脅威ハンティングとは?

脅威ハンティングは、専門のセキュリティアナリストが積極的に脅威アクターの行動を追跡し、実際の損害が発生する前にネットワークを防御しようとするプロセスです。この「専門」という言葉が脅威ハンティング戦略を成功させるために必要な要素を理解する上で重要となります。こうしたスキルは習得に時間がかかり、需要が高いからです。

SANS Instituteの調査によると、2017年に脅威ハンティングの専任スタッフを配置した組織はわずか31%でしたが、4年後の同じ調査では、この数値は調査対象組織の93%にまで跳ね上がっています。この半世紀で脅威ハンティングのスペシャリストの必要性が高まっていますが、それには正当な理由があります。企業組織に対する攻撃の集中砲火は驚くべきペースで増加しており、攻撃が起こるのを待って対応していては、もはや遅すぎるからです。

実際、脅威ハンティングの増加は、多くの組織の脅威 インテリジェンス 能力と セキュリティ態勢制を向上させることもわかっています。 SANSは、脅威ハンティングの増加により、セキュリティチームが継続的な監視を改善し、誤検知が減少しているとしています。

脅威ハンティングモデルの導入は容易でなく、方法論も複数存在します。したがって、脅威ハンティングの目標を明確にすることが重要となります。そこから、チームはハンティングの成功に必要な技術の定義を始めることができます。

脅威ハンティングの主な要素

では、脅威ハンティングの機能とは具体的にはどのようなものでしょうか。上述したように、個々のハンティングの目的はさまざまであり、ハンティングの詳細な側面も同様にそれぞれ異なります。

経験豊富なセキュリティ専門家が新たなハンティングに取り組む際に期待できる、比較的一般的な要素をいくつか見てみましょう。

データの収集と処理:テスト対象の仮説や全体的な目標に応じて、さまざまな種類のネットワークログ(DNS、ファイアウォール、プロキシ)、境界を越えた脅威検出テレメトリのさまざまなソース、特定のエンドポイントデータなどからデータを収集します。

コラボレーションとコミュニケーション:SlackやMicrosoft Teamsなどのツールを脅威ハンティングワークフローの自動化に統合可能です。さらに、新しいサービスチケットをトリガーし、ハンティングと調査を新たに開始したり、必要に応じて個々のエンドポイントやネットワークユーザーにクエリを実行することができます。

文書化とレポートの作成:ハンティングの成否にかかわらず、その結果を文書化することが重要です。最終的な結果に関係なく、こうした参照情報を用意しておくことで、今後同様の目標でハンティングを行う際にアクションのベースラインができ、脅威アクターが繰り返し現れる可能性を特定する上で役立ちます。

人とテクノロジー:どのような脅威ハンティングであっても自動化がかなり多用されますが、こうした自動化を調整するのはセキュリティ組織で働く生身の人です。エンドポイントテレメトリからアラート、ネットワークトラフィック分析に至るまで、テクノロジーはアナリストが洞察をより迅速に把握し、脅威をより確実に遮断する能力を強化します。

脅威ハンティングの種類

脅威ハンティングを成功させるには、前述のように、ハンティングの目的が何かを知ることが重要です。ハンティングの種類は通常、決定された目標により、以下で説明する次のいずれかの形式に分類されます。

脅威ハンティングの仮説を作成

この脅威ハンティングプロセスは通常、異常なイベントを監視するセキュリティ組織のメンバーによって開始され、時間の経過とともに頻度が増加していきます。この時点から、チームは何が起こっているのか、そしてその仮説が実際に検証可能かどうか、仮説を立て始めることができます。こうした仮説は悪意のあるアクティビティの存在が正当かどうかを確認する上で役立ちます。

仮説に基づいた脅威ハンティングの種類

  • インテリジェンスベース侵害の兆候(IOC)と特定の戦術、技術、手順(TTP)に基づき仮説を立てます。
  • 状況認識ベース:内部インフラストラクチャ、脆弱性、コアネットワーク資産に関する深い知識に基づく方法です。脅威インテリジェンスを常に考慮するわけではありませんが、「特定の行動をとられた場合、我々のシステムが危険にさらされるか」というシナリオを検討に入れます。
  • ドメインの専門知識ベース:担当システムに対する脅威ハンター自身の知識に基づくもので、ハンターが何かが「オフ」になっていないかどうかを把握し、ハンティングのための実用的な仮説を立てられるレベルまでネットワークを熟知していることを前提としています。

主要な脅威ハンティングツールとテクノロジー

ここで、ハンターが仮説を検証し、脅威が本当に本物かどうかを判断するための具体的なツールとプロセスをいくつか見てみましょう。

セキュリティ情報とイベント管理(SIEM)

SIEMプラットフォームは、ネットワーク全体のデータを一元化、関連付け、分析することで、セキュリティの問題を検出できます。SIEMのコア機能には、 ログの管理 と一元化、セキュリティイベントの検出とレポート、検索機能が含まれます。

エンドポイントディテクションレスポンス(EDR)

分析によりエンドポイントデータを高度なユーザー分析や脅威インテリジェンスと関連付け、不審なエンドポイントアクティビティに加え、特定のユーザーがシステム上のアクティビティを認識しているかどうかを検知します。

ネットワークトラフィック分析ツール

このツールセットは、ネットワークの可用性とアクティビティを監視し、セキュリティや運用上の問題などの異常を特定します。これにより、ハンターはネットワーク上で何が起こっているかをリアルタイム記録と履歴記録の両方で収集できます。

脅威インテリジェンスフィード

リアルタイムの脅威フィードの可視性を維持することで、ハンターは自社環境に最も関連性の高い潜在的な脅威を把握できるようになり、それらの脅威に対してより適切に防御する方法を把握できるようになります。

クラウドセキュリティ監視および可視化ツール

クラウドセキュリティツールを使用して、脅威ハンターが特にリスクの影響を受けやすいマルチクラウド・ハイブリッドクラウド環境を監視できることが理想的です。アナリストには、ユーザーアクティビティ、ログ、エンドポイントなどのデータを取り込むことで、自社のITフットプリントと存在する不審なアクティビティの明確な全体像を取得できるツールが必要です。

ユーザーおよびエンティティ行動分析(UEBA)

ユーザーの行動を分析するプロセスは、ユーザーが毎日生成するネットワークイベントに関する洞察を収集することで構成されます。これらのイベントを収集して分析することで、侵害された認証情報の使用、水平展開、その他の悪質な行動の検知に使用できます。

脅威ハンティングの手順

適切なツールを活用して、定式化された具体的な仮説をテストする際に実行すべき脅威ハンティングの手順はどのようなものでしょうか。

適切なデータを収集:行動につながるデータを特定し、最終的には収集プロセスを自動化することが重要です。セキュリティチームが悪意のあるアクティビティの存在を疑う場合、ネットワーク全体からフォレンジックアーティファクトを収集して検査する必要があります。このプロセスの一環として、フォレンジック証拠を効率的にトリアージして分析し、インシデントの根本原因を迅速に特定します。

クエリとルールをカスタマイズ:いくつかの脅威ハンティングマネージドサービスパートナーやソリューションには、定義された基準に基づいて自動的にアラートを表示するクエリとルールが組み込まれています。これにより、脅威ハンターは広く知られているエクスプロイトや脅威アクターをすばやく検索できます。セキュリティチームがこれらのクエリをカスタマイズして、仮説に最も適した質問をするための機能を維持するのに役立ちます。

戦術、テクニック、手順に関する最新情報を入手:脅威ハンティング技術は、脅威アクターが現在使用しているTTPに応じて常に進化する必要があります。実際に脅威ハンティング技術を発見するのは必ずしも簡単ではありません。しかし、敵対的な行動を継続的に調査することで、セキュリティ防御担当者は積極的かつ鋭敏に、常に準備ができた状態を保つことができます。

もちろん、TTP調査やその他のインテリジェンスソースを常に把握し続けることは難しいことですが、マネージド脅威ハンティングパートナーは、プロセスを加速し、脅威インテリジェンスプログラムの成功を後押しする可能性があります。

脅威ハンティングのベストプラクティス

  • 異種データセットの運用:分析できるデータセットが増えるほど、より徹底的に侵害を探索できます。
  • 反復可能なタスクの自動化と調整:定期的なスキャンなど、脅威ハンティングに関し進行中のタスクを自動化することで、チームは最も得意な攻撃者の阻止に多くの時間を費やせるようになります。
  • 可能な限りオーケストレーションを実施:オーケストレーションを使用すると、アナリストはハンティングサイクルの所要時間を大幅に増やすことなく、データセットにツールを簡単に追加できます。
  • より迅速な通知と対応:脅威の種類に基づき、所定の対応ワークフローを作成します。これにより、ハンターはプロトコルに従い、全員が同じデータセットに基づいて作業できるようになります。

続きを読む

脅威インテリジェンス: 最新のRapid7ブログ記事