【特集】インシデント時の状況把握を効率化するMcAfee Active Responseの働き

(「インシデントレスポンスはつらいよ」を解消するMcAfee® Active Response – 後編)

前回の記事(前編)では、CSIRTなどの組織を整備してセキュリティ事故対応に取り組み始めても、意外と手間と時間がかかってしまう現状をご紹介しました。従来の縦割り型のセキュリティ対策では、新たな脅威の対応策をファイアウォールやネットワークIPSに反映したり、ウイルス対策ソフト用のシグネチャを作成し、エンドポイントでの適用を完了するまで、丸一日がかりの作業となることも珍しくありません。その間にも、被害はますます広がってしまいます。

被害を最小化し、復旧に要する時間を短縮するには、「防御」「検知」「復旧」からなる脅威対策のライフサイクルに目を向けることが重要です。インテル セキュリティではその中でも、セキュリティ運用上負担が高まっているインシデント時の影響/状況把握を迅速に実現する手助けとして「McAfee Active Response」をリリースしました。

次のアクション選択に重要だが手間のかかる状況把握

では、McAfee Active Responseは、エンドポイントの状況把握作業の「負担軽減」をどのように実現しているのか、詳しい機能を見ていきましょう。

McAfee Active Responseは、エンドポイントの現状や過去に発生した事象を素早く可視化するソリューションです。また、必要に応じてエンドポイントに対して一次対応の実行や、想定した事象が発生するのを継続的に監視できるのも特徴となっています。

具体的には、エンドポイントにおけるファイルやネットワーク、レジストリ、プロセスの情報を収集する「検索」機能を備えています。現在動作しているプロセスやレジストリの情報を素早く確認したり、ファイルの作成/変更/削除や現在はもちろん過去に発生した通信の情報を確認することができます。セキュリティ担当者は、専用のインターフェイスを通じて収集情報や条件を入力して検索対象になっているエンドポイントの状況を把握することができます。他のセキュリティ機器のアラートや脅威の特徴的な情報(IoC:Indicator of Compromise)に含まれるような兆候情報(ファイル名、ファイルのハッシュ、IPアドレスなど)を条件に、該当するエンドポイントの詳細状況を素早く確認できるようになっています。

例えば、マルウェアの侵入が疑われるエンドポイントで現時点では状況が把握できない場合(マルウェアが活動開始前)など、通信の発生やプロセスの開始など設定した条件(=トリガー)に該当するイベントが発生すると、通知したり、「プロセス停止」「ファイル削除」などといった「対応」を実行し、被害の発生を最小化しつつ素早く一次対応などの次のアクションを開始できます。

インシデント発生時にこれまでの対策では、分散したログファイルを付き合わせて状況を整理し、問題を特定するだけでも数日単位の時間がかかりました。その次に、そのログ分析から該当するエンドポイントの詳細状況を把握するのが大変でした。対象のエンドポイントの数が多かったり、一台の調査に時間を要したり、必要な情報が既に無くなっていたり、負担が大きいだけでなく困難になることも珍しくはありません。

また、一次対応として過去によく言われた、とりあえずネットワークケーブルを抜いてPCを隔離するもありますが、セキュリティ担当者が調査のためにPCの場所に行ったり回収しなければならなかったり、場合によってはネットワークと切断されたことでマルウェアが証拠を消してしまうこともあります。McAfee Active Responseでは管理者と該当エンドポイントの通信経路は確保しつつ、エンドポイントの通信を制限することもできます。

他のソリューションとの連携によって運用をさらに効率化

McAfee SIEM(McAfee Security Information and Event Management)」からもActive Responseの一部の機能を直接利用することができます。つまり、SIEMで監視している運用者がエンドポイントの詳細情報を素早く確認できるようになります。SIEMで表示されたイベントを選択し、該当イベントの送信元IPや送信先IPを対象に現在動作しているアプリケーションの情報をSIEMの画面上に表示し、確認することができます。

また、SIEM上で特に要注意のイベント対象としてウォッチリストに登録し、監視レベルを引き上げ、一定期間継続的に注意を払うこともできます。

McAfee Active ResponseやMcAfee SIEMを活用して必要な情報に素早くアクセスできる環境を整えておけば、より迅速に、正確な次のアクションが行え、結果的に被害を最小化することができます。

McAfee Active Responseの活用で素早い状況把握とアクション開始

時間が勝負のインシデントレスポンスにおいてセキュリティ担当者があちこち走り回らなくても、迅速な調査が実現できます。ただでさえ限られている担当者の時間やリソースを、情報の収集に費やすのではなく、把握した状況から適切なアクションの選択や実施に活用することができます。

インテルセキュリティは「防御」「検知」「復旧」をそれぞれの部分のみで捉えるのではなく、脅威対策のライフサイクルとしてとらえ、様々な活動を通して得られた知見や洞察を迅速にフィードバックすることにより、対策基盤としてのセキュリティ対応能力が向上すると考えています。ライフサイクルにおいて、作業の自動化や効率化を促すことは、対策がより効果的になるだけでなく、特定の人材に負荷が集中することを避けられる点も重要なポイントです。

 

関連情報

  • McAfee® Active Response特集

関連製品 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速