RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
Living Off The Land (環境寄生型)

Vectra AIでLiving Off The Landを検知とハントする

2024年2月28日
Vectra AI
Vectra AIでLiving Off The Landを検知とハントする

米国サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および英国国家サイバーセキュリティセンター(NCSC-UK)を含むその他の機関が作成した共同ガイダンスが、2024年2月7日に発表された。このガイダンスは、国家に支援された脅威行為者に起因する一般的なLiving Off the Landテクニック(LOTL)に関する情報を提供するものです。これらのテクニックは特に効果的であり、その勧告を見逃すべきではありません。以下の情報は、Vectra AI プラットフォームが、検知のベストプラクティスの推奨を実現し、LOTL 防御戦略の重要なコンポーネントとして機能するのに役立つことを強調しています。

LOTLベストプラクティス勧告

ベストプラクティスの推奨事項(#1)は、帯域外の場所に詳細なログを記録することの重要性を強調している。これにより、攻撃者がログを修正または消去するリスクを確実に軽減することができます。また、防御者が行動分析、異常検知、プロアクティブ・ハンティングを実施することも可能になります。さらに、より長いログ履歴を維持することの重要性を強調し、これはインシデントレスポンス にとって有益です。

ネットワークに焦点を当て、VectraRecallは、すべてのパケットからメタデータを抽出し、検索と分析のために帯域外(Vectraクラウド内)に保存することで、ネットワークトラフィックの可視性を提供します。ネットワーク上のすべてのIP対応デバイスが識別され、追跡されます。このデータは、時間軸の設定に基づいて保存することができます。キャプチャされたメタデータには、すべての内部(東西)トラフィック、インターネット向け(南北)トラフィック、および仮想インフラストラクチャーのトラフィックが含まれます。この可視性は、ラップトップ、サーバー、プリンター、BYOD、IoTデバイスだけでなく、データセンター内の仮想ワークロードとクラウド 、SaaSアプリケーション間のトラフィックを含む、すべてのオペレーティング・システムとアプリケーションにまで及びます。

このセキュリティ強化されたネットワーク・メタデータの包括的なソースを提供することで、ネットワーク・ログ・データを帯域外の場所で利用できるようにし、LOTLインシデント調査を実施する能力をセキュリティ・チームに与えることを目指しています。  

検知のベストプラクティスの推奨

ベストプラクティスの推奨事項(#3と#4)は、ベースラインを確立し、継続的に維持する必要性を強調し、確立された振る舞い ベースラインと現在の活動を比較し、指定された異常について警告する。特権アカウントに細心の注意を払うことが特に強調されている。

Vectra AI が提供する検知ポートフォリオには、包括的な検知セットが含まれている。特筆すべきは、特権アカウントの振る舞いを明確にベースライン化し、確立されたパターンに基づいて異常を浮き彫りにすることに重点を置いた検出機能です。Vectra の特権アカウント分析の例には以下が含まれます:

  • 特権アカウントは、特権サービスにアクセスするために使用されるが、そのアカウントは観察されていないが、(他のアカウントを使って)ホストがサービスにアクセスしているのが観察されているホストからそれを行っている。  
  • あるアカウントが、そのアカウントが通常使用しないホストからサービスにアクセスするために使用され、そのサービスが通常アクセスされないホストからアクセスされ、少なくともそのサービス(およびおそらくアカウント)の特権スコアが高いか、またはホストの特権スコアがアカウントおよびサービスの特権レベルと比較して不審に低い。
  • 特権アカウントは、特権サービスにアクセスするために使用され、そのアカウントが観測されたホストから実行されているが、そのホストがサービスにアクセスしているところは観測されていない。

Vectra AIのAI主導の優先順位付け

現代の企業の動的な性質は、悪意のある LOTL アクティビティの検出をサポートする一貫した効果的なネットワーク・セキュリティ・ベースラインを非常に困難にする可能性があります。ガイダンスで強調されているように、悪意のある LOTL アクティビティと正当な動作を区別することは、大量のログ・データの中で悪意のあるアクティビティの量が比較的少ないために困難です。また、セキュリティ・オペレーション・チームは、この種のイベントの検出に重点を置くことができますが、膨大な数のインバウンド・アラートと環境の複雑さのために、正当な動作と悪意のある動作を識別するのに苦労することがよくあります。

優先度(緊急度と重要度)を介してアラートノイズを微調整し、トレンドアクティビティに基づいて検知を継続的にレビューすることは、推奨されるベストプラクティスである(#4)。これは、ほとんどのチームにとって多くの時間と労力を必要とします。VectraAI主導のPrioritizationを使用すると、この作業をプログラムで行うことができます:

  1. 個々の攻撃行動をエンティティ(ホストやアカウント)に割り当てる
  1. この情報を、広さ(エンティティに関連する検知数)、速度(ユニークな検知イベントの発生速度)、攻撃プロファイル(攻撃行動のパターン)などの追加スコアリング パラメータと組み合わせて、攻撃スコアを提供します。  
  1. 設定されている場合、顧客の入力(アカウントグループの重要度)はアタックスコアと組み合わされる。
  1. 出力はエンティティのUrgencyスコアです。  

この強化されたスコアリング・アルゴリズムにより、最も重要な脅威が実行可能な優先順位付きリストとしてハイライトされるため、チームは最も重要なことに集中することができます。

チームを強化する

LOTL の活動を検知することは困難であり、上記のように多面的なセキュリティ戦略を必要とする。万能のアプローチはなく、各企業は、既存の検知プログラムに合わせて勧告を評価し、調整する必要がある。しかし、このガイダンスを確実に見直し、可能であれば緊急に実施することが重要である。この種の攻撃が増加する中、これらのテクニックを関連付け、分析することは、チームの検知およびレスポンス 機能の重要な構成要素となる。  

Vectra AI がLOTLの守備戦略においてチームをどのように支援できるか、ご興味がおありですか?  

プラットフォームデモをご予約ください。