INT02:2023 – 不十分な脅威検出 (Insufficient Threat Detection)

説明

脅威検出はサイバー防御において重要な役割を果たします。 ほとんどのサイバー攻撃、特に内部攻撃では、脅威アクターの最初の検出は遅すぎます。 ほとんどのサイバー攻撃は脅威アクターが内部プロセスに影響を与えて邪魔したり、従業員の業務を妨害するような悪意のあるアクションを実行すると検出されます。 たとえば、ランサムウェアが従業員のコンピュータや重要なサーバー上のデータを暗号化し始めた場合です。 残念ながら、この状態でのサイバー攻撃の検出は遅すぎます。 脅威アクターや悪意のあるアクティビティが深刻な被害をもたらす前に検出するには、定性的な脅威検出が必要とされます。 理想的には、脅威アクターを最初のアクセスフェーズか、遅くともコマンドおよびコンカーフェーズで検出すべきです。

リスク

脅威アクターがサイバー攻撃の早期に検出されなければ、ターゲットは無力となり、さらなる防御措置を講じる機会が得られない可能性が高くなります。 脅威アクターは通常、目立った行動を起こすまでに数週間あるいは数か月は内部ネットワークに潜伏します。 不十分な脅威検出は巧妙なサイバー攻撃が頻繁に成功する主な理由の一つです。 適切な検出や監視メカニズムがなければ、ターゲットは脅威アクターが内部ネットワークへのアクセスを得たり、ラテラルムーブメントすることを確認できません。

対策

定性的で強力な脅威検出システムを構築するには、内部インフラストラクチャのさまざまなレベルとポイントにプロセスとメカニズムを実装することを推奨します。 セキュリティインシデントおよびイベント管理 (SIEM) システム、ファイアウォール、エンドポイント検出および対応 (EDR) アプリケーション、アクティビティを監視するその他のメカニズムやソフトウェアは、 脅威検出システムの基盤を構築します。 これらのセンサーやシステムを、コンピュータ、サーバー、さまざまな ISO/OSI レイヤのネットワークなど、可能な限りインフラストラクチャの多くのレベルとポイントに実装することが、 極めて重要です。 こうすることで、サイバー攻撃や脅威アクターの早期検出の可能性が高くなります。 ターゲットはさらなるアクションを起こすことができ、壊滅的な攻撃が実行される前に、内部インフラストラクチャを防御できます。

攻撃シナリオの例

シナリオ #1: 不十分なネットワーク検出 ある企業には従業員のコンピュータなどのエンドポイントシステムや、社内アプリケーション用のサーバーなどの社内インフラストラクチャがあります。 社内サーバーにはその企業のビジネスプロセスにとって必須のデータを保管しています。すべての従業員のデバイスにはエンドポイント検出および対応ソフトウェアが導入されています。 ある従業員は悪意のあるソフトウェアであることに気づかず、誤ってマルウェアをダウンロードして実行してしまいます。 巧妙で高度に専門化されたサイバー犯罪グループである Advanced Persistent Threat (APT) がそのマルウェアを作成しており、EDR はそのマルウェアを検出できませんでした。 マルウェアは侵害した従業員のコンピュータから社内サーバーの一つを侵害できます。マルウェアはネットワーク内をラテラルムーブメントして、すべての社内サーバーを侵害します。 このネットワークには定性的な検出システムが存在しないため、これらのアクションは検出されません。 侵害後、マルウェアはサーバー上のすべてのデータを暗号化し、その企業はデータにアクセスできなくなり、そのためにビジネスプロセスを実行し続けることができなくなります。 その企業は EDR システムだけでなく、冗長化された完全な脅威検出および監視システムを導入して入れば、このような事態はふさげたはずです。

シナリオ #2: 不十分な異常検出 ある企業は従業員が重要なデータやファイルを共有するために社内サービスをホストします。 また、従業員が自宅で仕事ができるようにラップトップを提供し、仮想プライベートネットワーク (VPN) ソフトウェアを構成しています。 ある従業員のラップトップが電車に乗っている間にサイバー犯罪者によって盗まれ、そのラップトップとその従業員のアカウントにアクセスすることに成功しました。 サイバー犯罪者は社内共有を見つけ、すべての共有からファイルをダウンロードします。 異常検出がないため、その企業はこのデータ流出を検出できません。 異常検出があれば、大量のデータ転送や、従業員が一般的にアクセスしない共有へのアクセスに気付いたでしょう。 サイバー犯罪者はその後、流出したデータやファイルを競合企業に売却します。