01. 概要
2002年、海外の情報セキュリティ団体より発刊されたセキュリティ記事では「現在のセキュリティモデルでは、一般的に攻撃者がいつも有利で、防御者は既知の攻撃方法のみ対応するサイクルを持っている」と防御に明らかに限界があると説明している。20年が経った今、サイバー攻撃の検知及び対応という分野では、脅威の進化と基盤技術の発展でその進化を世代で区分できるようになった。 未知 の脆弱性攻撃とマルウェアを防ぐために、キールチェーンとインテリジェンスの概念を利用し、行為検知、分析・対応自動化、Deception(デセプション)などの運用技術が成長している。
【▲ サイバー防御プラットフォーム (参考:terreActive)】
今回は今までの 未知 の攻撃を防御するための流れを整理したいと思う。
02. 基本概念
1) 防御の利点、サイバーキールチェーン
アメルか軍需企業であるロッキード・マーティンが2011年発表した論文のコンセプトであるキールチェーンは、インテリジェンス基盤の防御モデルでサイバーセキュリティで適用され、その後、キールチェーンはサイバー攻撃対応戦略の主な概念として定着した。
論文の内容を整理すると、APT(知能型の持続的な脅威)と命名された攻撃は、カスタマイズしたマルウェアとゼロデイ攻撃を利用するため、アンチウィルスとパッチ適用のような既知の脆弱性中心の対策では不足で、インテリジェンスを基盤とした脅威中心型セキュリティの方法が必要だと提案する。侵入自体を単一イベントではなく段階的攻撃として理解すると、目標達成前に各段階を成功させる必要がある攻撃者よりも、一つのイベントを防御することで最終的な攻撃目的を瓦解できる防御者の方が優位性を持つことができる。
インテリジェンス基盤の防御モデルを適用した事例の研究から、防御者が連続的なスピアフィッシングなどの不正メールの脆弱性とマルウェアを分析し、侵入キルチェーンモデルによって抽出できる内容は下記の表である。防御者は内容の類似性を見つけ、個別に試みられる侵入を同一のキャンペーンに結び付けることで、ゼロデイ脆弱性を利用して試みられる侵入を検知できると説明している。
【▲ 論文事例研究の侵入試し別指標 (参考:ロッキード・マーティン)】
2) インテリジェンスと苦しみのピラミッド
サイバーセキュリティでインテリジェンスとは、潜在的な脅威を軽減するために提供している脅威及び、脅威行為者と活動に対する情報を意味する。インテリジェンスはデータ収集・処理と情報分析で形成され、利害関係者(インテリジェンス消費者)と目的によって戦略・作戦・戦術・技術で分かれる。
【▲ データ、情報、インテリジェンスの関係 (参考:アメリカ陸軍合同教範 2-0)】
| 戦略インテリジェンス | ビジネスの決定に影響を及ぼす脅威動向と攻撃者の目標 |
| 作戦インテリジェンス | 防御者が差し迫った攻撃または観察された行動に対する警告 |
| 戦術インテリジェンス | 脅威行為者が使用するツールと戦術・技術・手順(TTP) |
| 技術インテリジェンス | 技術的な脅威指標、ほぼリアルタイムでアップデート提供 |
【▲ インテリジェンスの種類 (参考:FIRST再構成)】
2013年セキュリティ専門家のデイヴィッド・ビアンコはインテリジェンスの効果的な活用方法を説明をするため「苦しみのピラミッド」という概念を紹介した。ピラミッドの頂点に位置するTTP(戦術・技術・手順)が攻撃抑制に一番効果的であることを意味する。例えばPass-the-Hash攻撃に対してツールだけではなく奪取した資格証明を利用したログイン行為自体を検知して対応する場合、攻撃者はツール変更より、より多くの資源が必要な技術変更が必要になるため、攻撃活動に相当な影響を与えられる。
【▲ 苦しみのピラミッド (参考:デイヴィッド・ビアンコ)】
【▲ APT1インテリジェンスレポートの攻撃ツール部分 (参考:マンディアント)】
03. 運用方法
1) TTP基盤分析
攻撃者の行為を検知するために一般的に参照するモデルはアメリカ非営利共益団体MITREのATT&CKのマトリックスである。知能型の持続的な脅威を基盤として攻撃者の戦術(中短期的攻撃・戦術的目的)と技術(目標を達成する手段)を構造化し、各技術の攻撃手順と検知方法を提供する。
【▲ ATT&CK Matrix for Enterprise (参考:MITRE)】
また、MITREのATT&CKから派生し複数のプロジェクトで、攻撃検知及び分析に必要なデータモデル、SIEM分析クエリ、攻撃ライブラリなどが活用できる。
【▲ MITRE Cyber Analytics Repository, Successful Local Account Login (参考:MITRE)】
【▲ Atomic Red Team, Pass the Hash (参考:Red Canary)】
2) 必要な条件、データ
攻撃者の行為を検知するために最も重要なのは、検知に必要なデータソースの確保と持続できる分析プロセスである。2021年にアメリカのホワイトハウスが発表した国家のサイバーセキュリティ向上に関する大統領令でも、サイバーセキュリティインシデント関連連邦政府機関の調査及び矯正能力を改善するために、セキュリティ運用センター(SOC)の可視性保障を中心にしてログ収集及びモニタリングの範囲拡張と、SOARとUEBAプレイブックの実現を下記の表のように指示した。
| 成熟度 | 主要要求事項 | 完了期限 |
|---|---|---|
| EL1 | 重要度レベル0に分類したログ収集及びSIEM連携 Passive DNS(DNSクエリログ) SOAR及びUEBA計画樹立 | 2022/08/27 |
| EL2 | 重要度レベル1と2に分類したログ収集 フルパケットキャプチャーデータ 暗号化されたデータチェック | 2023/02/27 |
| EL3 | 重要度レベル3に分類したログ収集 SOAR及びUEBAプレイブック実現 コンテナーセキュリティモニタリング実現 | 2024/08/27 |
【▲ イベントログ管理成熟度モデル (参考:アメリカ予算管理局再構成)】
| レベル | ログタイプ |
|---|---|
| 0 | Identity & Credential Management, Privileged Identity & Credential Management, Email Filtering, Spam and Phishing, Network Device Infrastructure DHCP, DNS, Wi-Fi, Routers and Switches, Load Balancers, Proxy and Web Contents Filters, Operating Systems Windows, MACOS, BSD (Linux), Cloud Environments, Cloud AWS, Azure, GCP |
| 1 | System Configuration, Endpoint Detection & Response(EDR), Authentication and Authorization, Email Content Filtering Policy Updates Anti-Virus and Behavior-Based Malware Protection, Network Device Hash, Firewall, IDPS, VPN Gateway, PKI Infrastructure, Vulnerability Assessment, Web Application, Database, Virtualization System, Mobile EMM(UEM)/MTD, Container Supply Chain |
| 2 | System Status, Email Filtering Events, Data Loss Prevention, Full Packet Capture Data, Commercial Off the Shelf(COTS) and Custom Applications, General Applications, Container Image, Container Engine, Container OS |
| 3 | Software Updates, Spam Dictionary Modifications, Mainframes, Container Cluster/Pod Events |
【▲ ロギング要求事項 (参考:アメリカ予算管理局再構成)】
04. 最後に
今後のサイバーセキュリティの方向設定に向け現在のサイバー攻撃検知・対応体系の主な概念と運用方法について調べてみた。これを組織に適用して実質的な価値を得るためには、運用環境に合わせて戦略を構成し、現在の防御体系を評価し、その差と対応優先度を設定し実現していくことが必要である。
05. 参考資料
[1] KIISC、『次世代ネットワークセキュリティ技術』、KISA(2002), 6p
[2] terreActive, “Cyber Defense Workshop”, https://www.terreactive.ch/en/node/164
[3] Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”, Lockheed Martin Corporation, 2011, https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
[4] Joint Chief of Staff, Joint Publication 2-0, Joint Intelligence, US DoD, 2013, https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp2_0.pdf
[5] FIRST, “Introduction to CTI as a General topic”, https://www.first.org/global/sigs/cti/curriculum/cti-introduction
[6] David Bianco, “The Pyramid of Pain”, 2013, http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[7] MANDIANT, “APT1: Exposing One of China’s Cyber Espionage Units”, 2013, https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units
[8] MITRE, “MITRE ATT&CK”, https://attack.mitre.org
[9] MITRE, “MITRE Cyber Analytics Repository”, https://car.mitre.org
[10] Red Canary, “Atomic Red Team “, https://github.com/redcanaryco/atomic-red-team
[11] OFFICE OF MANAGEMENT AND BUDGET, Improving the Federal Government’s Investigative and Remediation Capabilities Related to Cybersecurity Incidents, 2021, https://www.whitehouse.gov/wp-content/uploads/2021/08/M-21-31-Improving-the-Federal-Governments-Investigative-and-Remediation-Capabilities-Related-to-Cybersecurity-Incidents.pdf
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
![[Zabbix] ゼロから始めるZabbix -snmp-](https://cyberfortress.jp/wp-content/uploads/2021/08/blog_img_000.jpg)