一刻を争うとき(パート2)

インシデントレスポンスでは、攻撃の指標を活用することが極めて重要です

最近セキュリティインシデントがニュースの見出しを飾る回数が増え、その深刻さも高まっていることから、私たちが生活するデジタル社会がますます複雑になっていることは明らかです。私は長年この業界で働き、数百の企業の包括的なセキュリティ評価を行うチームを率いていますが、Intel Securityの委託によりEvalueserve社が最近発表したレポートによって、一歩先を行くセキュリティを中心に、より多くの措置を講じる必要性が改めて裏付けられました。

このレポートによると、調査対象となった企業の半数以上が過去半年で10件以上の標的型攻撃と、APT攻撃(Advanced Persistent Threat)の調査を実施しています。これらの多くの調査で明らかになったことは、攻撃者が数カ月あるいは数年もの間検知されずに環境に居座っていたことです。侵害される前に攻撃を阻止する手段を把握できるように、このレポートには今年200以上の調査に携わったIntelのFoundstone調査員のIsmael Valenzuela氏とJake Babbin氏の体験談も掲載されており、実際に最も重要な指標について解説されています。

Foundstoneのインシデントレスポンスチームは、いくつかの攻撃指標は攻撃が差し迫っているか発生していることを示す可能性が高いことを突き止めました。一般的に、私たちが遭遇している例は、インバウンド、内部、またはアウトバウンドの異常なアラートのパターンを示しています。インバウンドの例は、脆弱性のプローブまたは偵察テストが原因の可能性があります。内部の不審なパターンは、さまざまなホストに同一のユーザーアカウントで繰り返しログインを試みるような変則的なトラフィックで、IDや権限が盗まれた可能性があります。そして不審なアウトバウンドトラフィックのパターンは、セキュリティを侵害されたホスト、コマンド&コントロール活動、データの流出を示しているかもしれません。これらのパターンの多くは、短時間で活動が多発したときに関連性レーダーで高いスコアを記録します。集中的な活動は、強い意志を持ち積極的に活動する人物を示しているためです。

私の経験から言うと、セキュリティデータは以下の8つの攻撃の指標と関連性があるため、各組織はセキュリティデータを収集して関連付けることができるかどうかを検証する必要があります。

  1. ビジネスに無関係の外国、または既知の悪質な宛先と通信している内部ホスト。
  2. 非標準のポート、または使用中のプロトコルと一致しないポートを介して外部ホストと通信している内部ホスト。
  3. 内部ホストと通信している、外部からアクセス可能な(DMZ)ホスト。システムへの侵入やデータの取得に使用できる情報漏えいの可能性があります。
  4. 営業時間外に発生するアラート。ホストへの侵入の可能性があります。
  5. 内部ホストによるネットワークスキャンとプローブ。ネットワーク内を偵察する攻撃者を示している可能性があります。
  6. 24時間にわたって同一のサブネット内の複数のマシンで重複して発生したイベント(認証の失敗の繰り返しなど)。
  7. クリーンアップ後のシステムの再感染。ルートキットまたは継続的なセキュリティ侵害を引き起こす要素が存在するサインです。
  8. 数分以内に、さまざまな地域から複数リソースに、またはさまざまな地域の複数リソースにログインを試みるユーザーアカウント。そのユーザーの資格情報が盗まれたか、特定のユーザーが悪事を働いているサインです。

これらのほぼすべての攻撃シナリオで一刻を争いますが、特にこのレポートでは、レスポンスに要する時間と効率性に直接影響する3つの問題が明らかになりました。

  1. 企業のセキュリティ防御のポテンシャルが十分に活用されておらず、一部のシステムはデフォルトまたは脆弱なセキュリティ設定のままである。
  2. 重要なデータが取得または共有されていない。
  3. 旧式のセキュリティ情報/イベント管理(SIEM)、ファイアウォール、エンドポイント保護に、リアルタイムの修正機能が装備されていない。

こうした攻撃への防御にとって、ナレッジは極めて重要な要素であるため、このレポートを一般の方々に公開できたことを嬉しく思っています。このレポートで浮き彫りになったのは、新しいテクノロジは有益ですが、多くのセキュリティチームは彼らがすでに持っている機能を完全に活用できておらず、現在利用可能なデータ、ツール、戦略から洞察を得るチャンスを逃しているということです。無償で提供されているこの特別レポートをダウンロードして、Intel Securityの詳細な推奨事項や見解をご確認ください:
http://www.mcafee.com/jp/resources/reports/rp-when-minutes-count.pdf

※本ページの内容は、以下でご覧いただけます。

原文: When Every Minute Counts (Part 2)
著者: Carric Dooley

関連情報

関連製品    

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速