COVID-19の大流行により、SOCはかつてないほどの難題に直面しています。多くの従業員がどこからでも、どのデバイスからでも働けるようになり、効率を維持するため信頼できるテクノロジーと組織を保護するサイバーセキュリティの専門家を配備する必要にせまられています。進化し続けるダイナミックな脅威の世界ではほぼ毎日新たな脅威が発生しており、企業にとってその管理は非常に困難な課題です。毎日数百から数千のアラートを処理している企業では、すべての重要なアラートがSOCチームに大きなストレスを与えています。
多くの企業は、最善のソリューションを選択したと考えています。しかし、多くの企業がそのソリューションを導入した場合、運用には専門家、マニュアル、時間のかかる反復作業が必要であると理解しました。
中規模、大規模の企業との実際の経験に基づき、脅威が検出されたときには組織が迅速に対応し、できるだけ早く修復できるように、複雑なSOC運用を中心にいくつかのXDRユースケースを設計しました。もし現在同じような問題に直面しているのであれば、お客様のパートナーとして使用例をいくつかご紹介いたします。規模の大小を問わず、あらゆる組織のセキュリティを実現する過程において、極めて一般的であるにもかかわらず見逃される実例を中心に構成しています。
フィッシング
Emailのフィッシングは、脅威者が被害者を狙うために用いる最も一般的で簡単な手法の1つです。ほとんどの組織では、顧客や従業員が警戒すべきメールをメールボックス(suspicious@companyxyz.com など)に転送するよう顧客と従業員に指示しているため、セキュリティスタック内の専任のセキュリティアナリストとソリューションがこれらのメッセージを処理します。各メッセージの処理には、アナリストが約30〜45分かけるといわれています。組織が1週間に約100通の潜在的なフィッシングメールを受信した場合、アナリストはこれらのメッセージを処理するのに1週間に約50時間かけることになります。これは、フルタイムの従業員約1.25人に相当します。
このような課題を軽減し、セキュリティアナリストがより困難で適切なタスクに集中できるようにするため、通常なら手作業で時間のかかる反復タスクを自動的に実行するよう事例を設計しています。可能な限り自動化を行うことで、アナリストのリソースをシフトし、よりスキルを必要とする困難なタスクの管理に充てることができます。
Trellix XDRによって、特定のメールボックスに送信されたフィッシングメールを継続的に監視することができます。メールを解析し、URL、ドメイン、IP、MD5ハッシュなどのIOC (indicators of compromise)を探します。Trellix XDRは、これらのIOCを組織で使用しているローカルまたはサードパーティの脅威インテリジェンスに送信します。もしEmailにバイナリファイルが含まれていれば、そのバイナリファイルのMD5/SHA256ハッシュも取得し、Emailを送信したユーザーを組織のディレクトリにクエリを送信しながら静的・動的に解析します。
解析されるEmailに悪意のある添付ファイルがあると仮定しましょう。Trellix XDRは、プロアクティブに、そして人手を介さず、1)悪意のある添付ファイルがあること、2)その添付ファイルを受信した人がいることを発見しました。ソリューションは、さらに同じ添付ファイルを持つすべてのメールを検索し、メールボックスからそのメールを自動的に削除します。
TrellixのXDR応答機能は、最初にプロアクティブに動作した後(前のステップでディレクトリサービスにクエリを送信することによって発見した)すべての被害を受けたエンドポイントのオンデマンドスキャンを自動で実行します。まず、これらのエンドポイントを封じ込め(ネットワークから隔離)、ユーザーによって既に開かれた添付ファイルがあるデバイスに備え別のスキャンを実行します。Trellix XDRは、アナリストのレビューと学習のため、感染したエンドポイントからトリアージパッケージまたはメモリイメージをプロアクティブに要求することもできます。悪意のあるC&C IPまたはURLが見つかると、ファイアウォールにアクセス制御ポリシーが自動的に作成されるため、悪意のあるIOCをネットワークレベル(XDRのネットワーク応答部分の一部)でブロックできます。この場合、Trellix XDRは、アナリストに次の実用的な調査結果を提示します。
- フィッシングメールを報告したユーザー名
- メールの送信者とそのEmailアドレスはだれか
- RL、IP、MD5、SHAハッシュ、ドメイン名などのIOC
- ファイアウォールポリシーの作成、エンドポイントのスキャン、トリアージ/メモリイメージの取得などのアクション
アナリストがこの情報を入手すれば、Volatility/Rekall などのメモリ分析ソリューションを活用してより高度な分析を行い、コンテキストを提供し理解を深めて将来のアクションにつなげることが可能です。
この実例のように、エンドポイント保護、エンドポイントの検出と応答、および電子メールとネットワークの応答を完全に統合しています。Trellix XDRは、組織の可視性を高め、効果的な対応戦略の作成を支援すると同時に、アナリストの時間をより困難なタスクに費やし、時間のかかる反復タスクを自動的に処理します。
この事例は、次のような成果を組織にもたらします。
- 自動化された脅威の検知とインシデント対応ワークフロー
- インサイト、学習、適応を利用したセキュリティ運用の簡素化と加速化
- 検出のモニタリングとハンティングメソッド
- 効率化の改善と、XDRによる応答の準備とTTR(time to remediation, 修復までの時間)の短縮
次回のXDRのブログ記事では、脅威の検知とインシデント対応のワークフロー自動化、その他のXDRの事例を紹介します。
※本ページの内容は2022年2月17日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Use Cases for XDR: Phishing
著者: Deepak Seth