脅威の状況が進化するにつれて、Vectra チームは、より大規模なセキュリティチームの倍増と境界防御の拡張に予算が使われていることを目の当たりにしている。これは、脅威の検知を増やし、トリアージを加速するための努力に起因している。
残念ながら、これは間違った前提である。
Gartner社が最近発表した技術的な勧告を始めとして、実務家もそれを認めている。ガートナーはブログの中で、「長年、ネットワーク脅威の検知という考え方は、侵入検知・防御システム (IDPS) と同義であった」と指摘している。
「今日のNTAシステムは、初期のアノマリー・ベースのIDSシステムのDNAを受け継いでいるが、その目的は大きく異なり、最初の侵入を検知することに重点を置いていない。
"意図の違いや好ましいアプローチの違いによって、ネットワークデータをセキュリティに利用する習慣は、NTAのような他の最新ツールにまで広がっている。」
この根拠となる理由はいくつかあるが、"東西 "のトラフィックを確認する能力は基礎的なものである。脆弱性が悪用され、境界線が回避されているのだ。
攻撃者は素早く競争し、ネットワーク内の他の戦略的ポイントに横方向に広がり、情報を収集し、最終的にデータを流出させたり破壊したりする。 これは、同じ組織が内部脅威活動に遭遇した場合にも関連する。
もちろん、このアプローチは哲学的には合理的である。しかし、現実的な疑問が2つある:どのような行動を探すべきなのか、そしてその行動を効率的かつ正確に特定するにはどうすればいいのか。
Vectra では、お客様がメタデータの共有をオプトインする際に、お客様のネットワーク全体の横移動行動を観察し、特定しています。先月の2019 RSA Conferenceで発表された最新の攻撃者行動業界レポートでは、この行動はますます一般的になっています。
セキュリティチームが横方向の動きを特定するための手段を検討する際には、私たちがよく観察する以下のような横方向の動きを特定し、迅速に対応するためのプロセスとツールの有効性を評価することをお勧めします:
1.レプリケーションの自動化
内部ホストデバイスが、複数の内部ターゲットに類似のペイロードを送信する。これは、感染したホストが他のホストを感染させようとして、1つ以上のエクスプロイトを他のホストに送信した結果である可能性があります。
2.力技⑭。
内部ホストが内部システムに過剰にログインを試みる。これらの振る舞いは、異なるプロトコル(RDP、VNC、SSHなど)を介して発生し、メモリスクレイピング活動を示している可能性がある。
3.悪意のあるKerberosアカウントの活動
Kerberosアカウントが、学習されたベースラインをはるかに超える割合で使用され、ログイン試行のほとんどが失敗している。
4.不審な管理者の行動
ホスト・デバイスが、疑わしいと思われる方法で、管理アクティビティと関連するプロトコル(RDP、SSHなど)を使用している。
5.SMB経由のブルートフォース動作
内部ホストがSMBプロトコルを利用し、同じアカウントを使って何度もログインを試みる。これらの行動は、パスワードの総当たり攻撃と一致する。
もちろん、その深刻度や頻度は、業界や業種によって異なります。貴社の業界で最も一般的な行動について詳しくお知りになりたい場合は、ぜひ当社の「攻撃者の行動業界レポート」をお読みください。
また、AI主導のCognitoネットワーク検知とレスポンスプラットフォームにコード化されている攻撃者の行動全般について、 Vectra の担当者に相談することをお勧めする。
*ガートナー・ブログ・ネットワーク「脅威検知とレスポンスにネットワーク中心のアプローチを適用する」アントン・チュバキン著、2019年3月19日