これはロックダウン・シリーズの第1回で、セキュリティイベントを効果的に封じ込めるために使用できる方法と、Vectra がどのように役立つかを説明します。続いて、Vectra 自動ロックダウン機能と Microsoft Azure および AWS のカバレッジについて説明します。 AWS!
時間が重要
インシデントレスポンス(IR)に携わる人なら誰でも、イベントを迅速に封じ込めれば封じ込めるほど、それが本格的なインシデントに発展する可能性は低くなると言うだろう。検知の検証は、隔離に続いて迅速に行われるべきである。これにより、証拠収集、スコープ作成、そして最終的には修復のための時間を確保することができる。検知の種類によっては、我々は画像の一部しか持っていないかもしれない。
例えば、単一のソースから多数のホストを標的としたポートスイープ検知を考えてみましょう。このシナリオでは、システムへのアクセス方法、攻撃者の足がかりの獲得方法、アクセス可能な時間、横移動の成功の有無などを知る必要があります。これらすべての質問に答えるには時間がかかる。
攻撃者の滞留時間も考慮する必要がある。攻撃者が環境にアクセスできる時間が長ければ長いほど、攻撃者の目標(例えば、ファイルサーバーを暗号化して身代金を要求したり、組織が数年間取り組んできた新しい研究を流出させたりすること)の実現に近づくことになる。攻撃者の前進を妨害し、インシデント対応担当者が調査する貴重な時間を与えることは、修復の際に、より良い情報に基づいた判断につながります。ひとたび攻撃者が特権アクセス権を手にすれば、彼らはより速く、より遠くまで、そのミッションを完遂するために移動することができます。
MAZEランサムウェアの例を考えてみよう。攻撃者は独自のアカウントを作成し、特権アカウントを活用してネットワーク全体に拡散した。封じ込めは、この前進を阻止し、MAZEの運営者のような攻撃者がネットワーク上の特権アカウントを使用してランサムウェアを展開するのを阻止するための答えです。
どのように実施するのか?
攻撃者を封じ込める方法はいくつかある。1つ目はホスト上のエンドポイントエージェントを通して、2つ目はネットワークスタック上で、横移動に使用されたアカウントを無効にするか、悪用されたサービスを変更することによってです。ほとんどの場合、エンドポイントの分離は、事前に定義されたシステム・リスト以外とのターゲット・システム間の通信を遮断することで、あらゆる相互作用を迅速かつ効果的に停止させることができます。これにより、システムをオフラインにしてインシデント・チーム( レスポンス )に戻すことなく、リモートでさらなる証拠を収集することができます。
横移動に悪用されているアカウントを特定したら、Active Directoryでそのアカウントを無効にすることができる。ローカルアカウントであれば、グループ権限が適用されないため、攻撃者が横方向に移動することができない。
ACL(アクセス・コントロール・リスト)を活用したり、システムを別のVLANに入れてネットワーク上の他のシステムとの相互作用を停止させるなど、ネットワーク・スタックを活用して隔離を行うことによっても同様の結果を得ることができる。このVLANによって、エンドポイントはWindows Patch Serverアップデート・サーバー、Microsoft System Center Configuration Manager(SCCM)、アンチウイルス・エンドポイント検知・レスポンス(EDR)などの管理システムとやり取りすることができますが、ネットワーク上の他のどこともやり取りすることはできません。
分離を実現するもう1つの方法は、マイクロソフトのGPO(グループ・ポリシー・オブジェクト)を活用してWindowsのエンドポイント・ファイアウォール・ルールを管理することです。デフォルトで全てのサービスをブロックするポリシーを作成し、重要なサービスをホワイトリストに登録します。ここで重要なのは、ユーザー(またはマルウェア)がデフォルトでローカル・システムのファイアウォール・ルールを変更できるため、ローカル・ポリシーが無視されるようにする必要があるということです。
ビジネスに影響を与えずにシステムを単純に分離できないようなクリティカルなサービスについては、ソースIPやアカウントに基づいてサービスアクセスを制限することを検討する。Linuxシステムでは、IPテーブルを活用するか、/etc/host.denyを更新する。また、システムからのアクセスも考慮すべきである。メールリレーであれば、さらに調査する間、TCPポート25と1つのインターネット宛先(Exchange)へのトラフィックを排他的に制限できるかもしれない。すべてのシナリオに対応するプレイブックを書くことはできないだろう。つまり、通常とは異なるシナリオが発生する可能性があり、Incidentレスポンス の専門知識が必要になることを認識しておくことが重要である。
パート2 -クラウド :
他のプラットフォームにログインし、必要なホストやポリシーを見つけ、それを適用するにはすべて時間がかかります。Vectra 、セキュリティチームはプラットフォームで直接封じ込めることができ、ユーザーは1枚の画面から封じ込め設定を簡単に確認し、管理することができます。
このブログシリーズの次のパートでは、クラウド、インフラに対してどのようなアクションを取ることができるのか、またVectraからロックダウン・アクションを自動化する方法について見ていきます。