現代の攻撃者の行動は、多段階にわたるプロセスとして理解するのが最適である。攻撃者は、正当なツールや一見正常な活動を利用して隠蔽を図りながら、ID環境、ネットワーク環境、クラウド環境の間を移動する。個々のアラートを確認するだけでは不十分であり、チームがそれらの行動を一貫した進行として結びつけられなければ意味がない。
このページでは、攻撃者の行動とは何か、そうでないものは何か、なぜ今それが重要なのか、そしてセキュリティチームがより迅速かつ正確な調査を支援する観点からそれをどのように捉えるべきかを説明します。
攻撃者の行動とは、侵入を進める過程で攻撃者が用いる行動やパターンを指す。現代の攻撃は、アイデンティティ、ネットワーク、クラウドの各領域を横断する複雑な多段階プロセスとなる傾向がある。攻撃者は偵察活動やアクセス権限の拡大、持続的活動やデータアクセスへの取り組みを行う際、正当なシステムノイズに紛れ込もうとする場合が多い。
実際の攻撃者の行動には、ポートスキャンやファイル共有の列挙といった内部偵察、永続化手段の確立の試み、通常の管理者活動に紛れ込む手法などが含まれる。これは侵入の「過程」を捉えた視点であり、単一のアラートや指標ではない。
攻撃者の行動は、意図や進展を欠く隣接する信号と誤認されることが多い。これらは関連しているが同一ではない:
専門家は攻撃者の行動を、ID、ネットワーク、クラウドを横断する急速かつ多段階の進行と説明している。攻撃を個別の事象として扱うのではなく、攻撃者がAzureAD、M365、従来型ネットワークなどの環境を横方向に移動する連続的なプロセスとして捉えることが推奨されている。
重要なニュアンスは、現地調達(LOTL)技術への強い依存である。攻撃者はPowerShellのような管理ツールを悪用したり、Graph APIを利用したり、Microsoft CopilotのようなAIアシスタントとやり取りしたりして、偵察とデータ発見を加速させる可能性がある。彼らはしばしば、視覚的に類似した名前でバックドアアカウントを作成したり、条件付きアクセスポリシーを変更して攻撃者が制御する場所を信頼済みとして扱ったりするなど、微妙な変更を通じて検知を回避する。
専門家は外部脅威と内部脅威も区別する。例えば、偵察行動の欠如は意味を持つ場合がある。悪意のある行動前にポートスキャンや列挙が行われないことは、既に環境を理解している内部関係者の可能性を示唆する。
現代の攻撃は高速かつマルチドメインで、データが断片化されていると解釈が困難です。高度な攻撃者は、初期アクセスから15分以内に永続化を達成しデータ窃取を開始できるため、遅い手動調査ワークフローへの依存は困難です。
一方で、多くのSOCワークフローでは、アナリストが依然として膨大なテーブルや断片的なアラート、複数のモジュールやウィジェットを操作する必要がある。これにより認知負荷が増大し、イベントの連鎖を迅速に把握したり、侵害の起点となる初期ポイントを特定したり、インシデントの影響範囲を判断したりすることが困難になる。
360 Responseがハイブリッド攻撃を数分で阻止する仕組みをご覧ください。統合されたID、デバイス、トラフィックのロックダウンが、攻撃発生時に防御側の主導権をいかに取り戻すかを探求しましょう。
チームが攻撃者の行動を過度に単純化すると、検知を相互に関連した進行ではなく孤立した事象として扱う可能性があります。これにより、誤った優先順位付け、意図の認識漏れ、対応の遅延が生じる恐れがあります。
特定の失敗パターンとして、偵察シグナルの誤読が挙げられる。偵察活動の欠如は「脅威が低い」と解釈されがちだが、実際には環境を熟知した内部関係者によるものかもしれない。もう一つのよくある失敗は、マルチドメイン移動の過小評価である。チームが特定領域での侵害を封じ込められたとみなすと、IDが他のクラウドプロバイダーやオンプレミスシステムへの橋渡し役として機能する可能性を見逃す恐れがある。
その結果、爆風範囲の拡大、封じ込めの遅延、そして攻撃者がデータ窃取などの目的を達成する可能性が高まることが頻繁に生じる。
攻撃者の行動は、持続性、防御回避、発見、横方向移動、データアクセスなど、複数の戦術的カテゴリーにまたがる。行動の例としては以下が挙げられる:
攻撃者は以下の方法で永続性を確立する可能性があります:
攻撃者は以下の方法で検知やテレメトリを低減する可能性があります:
攻撃者は一般的に内部偵察と発見を実行し、以下を含む:
攻撃者の行動が実際にどのように分析されるかを確認してください。 現代的な攻撃の手口を解剖する →
攻撃者の行動は検知上の課題を生み出すだけでなく、ワークフロー上の課題も生み出します。アナリストは断片化されたデータ、孤立したアラート、複数のツールに分散したシグナルを扱うことが多く、実際に何が起きているかを理解するためにはこれらを手作業でつなぎ合わせる必要があります。
チームが明確な優先順位付けモデルを適用する場合、エンティティは攻撃者の観測された行動と、影響を受けるIDまたはホストの権限や重要性に基づいて緊急度順にランク付けされます。これにより、攻撃がさらに進行する前に、アクティブなセッションの無効化による多要素認証(MFA)の再プロンプトのトリガーやアカウントのロックといった時間的制約のある対応を実行できます。
チームが攻撃者の行動を 攻撃者の行動を文脈の中で分析するVectra プラットフォームで
現代の攻撃は、アイデンティティが環境間の主要な橋渡し役となったため、アイデンティティ、ネットワーク、クラウドを横断して展開します。アイデンティティが侵害されると、攻撃者は正当なアクセス権を利用してクラウドサービス間で横方向に移動し、オンプレミスシステムに再び侵入できます。単一ドメイン内の活動を孤立したものと見なすと、侵入の真の範囲と影響が隠蔽される可能性があります。
機械学習ベースの攻撃者行動分析は、従来のアラートや検知ツールに取って代わるものではありません。従来ツールは個々のイベントやポリシー違反を可視化するのに対し、行動分析は時間の経過に伴う行動の関連性や進展に焦点を当てます。これは、特に活動が通常のシステム動作に溶け込んでいる場合に、アクセス発生後の攻撃者の意図を解釈することを目的としており、イベントレベルの検知を完全に置き換えるものではありません。
早期検知は、影響が発生するのを待つのではなく、前兆となる行動を特定することに依存する。偵察活動、権限変更、ネイティブツールの異常な使用は、ランサムウェアの展開やデータ窃取の前に頻繁に発生する。AIは、これらの初期行動を孤立した低優先度の事象として扱うのではなく、進行過程の一部として認識することで支援する。
攻撃者行動分析は、ドメインを跨いだ行動を単一の攻撃経路として結びつけることで機能する。侵害されたIDは環境間の橋渡し役として機能し、クラウドサービスからネットワークや他のプラットフォームへの横方向移動を可能にする。クロスドメイン相関分析がなければ、ある領域での活動が他の領域への影響を可能にしていることを見逃す可能性がある。
AIベースの行動分析は、人間の判断の必要性を排除するものではない。あらゆるシナリオにおける意図を完全に判断したり、最終的な帰属決定を下したりすることはできない。アナリストは依然として、分析結果を検証し、文脈を解釈し、攻撃行動に似た無害な傾向と悪意のある活動を区別しなければならない。