から得た多数の教訓にスポットライトを当てており、タイトルの「アイデンティティがすべて」もその1つです。サイバーセキュリティ・インフラストラクチャ庁 (CISA) Jay Gazlayストラテジストによると、検証済み資格情報をハッカーがエクスプロイトした事実は、クラウドアプリケーションの使用が増えている状況に鑑み、セキュリティ侵害を阻止するうえでのアイデンティティ管理の重要性を浮き彫りにするものです。Gazlay氏は他にもいくつか重大な分析結果を提示しています。

  • 検知に最も長けていたのは、アイデンティティ管理に行動分析手法を組み入れて「不可能なログイン」を中心とする異常な活動に対してフラグを立てることができた機関でした。詳細は後述します。 
  • 連邦機関がこうした異常な活動を検知する準備をしていない場合、類似のなりすまし攻撃を検知できず、攻撃者にとって見逃せない標的になります。 
  • セキュリティはできるだけ自動化することが望まれます。個人の身元を選り分けるために人々に質問し回る[侵害の兆候]のは実に困難です。 

Exabeamでは、SolarWindsの侵害事件が発覚した経緯と各ステップに対処するための助言についてこちらで詳細に説明しています。

UEBAの採用

上記の分析結果からは、あらゆる機関のセキュリティ面における欠かせない武器として、セキュリティユーザーとエンティティの行動分析 (UEBA) の重要性が浮き彫りになります。UEBAの厳密な意味については複数の記事で詳細に説明しています。その主なトピックとしてUEBAの定義とインシデント対応に不可欠な理由追加スタッフなしにセキュリティチームの生産性を向上するためにUEBAとSOARを利用する方法が挙げられます。 

UEBAのセキュリティに対するアプローチは、旧式のファイアウォール、マルウェア対策、侵入防止、SIEMで通常使用される、ルールベースのものと本質的に正反対です。ルールベースでは数千種類の攻撃シナリオから相関する個別ルールを作成します。例えば、「ユーザーが4MBを超えるファイルが添付されたメールを送信するときは常にアラートを送信」といったルールです。 

こうしたルールは既知の攻撃パターンが基盤になっているため、戦略がめまぐるしく変わる状況で最新状態を保つには多くの労力を必要とします。ユーザーの状況が考慮されないことが多く、例えばグラフィック部門にとって4MB以上のファイルを添付して送信するのは日常的なことです。つまりこうしたユーザーをホワイトリストに登録するためにさらに多くのルールを考案することになります。一般的に、ルールベースのアプローチでは多くの時間とリソースが必要とされ、誤検知が生じやすく、次の攻撃より最後の攻撃を常に追いがちです。 

UEBAでは手動でルールを作成・維持する代わりに、機械学習と高度な分析を使用して一定期間にわたり正常なユーザー活動を追跡、分析し、グラフィックアーティストなどの同類グループに属する他のユーザーの活動と比較します。Gartnerが追加したUEBAの「エンティティ」部分ではサーバー、ルーター、IoTデバイス、リソースやデータにアクセスする他のマシンの行動を追跡します。UEBAは予期される正常行動の基本線を確立すると、その基本線を外れるすべての活動に自動的にフラグを立てます。ただし、異常行動の都度アラートを送信する代わりに、UEBAは次の対応を図ります。 

  • 複数のログソースからデータを取り込む 
  • すべてのユーザー活動を1つのタイムラインにまとめて分析、組み合わせる 
  • 異常行動にリスクスコアを割り当てる 
  • すべての異常行動にわたる合計リスクレベルが特定の基準を超えた場合のみ、ユーザーにアラートを送信する

UEBAと不可能なログイン

SolarWindsに対する攻撃における異常行動の格好の例が、Federal News Networkの記事で「不可能なログイン」と呼ばれるものでした。このシナリオでは、世界の数か所でログインのために同じ資格情報セットが使用されます。 

この攻撃の戦略を把握したら、個別ルールのスコアを作成してこの攻撃にフラグを立てることができます。一方、UEBAの優れた点はこうしたルールが一切必要ないところです。不可能なログインがそのユーザーや同類グループに属する他のユーザーの通常の活動ではないことを検知するだけです。つまりUEBAは未知の脅威も検知できるのです。その端的な例を、以下のExabeam UEBAスクリーンショットでご覧ください。 

  • ユーザー、Barbara Salazar、シカゴから午後5:06にログイン、このユーザーにとって完全に正常なログイン行動。 
  • 翌朝このユーザーはウクライナからログイン—距離と時間を考えると「不可能なログイン」である可能性が濃厚。 
  • UEBAはウクライナでのログインを、このユーザーだけでなくデバイスと組織全体にとっても初めてであると特定します。ソースIPアドレスとISPからの最初の接続でもあります。 
  • UEBAはこれらの特定されたそれぞれの行動にリスクスコアを割り当てます。 
  • 割り当て済みリスクスコアの合計は徐々にアラート基準を超えて異常行動レベルに押し上がり、要注意の異常活動として調査するためにアラートが生成されます。 

Graphical user interface, text, application

Description automatically generated

UEBAはユーザー、デバイス、組織にとって最初のログインなどの未知の脅威を検知できます。

UEBAはアイデンティティベースの攻撃を直接検知する仕組みになっており、特権アカウントに対する攻撃や他のゼロデイ戦略を発見・阻止するうえでうってつけのツールです。Gazlayが言うように、SolarWindsや他の類似攻撃の事例を受け、連邦組織はこうした行動分析をセキュリティ対策に加えることを真剣に考慮すべきでしょう。

Recent 情報セキュリティ Articles

XDRの前提条件: 処方的な脅威中心のユースケース

Read More

Exabeam、大規模なセキュリティニーズ対応のためクラウド配信のFusion SIEMとFusion XDRを発売

Read More



Recent Information Security Articles

内部脅威の検知ツール

Read More

内部不正の兆候 : 内部に潜む敵を見つけるには

Read More

Advanced Analyticsユースケース:侵害された資格情報を見破る

Read More

成果目標を基盤とするユースケース対応:ラテラルムーブメントの解決

Read More

データサイエンスで内部の脅威に対抗

Read More