前回のブログでは、ある金融機関のお客様がペンテストを実施し、レッドチームが攻撃を行う際に私がブルーチーム(検知 )をどのように支援したかについてお話しました。今日もまた、現場からの話をお届けしよう。
今回は、最近私を起用した製造業の顧客との仕事だ。前回と同様、この顧客はサイバー犯罪者に新しく開発したセキュリティ能力を知られないようにするため、匿名を好んでいる。常にトップを維持するために、彼らは日常的にレッドチーム演習を実施している。
ネットワーク内の隠れた攻撃者を見つけるのが難しいのは、彼らの行動が通常のユーザーの行動に紛れ込んでいる場合だ。もし私が攻撃者だとしたら、最初に探すのはネットワーク管理ツールだろう。
攻撃者の行動と許容されるユーザーの行動の違いを理解することは、この2つの間のニュアンスを見極める訓練となり、他に関連するものや脅威の行動が攻撃ライフサイクルを通じてどのように進行するかについて、より大きな文脈を提供することになる。
攻撃者がすでにネットワーク上で稼動しているセキュリティツールにアクセスしている場合、攻撃者の行動を見つけるのはさらに難しくなる。例えば、Microsoft SCCMのようなソフトウェア配布ツールは、企業内ではまったく合法的なものだ。しかし、ファイルのリモート実行のようなノイズを発生させ、これこそ攻撃者のやりそうなことだ。
セキュリティツールは、ノイズを除去するためのフィルターを作らなければならない。しかし、マシンが信頼できないコマンド&コントロール・アクションを実行し始めたら、それはおそらく攻撃である。ほとんどのツールは、すでにノイズとしてフィルターをかけているため、この攻撃者の行動を見逃すことになる。攻撃者は、これらのセキュリティツールがどのように機能するかを知っている。
私たちの製造業の顧客との最近のペンテストの演習では、レッド・チームは、露出している資産を探すためにブルー・チームが通常使用しているネッサス・スキャナーへのアクセスを秘密裏に取得した。
ブルー・チームは早い段階で私にネッサス・スキャナーについて教えてくれた。セキュリティチームは、スキャンがいつ発生したかを知ることを好み、Nessusのスキャンを攻撃と解釈してほしくないのです。
それでは同僚のセキュリティアナリストの仕事が増えるだけだ。そして、彼らがより深いインシデント調査や問題の修復、ネットワークが適応できるようにする方法を学ぶことに集中できるように、ノイズをフィルタリングするのが私の仕事だ。
ペンテストが進むにつれ、私はネッサス・スキャナーから発せられるいくつかの偵察行動と横移動行動に気づいた。
私はすぐに、無許可の人物がネサスのスキャナーを徴用したのだと結論づけた。
私が最初に検知した攻撃者の行動は、古典的なIPポート・スイープとポート・スキャンでした。その後、セキュリティチームが通常スキャンしないようなIP範囲に対して、大規模な内部ダークネット・スキャンが行われていることに気づきました。
時間を節約するために、私は攻撃行動とコンテクスト情報を相関させ、レッドチームがネットワーク上に存在しなかったサブネット範囲のホストを見つけようとしていることがわかるようにした。
私はネットワークのスキャン活動を監視し続けた。偵察行動は疑わしいものでしたが、攻撃のライフサイクルの後半では、攻撃者がネットワークに深く入り込んだことを示すような関連した行動が見られなかったため、脅威スコアは「中」としました。
しばらくスキャンした後、私はレッドチームが脆弱なデータベースを実行しているサーバーと、管理者パスワードが脆弱なサーバーを発見したことに気づいた。SQLインジェクション、自動レプリケーション、管理者パスワードに対するブルートフォース攻撃などだ。
リアルタイムで、これらすべての攻撃者の行動を、レッドチームが使用するホストと、彼らが侵害したデータセンター内のサーバーに関連付けました。攻撃が攻撃のライフサイクルを通過するのを見ながら、私はその攻撃に重要な脅威スコアと高い確実性レベルを割り当て直しました。
私のブルーチームの同僚たち、つまりあなたと同じような人たちは、レッドチームを孤立させるために迅速な行動をとり、彼らがデータ流出などのより有害な攻撃段階に進む前に、その足跡を止めた。