SUNBURST脅威キャンペーンで見えたSecOpsの6つのベストプラクティス

昨年末(2020年12月13日)、FireEyeによって、攻撃者がSolarWindsのOrion IT監視・管理ソフトウェアを侵害していたことについて発表され、サプライチェーン攻撃として、大変注目されました。今回は、当社でセキュリティ運用と脅威ハンティングに関する研究を行うによる、SUNBURST脅威キャンペーンの調査で見えたセキュリティオペレーションの6つのベストプラクティスについてお伝えします。


1.明確な目的と結果を念頭に置いた計画への対抗策

明らかに、これは根気のある忍耐強い敵でした。彼らは、その戦術が信じられないほど洗練されていない攻撃の計画と実行に何ヶ月も費やしましたが、永続的でステルスで十分に組織化されたプロセスと組み合わせた複数のセミノベル攻撃方法を使用しました。敵の一歩先を行く方法を常に見つける必要がある世界では、SOCは、そのような敵がドアをノックしたときに、同じレベルの一貫性があり、系統的で、十分に調整された可視性と応答をもたらす準備ができている必要があります。 

効果的なパープルチーミング演習を使用して、SecOpsプロセスを計画、テスト、および継続的に改善しましょう。ステルス攻撃者のように考え、正当なアプリケーションと信頼できるソフトウェアソリューションの疑わしい使用を検出するために必要なテレメトリのソースを予測してください。


2.脆弱性だけではなく、信頼を悪用される可能性

最も重要な資産、特に昇格された特権が効果的な運用の要件であるサードパーティアプリケーションを活用する資産が攻撃を受けていると想定します。サービスアカウントに無制限の管理者権限を付与することは、避けるべきでしょう。最小特権アクセス、 マイクロセグメンテーション 、および入力/出力トラフィックフィルタリングは、特に「信頼できる」サードパーティによる外部アクセスを許可するアセットのゼロトラストプログラムをサポートするために実装する必要があります。


3.IOCの有用性が低下。TTPと行動に焦点を

脅威研究の世界は、ほとんどの脅威インテリジェンスプロバイダーが依然として依存している悪意のあるIPおよびドメインのアトミックインジケーター、ファイルハッシュ、ウォッチリストを超えています。侵入の痕跡を超えて考えてください。アーティファクトの静的リストに依存するのではなく、ヒューリスティックと動作インジケーターに焦点を当てる必要があります。イベントのみの分析では、コモディティ攻撃パターンの成果を簡単に特定できますが、より高度な敵対者はそれをより困難にします。一時的なC2サーバーと資産ごとのシングルユースDNSエントリ(対象企業ではない)は、SUNBURST攻撃で見られた、よりよく計画された(ただし比較的単純な)動作の一部でした。 ロギング 出力/ロケーションなどの資産構成の変更、または特定のポーリング期間に新しい監査メッセージがないことを注意深く監視します。 


4.完璧な攻撃の誤謬に注意。検出する機会が多い場所を特定(特権の昇格、永続性、発見、防御の回避など)

すべてのテレメトリが同じように作成されるわけではありません。UEBA検出をサポートする認証イベントの動作分析は非常に効果的ですが、それはIDデータがイベントストリームで利用可能であることを前提としています。私の経験によると、SIEMデータは通常有用なIDデータを含むイベントの15〜20%しか生成しませんが、クラウドアクセスイベントのほぼ85%には、IAMの採用とSSOの実践の拡大の副産物であるこの豊富なコンテキストデータが含まれています。重要な資産(王冠の宝石)から生成されたイベントは、検出と調査の両方でSecOpsアナリストにとって明らかに興味深いものですが、周辺のそれらの資産を見失うことはありません。おそらくRDP ジャンプボックス オンプレミスまたはクラウドのいずれかでエンタープライズADサーバーとの信頼を同期するDMZに配置されます。行動分析をより簡単に実行できるマイクロセグメンテーションを使用して、昇格された特権を持つアセットまたは「信頼できる」サードパーティアプリケーションを実行しているアセットを分離する方法を見つけます 。ネットワークトラフィックのボリューム分析を活用して、潜在的に異常なパターンを特定します。インバウンドおよびアウトバウンド要求(DNS、HTTP、FTPなど)を監視して、不明な送信元/宛先との間で新しいセッションが行われたとき、またはターゲットドメインの登録期間が疑わしいと思われる場所を検出します。ベースラインとフィンガープリントを使用して、これらのアセットから「通常」がどのように見えるかを学習します。これにより、異常なアクティビティをブロックするか、少なくともレビューのためにアナリストにエスカレーションすることができます。 


5.保護機能を強化するための可視性、検出、および対応のために防御を設計。EDR、XDR、SIEMを活用し履歴およびリアルタイムの脅威ハンティングを実現

攻撃者の行動、およびこのスタイルの攻撃を検出して妨害する可能性についての洞察を得る唯一の方法は、さまざまなセンサーからの広範なテレメトリを必要とします。エンドポイントセンサーグリッドは、デバイス上のすべてのものについて忠実度の高いテレメトリを提供しますが、サーバーアセットに展開されることはめったになく  、「ネットワークブラインド」になる傾向があり ます。SIEMは従来、すべてのサードパーティデータソースからのデータを消費および相互に関連付けるために活用されてきましたが、すべてのEDR /エンドポイントイベントを消費する機能(またはスケーリング)がない可能性があり、主に 「エンドポイントブラインド」のままになります。より多くのエンタープライズ資産とアプリケーションがクラウドに移行するにつれて 、  SOCアナリストが検出と調査のために利用できる必要がある、高価値のテレメトリの3番目のソースがまだあります。脅威ハンティングは、SecOpsの実践者が、企業全体にまたがる多様なセンサーグリッドから、広範囲のリアルタイムおよび履歴テレメトリにアクセスできる場合にのみ効果的に実行できます。企業資産とデータの全範囲にわたって、イベントやアーティファクトだけでなく、兆候を察する能力を必要としています。 


6.#cyberdefensegame 時間の重要性

時間は攻撃者にとって最大の攻撃となる可能性があります。侵入、偵察、特定、および機密データを盗み出す、”速度”が重要である場合があります。「smash-and-grab」略奪という表現がありますが、それが非常に目に見える犯罪であるため、すぐに気づきます。略奪でもSUNBURSTの場合、攻撃者は時間を有効に活用しました。今回は、ソフトウェアサプライチェーンのコードに細心の注意を払って変更を加え、信頼できるアプリケーションを武器にし、さまざまな企業や政府機関に展開されるのを待ちました。影響を受ける資産とその周辺の資産に対して静かに偵察を実行し、DNSなどの信頼できるプロトコルを介した低速のC2通信を活用します。これらの活動のいずれも、最も注意深いSOCでさえ簡単に見落とされる可能性があります。これにより、検出サイクルがさらに長くなり、気づかないうちに攻撃は進んでいました。このようなケースもあるということを認識する必要があるわけです。

SUNBURST攻撃の詳細については、このテーマに関する以下のブログもご覧ください。

SUNBURSTマルウェアとSolarWindsに対するサプライチェーン攻撃
SUNBURSTバックドアの追加分析について
デバイスからクラウドへのアーキテクチャがSolarWindsサプライチェーンの侵害をどのように防御するか

※このブログは、2020年1月25日のSOCwiseの動画要約です。2021年2月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:6 Best Practices for SecOps in the Wake of the Sunburst Threat Campaign
著者: and