以前のブログでは、eメールのフィッシングを例に、Trellix XDRソリューションが、組織のセキュリティスタックにシームレスにソリューションを統合することが織が脅威に効果的に対応するうえで、どのように役に立つのかということを説明しました。
今回は、もう一つのユースケースとして、脅威インテリジェンスの取り込み方と共有についてご説明します。昨今の脅威を取り巻く環境において、標的となった業界の脅威を理解するうえで、組織・企業は精度の高い脅威インテリジェンスを使用しています。その結果、組織・企業は、調整を行い焦点を定めて検知プロセスとセキュリティ制御を迅速に行い、脅威のターゲットに対応することができます。
通常、組織・企業は次のようなアクティビティとチャネルから脅威インテリジェンスを導き出します。
セキュリティアナリストによる調査 – 侵害のあったエンドポイントから収集したデータをセキュリティアナリストが確認し、新しい脅威のインジケータを発見することがあります。IOC(Indicators of Compromise、侵害のインジケータ)には、悪意のあるファイルやプロセス、またはURLが含まれます。セキュリティアナリストが、悪意のあるファイルに対して、静的および動的な分析を実行しているときに、、IOCに使用可能な別の痕跡を特定することもあります。
商用の脅威インテリジェンスフィード – 多くの組織・企業は、検証済みの脅威インテリジェンスフィードを購入します。国家ぐるみのアクター、ディープウェブおよびダークウェブの脅威、または業界限定の脅威など、特に焦点を当てられているものが多くあります。
オープンソースの脅威インテリジェンスフィード – 組織・企業は、ベンダーのブログで得る無料で得られる情報や、セキュリティリサーチャーが公開した拒否リストと許可リストなど、オープンソースの脅威インテリジェンスソースのフィードも活用することもあります。
脅威に関する情報共有のためのグループ – 承認されたメンバーに、関連する業界の脅威のデータ収集し共有するグループ、例えばISAC (Information Sharing and Analysis Center)などの、脅威共有のためのグループも複数存在します。
組織がさまざまなセキュリティ制御間で脅威インテリジェンスの共有に使用する一般的な方法は、多くの場合、時間と労力を要する手動プロセスで構成されています。セキュリティアナリストは、ExcelスプレッドシートまたはMISPなどの脅威インテリジェンスプラットフォームでIOCの分析と手動保守に多くの時間を費やし、eメール、チャットメッセージ、またはその他の手動およびエラーが発生しやすい方法を通じて、これらのIOCを組織内のさまざまなチームと共有します。多くの場合、セキュリティソリューションチームはこれらのIOCを取得し、ファイアウォールソリューションで手動でルールを作成して、これらのIOCを検出およびブロックします。IOCにeメールアドレスが含まれている場合、それらはeメールセキュリティソリューション管理者と共有され、管理者はそれらの疑わしいeメールアドレスからのeメールをブロックするルールを作成します。この手動による方法は、非常に手間がかかる可能性があります。特に、組織が毎日何千ものインジケータを処理している場合、この方法では、チームがさまざまなチームと手動でIOCを共有している間、脅威アクターが横方向(ラテラル)に移動し続けるためのセキュリティウィンドウも開きます。
各インジケータの処理に約2分かかると仮定し、組織が先ほど説明したさまざまなソースから週に約2000のインジケータを処理しているとすると、アナリストのは週に約66.6時間、フルタイムの従業員で約1.66時間かかります。これらのインジケータをさまざまなソリューションに配布します。この例からわかるように、手動による脅威インテリジェンス共有プロセスは、アナリストに負荷のかかる仕事が増えるだけでなく、時間を消費するうえエラーが発生しやすく、脅威アクターに攻撃の隙を与えることにもなります。
組織内で脅威インテリジェンスを利用可能なさまざまなセキュリティ制御と共有しない場合、そのコストを定量化することは容易ではありません。組織が知らないうちに、脅威アクターが環境内でさらなるレバレッジを得るために使用可能な感染したエンドポイントが、他にも存在する可能性があります。そのため、データの漏えい、ランサムウェア、恐喝が発生する可能性があり、直接的および間接的に多大なコストがかかる可能性があります。業界や企業/事業所、および適用されるコンプライアンス規制によっては、脅威インテリジェンスの配布を遅らせるという暗黙のコストがかなりの額になる可能性があります。
このような難題を減らし、脅威インテリジェンスがセキュリティスタック内のすべてのソリューションで利用可能になるとすぐに利用できるようにするために、脅威インテリジェンスの消費と共有のユースケースを実装して、さまざまなソリューションがIOCにアクセスできるようにしました。これにより、セキュリティコントロールは、攻撃のさらなる試みを検出してブロックし、脅威がラテラルムーブ(横方向の移動)によって広がるのを防ぐため、可及的速やかにアクションを実行できるようになります。
また、セキュリティアナリストがエンドポイントで悪意のあるファイルまたはプロセスを見つけると、Trellix XDRソリューションはこの情報をEDRソリューションとすぐに共有するため、すべてのエンドポイントで悪意のあるファイルまたはプロセスをスキャンできます。感染したシステムが特定された場合、ソリューションにはこれらのエンドポイントをすぐに含めることができるため、アナリストはさらに調査することができます。次に、これらの潜在的に危険にさらされたエンドポイントを脅威アクターが使用して、追加の攻撃を開始したり、他の重要な資産に横方向に移動することをブロックします。その結果、横方向の移動はこれらのエンドポイントから即座に制御されます。
フィードから受信した脅威インテリジェンスの場合、Trellix XDRソリューションが中央管理しているファイルや、脅威インテリジェンスプラットフォームからのこれらのインジケーターを内部で定期的に自動的に読み取り、これらのインジケーターをさまざまなセキュリティコントロールにプッシュできます。
eメールの場合、Trellix XDRは、eメールアドレス、悪意のあるURL、悪意のあるファイルのMD5 / SHA256ハッシュなどの関連するインジケーターを、すぐにeメールセキュリティソリューションにプッシュするため、このインジケーターに基づいて新しいeメールをブロックできます。eメールはエンドユーザーの受信ボックスへ配信されます。
ネットワークレベルでは、Trellix XDRは、IPアドレス、URL、MD5 / SHA256ハッシュなどの関連するインジケーターをネットワークIPS、ファイアウォール、プロキシソリューションにプッシュし、攻撃者がネットワークレベルで組織に侵入しようとする試みは検出されて、すぐに停止されます。
クラウドセキュリティの観点においては、関連するインジケーターをAWSやAzureなどのクラウドプラットフォームのさまざまなセキュリティコントロールにすぐにプッシュすることが重要です。たとえば、AWSでは、GuardDutyはVPCフローログとAWSCloudTrailイベントログを分析および処理することでAWS環境のセキュリティを監視します。TrellixXDRはAWSGuardDutyと統合され、IPアドレスなどのインジケーターを拒否リストにプッシュできるため、このIPアドレスからのトラフィックはすべてGuardDutyによって監視およびアラートされます。さらに、これらの悪意のあるIPアドレスをWAF(web application firewall)モジュールとAWSのネットワークACLルールにプッシュして、これらのIPアドレスからの接続の試みをWAFとセキュリティグループ/VPCレベルでブロックできるようにします。
このユースケースからわかるように、脅威インテリジェンスをさまざまなセキュリティコントロールと迅速に共有することは、組織が脅威を発見した直後に検出して対応するうえで重要です。ネットワークセキュリティ、eメールセキュリティ、エンドポイントセキュリティ、クラウドセキュリティなど、さまざまなセキュリティソリューションに、正確でタイムリーな脅威インテリジェンスを統合して連携、効果的な階層型防御を提供します。
※本ページの内容は2022年5月13日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Use Cases for XDR – Part 2: Threat Intel Consumption and Sharing
関連記事: Use Cases for XDR: Phishing
著者: Deepak Seth