SecureWorks Japanは6月21日、「SecureWorks標的型攻撃ハンティング・サービス(Targeted Threat Hunting : TTH)」を開始した。価格は小規模事業者向けで、400万円~となる。
自社システムの侵害確認、根絶方法や再侵入防止策を含めた包括サービス
TTHは、Counter Threat Unitが独自に開発した脅威のハンティング技術と、経験豊富な分析官がシステム環境内の標的型攻撃の兆候や攻撃を見つけ、迅速な封じ込めと根絶を行うサービス。利用シーンとしては、不正アクセスや侵害を受けた場合の対応だけでなく、CIOの自社システム検証、M&A先のシステムチェックなどのプロアクティブな利用も想定している。実際に、グローバルにおける利用実績では、3割程度がプロアクティブな利用であり、知的財産の多い製造業や製薬・バイオテクノロジー企業が活用している。
SecureWorksのジェフリー・カーペンター氏は、バックドアが仕掛けられてから検知までに平均270日かかっている標的型攻撃の現状を引き合いに、「TTHサービスのプロアクティブな活用が効果的である」と語った。
SecureWorks Director , Security&Risk Consulting,Incident Responseのジェフリー・カーペンター氏 |
TTHは2012年から米国でサービスを開始し、侵害の有無だけでなく、根絶や再発防止策の提言と包括的なサービスを実施 |
「人とプロセス」によって脅威をあぶりだし根絶へ
TTHは、ネットワーク通信を分析するだけでなく、エンドポイントに「Red Cloak Agent」と呼ばれるソフトを入れて分析する。SecureWorksのジャスティン・ターナー氏は「(脅威の)ハンティングで重要なポイントは、技術ではなく、人とプロセス」と強調する。
診断系のセキュリティサービスは、脅威の兆候をたどって分析し、「どこに脅威があるのか」を、ツールを用いて調査する。膨大なデータが調査結果より導き出されるが、このデータを分析して兆候を見つける作業を行うのが優秀なスタッフの役割であり、同社はここに力点を置いているそうだ。
実際にTTHで解決した事例としては、スピアフィッシングで偽のOWA(Outlook Web Access)のサイトへ誘導し、認証情報を盗み出してVPNアクセスしていたというケースがある。この例では、マルウェアが使用されておらず、正規の認証情報で攻撃者がアクセスするため、検知が難しかった。しかし同社のTTHでは、わずか14日で根絶に成功したという。
TTHはネットワーク通信の可視化から、エンドポイントの分析と幅広い情報を収集して解析を行う |
Red Cloakは、マネージドセキュリティにも使われている |
攻撃発見事例。水飲み場攻撃によりゼロデイでRATを埋め込むタイプだったそうだ |
攻撃発見事例。偽OWAサイトによるスピアフィッシングで認証情報を奪取し、これを使ってVPNアクセスでデータを盗み出す |
日本におけるサービス展開については、Dell SucureWorks Japan セキュリティ&リスクコンサルティング マネージャーの三科 涼氏が解説した。SecureWorks Japanは設立から3年が経過しており、ビジネスや人員も順調に拡大しているという。
フォレンジック対応やインシデントマネジメント、事前対応サービスとして机上訓練や実地訓練を行っており、インシデント対応では数十件の実績もあるそうだ。標的型メール攻撃やソーシャルエンジニアリング手法だけでなく、メンバーが変装して建物内に侵入しバックドアを仕掛けるRed Team Testingというサービスも展開している。
今回のTTHに関しては日本チームが日本のビジネススタイルで提供しつつも、グローバルメンバーと連携し、より詳細かつ広域で網羅的にチェックし、総合的にふるまいや兆候を確認するという。
Dell SucureWorks Japan セキュリティ&リスクコンサルティング マネージャーの三科 涼氏 |
世界最高レベルの検知能力で、日本スタッフが対応する。迅速な対応で被害の最小化あるいは侵害がないことを確認できる |
また、SecureWorksのバニー・ヘンスリー氏がサイバー脅威の状況について解説。脅威は年々巧妙化しており、SecureWorksの調査でも半分が侵入経路を特定できなかったという。さらに、検知されやすいマルウェアを使わずに、既存の管理ツールやユーザーの資格情報を盗むことで検出を回避する系統の攻撃も出てきているとした。