脅威ハンティング

ビジネス環境は常に変化しており、新しいツールが導入され、古いツールが削除され、これらの変更をサポートするために設定変更が行われます。最近の例としては、F5のBIG-IPのTraffic Management User Interface (TMUI)に影響を与えたF5の脆弱性CVE-2020-5902があります。このポートは決して一般にアクセス可能であってはならず、アクセスできるようになる前に、まずユーザーが安全に認証してLANに接続する必要があります。Vectra AIでは、これが当てはまらず、TMUIにアクセスされ、悪用された事例を目にしています。

2020年はCOVID-19の影響でリモートワークが大幅にシフトし、オペレーションチームは奔走した：

1. この新しい職場環境をサポートする
2. オフィスから自宅へシフトするユーザーを保護する。

このような移行をサポートすることは、特にそれをサポートする準備ができていないビジネスにとっては、セキュリティ上の頭痛の種となる。

このような激変の中で、ビジネスにとっての第一の焦点は、業務が中断されないようにすることである。そのため、セキュリティ・チームは実装に対する影響力を失い、セキュリティを念頭に置いて設計されていないソリューションのサポートに行き詰まることになる。適切な監視がなければ、脆弱性が露呈し、攻撃者に付け込まれる可能性がある。

ハントがなぜ重要なのかについては多くの例があるが、以下に述べる2つの例はハンティングプログラムの必要性を強調している。

セキュリティチームがVectra 検知 ネットワークメタデータをどのように活用して、悪意のある行動を探索できるかを探ってみましょう。また、この文書ではVectra Recall 参照していますが、Vectra Recall について説明したテクニックは、Vectra Stream のデータを活用して簡単に実装できます。

脅威ハンティングが重要な理由

スレット・ハンティングとは、自分のネットワークの特質について深く調査する時間を確保することである。

脅威ハントの目的は、Vectra 振る舞い 主導型検出が必ずしも発見していないネットワーク内の悪意のある行為者を見つけたり、前兆となる活動を見つけたりすることだけではありません。また、必ずしも悪意があるわけではないが、セキュリティ態勢に違反していたり、不必要に安全でない可能性のあるネットワーク活動を見つけることでもある。主に、脅威ハンティングは、ネットワーク上で何が起きているかを理解するのに役立つ学習経験である。ネットワークで何が起きているのかをすでに理解しているため、今後の調査が簡単になるはずだ。

組織として、社内のナレッジ共有のために調査結果を文書化することも考えられる。毎週、あるいは毎月、チームとして脅威を発見する時間を設定し、最後にディスカッションを行い、発見した内容や、組織について今まで知らなかったことを知ることができるかもしれない。例えば、毎日午前1時にSMB経由で大量のファイルをバックアップしているサーバーがあるとか、データセンターの一部のサーバーが正当なビジネス用途のために46780番ポートで大量のデータを外部に送信しているとか。このような発見があれば、既知の合法的なユースケースを素早く割り引いて除外し、目新しく問題のあるものに焦点を絞ることができるため、今後の時間の節約につながる。

ネットワークメタデータによる脅威ハンティング

調査官の視点に立つと、調査中の証拠には主にエンドポイント証拠とネットワーク証拠の2つがある。この2つのソースの違いを説明するのに最も適した方法は、グランド・セフト・オートに例えることである。カージャックから、愉快なドライブ、そして最終的には自動車事故という結論に至るまで、複数の段階がある。犯行現場に立ち会うことは素晴らしいことだが、それだけでは全体像はつかめない。泥棒はどうやって車を見つけたのか？どこから来たのか？車はどのような経路をたどったのか？全体像を把握するには、すべての要素を組み合わせるしかない。

侵入の最初の現場を確認するにはエンドポイントの証拠が最適だが、全体像を把握し、点と点を結ぶにはネットワーク・データが最適だ。ヘリコプターでカージャック現場を監視し、車が交通渋滞に巻き込まれたり、通りを横切ったり、街を横切ったりするのを観察しているところを想像してみてほしい。私たちはそのすべてを見ることができ、それがどこで終わるかを正確に見ることができる。

以下は、利用可能なメタデータと、各メタデータ・ストリームに共通する属性のクイック・リファレンスです。

脅威ハンティングの価値

多くの組織がハンティングを敬遠するのには理由がある。マネジャーの立場からすれば、成果が保証されていないのにアナリストの時間を承認するのは難しい。私たちの見解では、ハンティングが成功した場合、通常2つのことが起こる。

1.知識

調査に時間を費やすアナリストは、必然的にその経験から学び、調査や理論の検証を行う必要がある。これは、彼らがVectra AIプラットフォームの使用に慣れるにつれて、新しいトピックが探求されることを意味し、調査中に費やされる時間に変換することができます。彼らはLuceneの構文、visualizeを使ったデータのスタック方法、利用可能なメタデータフィールドを知ることになります。

2.環境の理解

企業ネットワークにはそれぞれ特有のポリシーやツールがあるため、この調査を通じて、自分たちの環境をより深く理解することができる。何が正常かを理解することは、何が異常かを特定するのに役立つ。アナリストが調査に時間を費やすことで、理解力が増し、効率化につながる。

具体的な成果はカスタムモデルであり、知識と環境の理解を適用して、組織に適したカスタムモデルを作成することができます。こうすることで、Vectra 検知 カスタムモデルを有効にし、日々のアナリストのワークフローに組み込むことができます。

今日のダイナミックな脅威環境において、プロアクティブな脅威ハンティングは有益であるだけでなく、強固なサイバーセキュリティ防御を維持するために不可欠です。Vectra AIの高度なソリューションは、セキュリティチームが隠れた脅威を効率的に発見して対処し、サイバー攻撃に対する組織の耐性を強化することを可能にします。Vectraがどのように貴社の脅威探索イニシアチブをサポートし、セキュリティ体制を強化できるか、今すぐお問い合わせください。