顧客企業で発生したセキュリティインシデントの検知・分析を行い、対応を請け負うセキュリティオペレーションセンター(SOC)は、一般的な企業のセキュリティチームが経験する事象を集約して対応しているともいえ、脅威の動向やその対策について多くの知見を有している。
9月27-28日に開催されたオンライン展示会「TECH+オンラインEXPO for セキュリティ2022」で、東京エレクトロンデバイス(TED) CN技術本部 セキュリティ&サービス技術部 草薙伸氏は、同社におけるSOC運営の経験を踏まえて、昨今のセキュリティインシデントの傾向と実態について解説した。
マルチレイヤアプローチを1つの自律型エージェントで実現する「SentinelOne」
TEDのSOC(TED-SOC)では、同社で取り扱うEDR製品「SentinelOne」を根幹に据えてサービスを提供している。草薙氏はその理由について「SentinelOneで検出した脅威に対し、インシデント対応までサービスとして提供すればお客様のお役に立てるのではないかという思いがTED-SOCの原点にある。近年ではファイアウォール監視などサービス項目を増やしているところではあるが、現在でもSentinelOneがサービスの根幹にある」と話す。
コロナ禍によって、自宅環境や公衆Wi-Fiでのセキュリティ対策として注目されるようになったのがEDRだ。従来型のアンチウイルスを代表するエンドポイントプロテクションでは防ぐことができないファイルレス型のマルウェアや、ラテラルムーブメントなどをAIで検知して、端末をセキュリティ脅威から守るものである。
なかでもSentinelOneの特徴は、エンドポイント対策に求められる全機能を1つの自律型エージェントで提供している点にある。エージェント型のため、インターネット接続が不要で、端末がオンライン/オフラインに関わらずあらゆる攻撃を検知して防御できる。
また、攻撃の各ステージに対して多面的な対応を実現できるのもSentinelOneの強みだ。SentinelOneは、EDRに加えEPP機能も有しており、「検知」の段階では、ファイルの実行前およびディスクに書き込みが行われた時点で、EPPコンポーネントである静的AI解析と従来のパターンマッチング法とを組み合わせることで、広く流通するマルウェアだけでなく、新たなマルウェアも検知する。
そしてEDRコンポーネントでは、動的AI解析で、新しいファイルが書き込まれ実行された際の振る舞いを検知する。たとえば、マクロの実行をきっかけに感染するEmotetは、振る舞いを検知する動的AIでないと検知できない。ユーザーに到達する最初の段階では静的AI解析をすり抜けてしまうため、外部サーバーに接続する動作を動的AIによって検知することとなる。
さらに、「軽減」の段階では、あらゆるプロセスの強制停止、ファイルやネットワークの自動隔離、「修復」の段階では、ファイルのロールバック機能を提供している。「調査」の段階では、Deep VisibilityとStorylineという機能により、どのファイルがどのプロセスに影響したのかツリー構造で可視化することで、攻撃の詳細な分析を行うことができる。
なお、SentinelOneは、米国の非営利組織 MITREが主催する攻撃評価レポート「MITRE Engenuity ATT&CK」において、毎年高い評価を得ている。同レポートでは、その年に流行している攻撃手法をもとにして攻撃のシナリオが作成され、参加した各ベンダーによる対応方法の詳細がまとめられる。毎年異なる手法が設定され、年によってベンダーの評価は大きく変化をするが、草薙氏によると、SentinelOneは、人の手を介さず自律的なアプローチを可能としているため毎年の高評価につながっているという。
監視/インシデント対応/運用支援/リスクアセスメントまで一括して請け負うSOC
TED-SOCでは、SentinelOne導入後のインシデント対応迅速化とセキュリティ運用最適化を支援するサービス「Managed SentinelOne(MS1)」を提供している。草薙氏によると、SentinelOneを1000ライセンス以上契約している企業の約半数がMS1を利用しているという。
「セキュリティ運用で抱える課題は、人。SentinelOneをもってしても誤検知ゼロとはいかず、人手による判断が必要となる一方で、セキュリティエンジニアは不足している状況。TED-SOCでは、検知された内容を分析したうえで対処方針を検討して実行するところまで、365日24時間で対応している。ヘルプデスクはSentinelOneを契約しているすべての会社に提供されているが、MS1では監視/インシデント対応/運用支援/リスクアセスメントまで一括して請け負うことで、運用負荷を軽減することを目的としている」(草薙氏)
TED-SOCがインシデントを検知した場合、SentinelOneのStoryline機能を用いて正検知/誤検知の判断を行い、復旧作業を行った後に、脅威のハッシュを取得して、ホワイトリスト/ブラックリスト登録を実施する。監視要件は企業ごとにカスタマイズが可能。リスクアセスメントでは月次レポートで状況を報告し、分析に基づくセキュリティ軽減策や設定チューニングの提案も行う。
TED-SOCでは今、何が検出されているのか
TED-SOCにおけるSentinelOneによる脅威の検出状況を表したのが下記の図である。
上図左を見ると、シグネチャベースのレピュテーションでの検知では、全体の63%しかカバーできていないということがわかる。32%は、静的AIによって検知されたものだ。こうした状況について草薙氏は、「機械的にハッシュを変更しながら亜種を生成する脅威も増えており、ファイルのハッシュをベースにした検出は簡単にすり抜けてしまう。そのためファイルの構造解析を行う静的AIの重要性が増してきている」と説明する。
さらに、5%ほどが動的AIで検知されたものだが、上図右を見るとこのうち21%がランサムウェアで見られるラテラルムーブメントであることがわかる。また、Emotetは52%の「Documents, Scrips」内に含まれる。この結果に対し、草薙氏は「全体としては5%と少ないが、大きなインパクトを残している脅威が動的AIで検知されているといえる」とコメントする。
検出された脅威のランキングを見てみると、マルウェアをはじめとする従来型の脅威に加え、暗号資産をマイニングするよう設計されたクリプトマイナー、ランサムウェアといった新しい脅威が10位以内にランクインしていることがわかる。なお、草薙氏によると、SentinelOneを契約する企業でランサムウェアの被害を受けたケースはないという。圧縮ファイルを解凍後即時実行する実行ファイル「Packed」(8位)は、メール添付によるファイル交換の文化が残る日本では、今後さらに拡大する恐れがある。
上図のように、この1年でEmotetの再流行も見られている。
草薙氏は「旧来のマルウェア対策しかしていない場合、Emotetの検知は難しい。パスワード付きzipはメールゲートウェイをすり抜けるうえ、ハッシュ値やファイル名が日々変化するため、マクロが実行されC&CサーバーからEmotetがダウンロードされるという振る舞いを検知することが重要となる。SentinelOneの動的AIでこの動作を検知した後、TED-SOCではハッシュ値を登録し、2回目以降は静的にも検知できるような運用をしている。静的に検知したほうがシステムへの影響がより少ない。TED-SOCのハッシュ登録による検知はレピュテーション検知全体の17%に上っており、効果が見られている」と、Emotetに向けたSentinelOneの対策方針について説明する。
「Emotetの脅威は依然続いており、Packedのような新たな脅威も今後増えていく可能性がある。PPAP文化の残る日本向けに効果のある攻撃の可能性も高まっている。Emotet検出などには動的AIが有効だが、人手による正検知/誤検知のチェックは必要となるため、SOCサービスの活用も検討していただければ」(草薙氏)
[PR]提供:東京エレクトロンデバイス