脅威ハンティングは、専門のセキュリティアナリストが積極的に脅威アクターの行動を追跡し、実際の損害が発生する前にネットワークを防御しようとするプロセスです。この「専門」という言葉が脅威ハンティング戦略を成功させるために必要な要素を理解する上で重要となります。こうしたスキルは習得に時間がかかり、需要が高いからです。
SANS Instituteの調査によると、2017年に脅威ハンティングの専任スタッフを配置した組織はわずか31%でしたが、4年後の同じ調査では、この数値は調査対象組織の93%にまで跳ね上がっています。この半世紀で脅威ハンティングのスペシャリストの必要性が高まっていますが、それには正当な理由があります。企業組織に対する攻撃の集中砲火は驚くべきペースで増加しており、攻撃が起こるのを待って対応していては、もはや遅すぎるからです。
実際、脅威ハンティングの増加は、多くの組織の脅威 インテリジェンス 能力と セキュリティ態勢制を向上させることもわかっています。 SANSは、脅威ハンティングの増加により、セキュリティチームが継続的な監視を改善し、誤検知が減少しているとしています。
脅威ハンティングモデルの導入は容易でなく、方法論も複数存在します。したがって、脅威ハンティングの目標を明確にすることが重要となります。そこから、チームはハンティングの成功に必要な技術の定義を始めることができます。
では、脅威ハンティングの機能とは具体的にはどのようなものでしょうか。上述したように、個々のハンティングの目的はさまざまであり、ハンティングの詳細な側面も同様にそれぞれ異なります。
経験豊富なセキュリティ専門家が新たなハンティングに取り組む際に期待できる、比較的一般的な要素をいくつか見てみましょう。
テスト対象の仮説や全体的な目標に応じて、さまざまな種類のネットワークログ(DNS、ファイアウォール、プロキシ)、境界を越えた脅威検出テレメトリのさまざまなソース、特定のエンドポイントデータなどからデータを収集します。
SlackやMicrosoft Teamsなどのツールは脅威ハンティングワークフローの自動化に統合でき、新しいサービスチケットをトリガーし、新しいハンティングと調査を開始したり、必要に応じて個々のエンドポイントやネットワークユーザーに対してクエリを実行したりすることができます。
ハンティングの成否にかかわらず、その結果を文書化することが重要です。最終的な結果に関係なく、こうした参照情報を用意しておくことで、今後同様の目標でハンティングを行う際にアクションのベースラインができ、脅威アクターが繰り返し現れる可能性を特定する上で役立ちます。
どのような脅威ハンティングであっても自動化がかなり多用されますが、こうした自動化を調整するのはセキュリティ組織で働く生身の人です。エンドポイントテレメトリからアラート、ネットワークトラフィック分析に至るまで、テクノロジーはアナリストが洞察をより迅速に把握し、脅威をより確実に遮断する能力を強化します。
脅威ハンティングを成功させるには、前述のように、ハンティングの目的が何かを知ることが重要です。ハンティングの種類は通常、決定された目標により、以下で説明する次のいずれかの形式に分類されます。
この脅威ハンティングプロセスは通常、異常なイベントを監視するセキュリティ組織のメンバーによって開始され、時間の経過とともに頻度が増加していきます。この時点から、チームは何が起こっているのか、そしてその仮説が実際に検証可能かどうか、仮説を立て始めることができます。こうした仮説は悪意のあるアクティビティの存在が正当かどうかを確認する上で役立ちます。
ここで、ハンターが仮説を検証し、脅威が本当に本物かどうかを判断するための具体的なツールとプロセスをいくつか見てみましょう。
SIEMプラットフォームは、ネットワーク全体のデータを一元化、関連付け、分析することで、セキュリティの問題を検出できます。SIEMのコア機能には、 ログの管理 と一元化、セキュリティイベントの検出とレポート、検索機能が含まれます。
分析によりエンドポイントデータを高度なユーザー分析や脅威インテリジェンスと関連付け、不審なエンドポイントアクティビティに加え、特定のユーザーがシステム上のアクティビティを認識しているかどうかを検知します。
このツールセットは、ネットワークの可用性とアクティビティを監視し、セキュリティや運用上の問題などの異常を特定します。これにより、ハンターはネットワーク上で何が起こっているかをリアルタイム記録と履歴記録の両方で収集できます。
リアルタイムの脅威フィードの可視性を維持することで、ハンターは自社環境に最も関連性の高い潜在的な脅威を把握できるようになり、それらの脅威に対してより適切に防御する方法を把握できるようになります。
クラウドセキュリティツールを使用して、脅威ハンターが特にリスクの影響を受けやすいマルチクラウド・ハイブリッドクラウド環境を監視できることが理想的です。アナリストには、ユーザーアクティビティ、ログ、エンドポイントなどのデータを取り込むことで、自社のITフットプリントと存在する不審なアクティビティの明確な全体像を取得できるツールが必要です。
ユーザーの行動を分析するプロセスは、ユーザーが毎日生成するネットワークイベントに関する洞察を収集することで構成されます。これらのイベントを収集して分析することで、侵害された認証情報の使用、水平展開、その他の悪質な行動の検知に使用できます。
適切なツールを活用して、定式化された具体的な仮説をテストする際に実行すべき脅威ハンティングの手順はどのようなものでしょうか。
行動につながるデータを特定し、最終的には収集プロセスを自動化することが重要です。セキュリティチームが悪意のあるアクティビティの存在を疑う場合、ネットワーク全体からフォレンジックアーティファクトを収集して検査する必要があります。このプロセスの一環として、フォレンジック証拠を効率的にトリアージして分析し、インシデントの根本原因を迅速に特定します。
脅威ハンティングを請け負うマネージドサービスパートナーやソリューションには、定義された基準に基づいてアラートを自動的に表示するクエリとルールが組み込まれており、脅威ハンターがエクスプロイトや脅威アクターを迅速に検索するのに役立ちます。 セキュリティチームがこれらのクエリをカスタマイズして、仮説に最も適した質問をするための機能を維持するのに役立ちます。
脅威ハンティング技術は、脅威アクターが現在使用しているTTPに応じて常に進化する必要があります。実際に発見するのは必ずしも簡単ではありませんが、敵対的な行動を継続的に調査することで、セキュリティ防御担当者は積極的かつ鋭敏に、常に準備ができた状態を保つことができます。
もちろん、TTP調査やその他のインテリジェンスソースを常に把握し続けることは難しいことですが、マネージド脅威ハンティングパートナーは、プロセスを加速し、脅威インテリジェンスプログラムの成功を後押しする可能性があります。