成果目標を基盤とするユースケース対応：ラテラルムーブメントの解決

当社が最近発表した一連の新機能は、Exabeam製品に関して一律に適用されるもので、セキュリティ面の特定の課題を解決します。脅威の検知、調査、対応 (TDIR) に関するこの新しいユースケースパッケージは、セキュリティオペレーションセンター (SOC) が成果基盤型アプローチを採用して、収集から、検知・調査・対応に至るワークフローの改善に役立つ強力な規範的ソリューションとなります。2021年第2四半期に一般公開されるこのTDIRパッケージは、規範的データソース、検知モデル、ウォッチリスト、調査チェックリスト、対応プレイブックなどを含む包括的なコンテンツでセキュリティ運用 (SecOps) ワークフローのライフサイクル全体に対処して、アナリストが目標とする成果を繰り返し達成するのに役立ちます。

規範的ユースケースが必要な理由

Gartnerによると、「十分に詳細な目標と明確に定義されたユースケースの欠如はセキュリティ分析結果の実践に失敗する主因の1つ」です。業界アナリストたちは、ユースケースを重視しないセキュリティ分析イニシアチブは最大80%が失敗すると予測しています。セキュリティチームが解決しようとする特定の問題が曖昧なケースは、市場と当社顧客にも明確に見られます。例えば、「内部の脅威」は内部の従業員監視、および攻撃者が従業員を侵害してシステムとネットワークへの内部アクセスの獲得を試みる脅威の両方の要因を扱うことができる一般的に望ましい「ユースケース」です。 

曖昧という問題に加え、セキュリティ市場の既存のユースケース用ソリューションの機能は検知のみに限定されていることも指摘されています。他社はすぐ使えるユースケースの幅広さをアピールしていますが、当社が見たところその大半は顧客が解決しようとしている問題を完全には解決しません。例えば、ラテラルムーブメントがかかわるユースケースへの対処を図る顧客が、脅威の検知に一部のルールとモデルを使用することはあっても、調査と対応プロセスという「次のステップ」には対処できません。

最終的にセキュリティチームが得られる結果は、曖昧さと検知のみに焦点を当てる近視的なアプローチによる問題が原因で期待を下回ることになります。

一般的脅威への対応

TDIRのユースケースパッケージは、Exabeamの分析・自動化エンジンにより以下の多発している脅威の上位3カテゴリから保護するための規範的コンテンツを提供することで、アナリストのワークフローを簡素化します。

• 外部の脅威：フィッシング、マルウェア、ランサムウェアをなどのユースケース。
• 内部者の侵害：特権アクティビティ、アカウント操作、権限昇格、回避、資格情報の侵害、ラテラルムーブメント、データの抽出などのユースケース。
• 悪意のある内部者：特権アクセスの濫用、アカウント操作、監査の改ざん、物理的アクセス、データ漏洩、データ破壊などのユースケース。

この記事では、内部者の侵害カテゴリに属する特定のユースケースと見受けられる「ラテラルムーブメント」に焦点を当てます。

ラテラルムーブメントとは

ラテラルムーブメントとは、攻撃者がネットワーク内のあるデバイスを侵害するか操作能力を取得して、そのデバイスから他のデバイスへとネットワーク内部を (「横方向に」) 移動する活動を指します。

ラテラルムーブメントを使用する攻撃者はネットワーク内を体系的に移動し、機密データや価値の高いアセットを見つけます。最初のアクセスを確保した後、他のアセットの脆弱性の有無を調べ、別のアカウントの侵害、権限昇格を経て、最終的にデータの漏洩などの損害をもたらします。

従来のセキュリティツールでは、侵害されたアカウントに関わるラテラルムーブメントアクティビティと通常のユーザーアクティビティを区別することができないため、攻撃者が発見されず、数週間、または数か月にわたって攻撃の範囲を拡大することにもなりかねません。

図1：攻撃者はネットワーク内の各デバイスを横方向に移動

Exabeamのラテラルムーブメントの検知と対応方法

ラテラルムーブメントに対応するため、Exabeamでは収集、検知、調査、対応用の主なデータソースとコンテンツを指定しています。アセットなどのデータソースへのログオン、およびアクセスや認証活動により、ラテラルムーブメントに関連する主な手法 (Pass-the-Ticket、Pass-the-Hashなど) を検知します。このユースケース向けのExabeamの検知ルールとモデルはすぐ使うことができ、対応範囲が明確になるようにMITRE手法にマッピングされています。Threat Hunter、当社のSmart Timelines、ラテラルムーブメントのチェックリストは、全体的に調査にかかる時間を短縮し、質を向上します。また、推奨される対応策 (以下参照) はIncident Responderで自動化することが可能で、平均修復時間 (MTTR) を削減します。この包括的なコンテンツでは、アナリストのワークフローの各段階にわたり、セキュリティチームがラテラルムーブメントのユースケースを一貫して解決するために必要な要素が網羅されています。

図2：横方向への移動のユースケース用デー‑タソースとコンテンツ

ラテラルムーブメントの詳細な考察

アナリストのワークフローを段階別に確認しながら、Exabeamのこのユースケースへの対応方法を考察しましょう。また、当社プラットフォームでのこのユースケースの表示方法をサンプルユーザー、Julietta Donaldsonと共有します。

収集と検知

この段階でセキュリティチームがよく直面する課題は、従来のセキュリティツールでは有効な資格情報を使用する攻撃者によるラテラルムーブメントを正常なユーザー活動と区別できないことです。Exabeamは重要なデータソースを取り込んで分析し、Pass-the-TicketやPass-the-Hashなどのリスクの高いアクセスや手法を検出します。Exabeamの行動モデルは、ホストやアセットへの初回アクセスやアクセスの失敗など、対象のユーザー、その同僚や組織の過去の行動に照らして異常なアクティビティを検出し、通常のアクティビティと悪意あるアクティビティとを明確に区別します。

以下の例で当社は、ユーザー、Julietta Donaldsonが関わるラテラルムーブメントインシデントを発見しました。Exabeamはさまざまなログを収集し、関連付けたうえで、該当ユーザーに関連付けて、タイムラインを作成します。 

図3：Exabeam Smart Timelinesはさまざまなデータソースのログデータを時系列にまとめ、証拠の関連付けに必要な時間を大幅に削減します。上記のタイムラインには、正常・異常にかかわらず、ユーザーのJulietta Donaldsonの全セッションが表示されています。

取り込まれたデータはコンテキストでエンリッチ化されます。Exabeamはホスト、IPアドレス、ネットワークゾーン、その他の関連パラメータにユーザーをマッピングします。このステップはネットワーク中を移動するユーザーを追跡するために重要です。 

最初のイベントを掘り下げていくと、Juliettaが侵害された可能性の最初の兆候が詳細に見えてきます。イベントとイベントの詳細は認証、アセットへのアクセスデータとログインデータなど、データソースから解析されます。このイベントでは、Juliettaがこのインターネットサービスプロバイダ (ISP) から取得したリモートログオンを初めて使用したことがわかります。これは異常な活動と考えられるため、彼女が侵害された可能性が疑われ、詳しい調査が開始されます。

図4：Smart Timelineのイベントから、JuliettaがISPのトータルサーバーソリューション用のリモートログオンを使用したことがわかります。

次にExabeamは、行動モデリングを通じてユーザーの正常行動を学びます。アナリストはこのモデルから、正常行動に関する貴重なコンテキストを取得し、異常検知に役立てることができます。Exabeamは正常なユーザー行動の基本軸を確立してから、ユーザーにとって最初のアクセスや異常なアクセスといった行動を検知します。このモデルの基盤となるルールによって異常な行動に警告が発せられ、リスクスコアが指定されます。

図5：このデータインサイトモデルにはユーザーがアクセスするソースホストを表示。Exabeamは新しいホストへの異常なアクセス (この場合はホストatl-addc-002へのアクセス) について警告します。

このデータインサイトモデルでは、Juliettaの正常なホストへのログオン (lt-jdonaldson-888) を確認できます。新規ホスト (atl-addc-002) やモデル内の以下の他のホストへのアクセスに対するアラートでは、攻撃者が他のホストへのアクセスを試みている可能性が示唆されています。これはラテラルムーブメントの典型的な兆候です。

次に、ExabeamはMITRE ATT&CKの戦術と技巧ラベルを該当する異常なイベントにタグ付けします。例えば、このイベントはラテラルムーブメント戦術に関連付けられる「リモートサービス」技巧でタグ付けされます。アナリストは異常行動またはMITRE ATT&CKの戦術と技巧に基づき、ラテラルムーブメントを検索することもできます。これはアナリストがラテラルムーブメントインシデントで侵害されたユーザーとアセットを漏れなく見つけるのに役立ちます。その結果組織は、MITRE ATT&CKフレームワークで説明されている技巧などのラテラルムーブメントを行動分析で検出することで、セキュリティ体制を強化することができます。

ラテラルムーブメントに関連するMITREの技巧としてExabeamでは以下の7つを検知しています。

• T1090: プロキシ
• T1205: トラフィックシグナリング
• T1219: リモートアクセスソフトウェア
• T1071: アプリケーションレイヤープロトコル
• T1021: リモートサービス
• T1078: 有効なアカウント
• T1550: 代替認証資料の使用

図6：このSmart TimelineイベントでExabeamはラテラルムーブメントとよく関連付けられる「リモートサービス」技巧を検知。

イベントがMITRE技巧「T1021：リモートサービス」にタグ付けされているこのタイムラインからは、攻撃者がJuliettaのアカウントを使用して正常なホスト (lt-jdonaldson-888) から異常なホスト (adtl-addc-002) へと横方向に移動していることがわかります。ラテラルムーブメントを採用する攻撃者はネットワーク中を移動し続ける傾向があり、この点についてさらに調査を進めます。

可視性と調査

ワークフローの調査段階でセキュリティチームがよく直面する問題として、ラテラルムーブメント攻撃で見逃している部分がないことを確信できないことが挙げられます。Exabeamは、侵害されたユーザーとアセットを一覧で示すことで、ラテラルムーブメントを完全に可視化します。既に取り上げたSmart Timelinesに加え、アナリストはExabeam Threat Hunterを使って調査を実施し、他の侵害ユーザーやアセットを見つけたり、未加工ログを確認するためにタイムラインイベントを詳細に調べたりできます。このプロセスのあらゆる時点で、ラテラルムーブメントチェックリストを参照して漏れのない完璧な調査を行うことができます。

図7：アナリストはラテラルムーブメントインシデントのチェックリストに従って、調査の具体的な質問に回答しながら、封じ込め措置を取ります。

Juliettaのタイムラインでは、調査を進めて、「ユーザーが横方向に移動したと疑われるアセットは？」「ユーザーがこのアセットにアクセスしたのはこれが最初ですか？」などの質問に回答できます。以下のタイムラインイベントでは、このユーザーが特定のサーバーにアクセスしたのはそれが初めてであることが表示されています。そこでExabeamは、サーバーがあるネットワークにJuliettaが最初にアクセスしたのはそれが初めてであると判断しました。

図8：この異常行動では、ユーザーが自分のホストからネットワーク内の別のサーバーに横方向に移動していることが示されています。これはJuliettaにとって正常な行動ではありません。

攻撃者がJuliettaのアカウントを使用して別の新規ホスト「cal-ad-003」に横方向に移動していることがこの図でも確認できます。ネットワーク中を移動することで攻撃者は価値の高いアセットにアクセスし、最終的に権限昇格やデータ抽出を実行できるようになります。

Exabeamはこうした情報をタイムラインに自動的にまとめることで、アナリストが重要な質問にすぐ回答できるようにして、調査の質と速度を向上します。 

応答

ラテラルムーブメントへの対応プロセスでセキュリティチームが直面する最後の課題は、複数のセキュリティツールでの対応の調整を図ることに数時間、あるいは数日かかる可能性があることです。Exabeamプレイブックは、セキュリティスタック全体を通じてラテラルムーブメントインシデントへの対応を調整します。すぐに使える統合とカスタマイズ可能なアクションで、セキュリティチームはプレイブックを自動化し、ユーザーの停止やパスワードのリセットなど、ラテラルムーブメントインシデントに対応できるようになります。

図9：このラテラルムーブメントプレイブックでインシデントの特徴付けとエスカレーション、侵害ユーザーのウォッチリストへの追加を実行する間、このユーザーのアカウントは無効化され、パスワードはリセットされます。

Exabeamとラテラルムーブメント

この記事では、検知から対応に至るアナリストのワークフロー全体をサポートすることで、Exabeamがラテラルムーブメントのユースケースを解決する方法について説明しました。要点をまとめると、Exabeamのセキュリティチームは以下を実現します。

• MITRE ATT&CKフレームワークに記載される技巧を含む行動分析を使ってラテラルムーブメントを検出することで、セキュリティ体制を強化する。
• アナリストがラテラルムーブメントに関連する重要な質問にすぐ回答できるようにして、調査内容を充実させ、所要時間を短縮する。
• セキュリティオーケストレーションの自動化と対応プレイブックを使って、運用効率を向上し、平均修復時間を短縮する。

Exabeamのユースケースを基盤とするラテラルムーブメント向けソリューションの詳細については、「ソリューション概要」をお読みください。