CISOが朝目覚めると、新聞の一面に自分の会社の名前がでていました。
よいニュースではありません。たとえば、企業データがPastebinに投稿されてしまった、というような見出しです。これは多くの企業に実際に起こった悪夢です。シンガポールもその1つで、2018年に、150万人の市民(リーシェンロン首相含む)の医療データがハッカーに盗まれました。
……あるいは、ハッカーや国家的脅威グループの攻撃を受けたというニュースではなく、悪意のある内部関係者についてのニュースかもしれません。広報でよくある言い回しでいうと、「雇用主の信頼を裏切り、違法行為を行った悪意のある従業員」です。たとえば、Hell社のITアドミン請負業者がクライアントのドメインを奪って1万ドルの身代金を要求し、身代金の支払いが拒否されると、サイトをteen[sexual orientation][bodypart].comにリダイレクトするように設定した、という事件がありました。
最終的にFBIから電話がかかってくるような悪いニュースに社名が出てしまう、というサイバー セキュリティの悲劇は数多く起こっています。記者や地方検事は誰が、何を、どうしたのかに注目しますが、企業のセキュリティオペレーションセンター(SOC)にとって最も重要なのは、どのように攻撃が発生したかというストーリーラインと、誰の責任で、どのように問題を軽減させるかということです。しかし、疑わしいものと普通のシステムアクティビティの両方を含む大量のデータからこれらを発見するのは困難なので、こういったストーリーラインについてはあまり語られません。そして疑わしいデータも、結局は無害なシステム異常でセキュリティチームがムダ骨を折っただけ、となることがよくあります。
こういった複雑なストーリーラインは、大抵システムのエンドポイントから始まります。こういったエンドポイントとは、例えば従業員が駐車場でUSBデバイスを見つけ、中に何が入っているかを確かめようと接続したPCであったり、またメールで届いた悪意のある添付PDFファイルを開いてしまったPCであったりします。
このように非常に多くの攻撃が発生するエンドポイントは可視化する必要があります。SANS Instituteの2018年の調査によると、回答者のうち42%が最低でも1回、エンドポイントを侵害されて、データの暴露、抜き出し、または事業の中断などを経験していました。さらに、暗号化はエンドポイントでは防止策にはなりません。エンドポイントではネットワークとプロセスアクティビティが行われ、外部デバイスのモニタリングも行えます。たとえば、USBを差し込んだのは誰で、… いつ、どこで行われたか、ということを監視できます。
多すぎるデータポイントと不十分な回答
回答を与えてくれるようなエンドポイントモニタリングが存在しないわけではありません。EPP(エンドポイント保護プラットフォーム)を使っていた時より、今は格段に可視化できています。EPPはウイルスシグネチャを使用する製品であり、メモリベースのマルウェア、ラテラルムーブメント、 ファイルレスマルウェア、ゼロデイ攻撃は検知できません。
問題は、EPPはエンドポイントは保護できるかもしれないものの、脅威は可視性してくれないということです。第一世代のEDR(エンドポイントでの脅威検知とインシデント対応)ツールは、EPPでは提供できない可視性を得たいというニーズから生まれた副産物でした。ただしこの世代のEDR(ここではパッシブEDR とします)は、データは提供してくれますが、コンテキストは提供しません。パズルのピースはあるものの全体像は見えないのです。
内蔵の受け身のエンドポイントモニタリングでは、Windowsイベントログで、その不正なUSBが仮想キーボードでPowerShellを起動したこと、ログクリアなどの高度なテクニックを使用したこと、攻撃を長引かせるためにバックドアをインストールしたこと、認証情報を盗んでログインしたこと、ログインに1回失敗したこと、特権を昇格させたこと、ログを消したこと、新しいローカルユーザーを追加してアドミニグループに入れたこと、などといったことがわかるだけで、これらを総合的に理解することは困難です。
デモでは素晴らしく見えたかもしれませんが実際使ってみるとどうでしょう。こういった大量のデータから何かを発見できるでしょうか?経験豊富で熟練した一握りのセキュリティアナリストであればできるかもしれません。しかしこういったアナリストはほとんどいません。それに彼らにも眠る時間が必要です。つまり、深夜に攻撃が発生した場合、アナリストが朝起きて仕事にとりかかり、どこで、誰が、何を、どのように、を解き明かす前に、攻撃者に十分な滞留時間を与えてしまうことになります。
CISOに必要なのは、関連性のないこまごまとした攻撃データではなく、手がかりです。犯人はUSBドライブを持った請負業者なのか、国家に支援されている脅威グループなのか?脅威はもう抑え込めたのか?その場合どのくらいの期間脅威がアクティブだったか?SOCの希少なアナリストのうちの誰が、パッシブEDRが生み出すデータの津波を分析しているか?
振る舞いAIと?どんなメリットがあるのか?
攻撃を受けた後は、どのような作業が行われるでしょうか。2つ可能性があります。1つはよくご存知のとおり、パッシブEDRから生成されたすべてのアラートや異常をセキュリティアナリストがふるいにかけるという作業です。こういった調査には時間とスキルが必要になりますが、そのようなスキルを持つ人材は非常に稀です。ランダムなバグから本当のエクスプロイトを見つけるのは小麦をもみ殻から選り分けるようなものであるため、そういったノウハウを持ちセキュリティプラットフォームを活用できる専門性を持つ人材を見つけ、トレーニングし、離職しないように維持することは非常に困難です。
もう1つはストーリーラインに関係します。個別のデータポイントすべてをコンテキスト化して、理解しやすいストーリーに作り上げるのです。SentinelOneではこれをActiveEDRと呼んでいます。これは振る舞いAIモデルで、これにより、確保が困難なアナリストのスキルにだけ頼らず、ネットワークにつながるすべてのデバイスの状況を24時間記録してコンテキスト化できるようになります。
SentinelOneの振る舞いAIエンジンは、SentinelOneがストーリーライン(筋書き)と呼ぶものを生成します。これはインシデントをさかのぼって、侵害の痕跡(IOC)から誰の仕業かを見つけるためのフットプリントのことを指します。これもEDRですが、上記のパッシブEDRとは異なります。従来のEDRは、個々のアクティビティを検索して、一つ一つ順番に相関付けようとします。これは長い時間とスキルを要し、さらに悪いことにこれは事後に全体像を把握しようとする試みにすぎません。
SentinelOneのActiveEDRテクノロジーは、アナリストではなくマシンが作業を行います。デバイス上のすべてを追跡してコンテキスト化し、悪意ある行為をリアルタイムで識別し、必要な対応を自動化します。アナリストが自分で作業したい場合は、ActiveEDRを用いて1つのIOCからフルサーチを行うことで、簡単に脅威ハンティングができます。
ActiveEDRは他のEDRソリューションとは異なり、クラウド接続していなくても検知が可能で、脅威の滞留時間を短縮できます。各デバイス上のAIエージェントはクラウドに接続していない時でも決断を実行できます。エンドポイントで何が起こっているかというストーリーを常に提供し、悪意ある振る舞いを検知した場合は、悪意あるファイルやプロセスを抑制するだけでなくストーリーライン全体をシャットダウンしたり、さらには自動的に元に戻すこともできます。
なぜActiveEDRはファイル攻撃やファイルレス攻撃を効果的に阻止できるのか?
最新の攻撃は、ファイルを使わず、フットプリントを残さず、インメモリのファイルレスマルウェアを使用して、一部の高度なものを除くほとんどのセキュリティソリューションを回避します。しかしActiveEDRはこれらも含めすべてを追跡するので、すでに認証情報を入手している攻撃者や、自給自足型(LotL)の攻撃も検知できます。自給自足型とはファイルレス、マルウェアレスの攻撃で、攻撃対象のシステム自身の正規のネイティブツールを使うため、ネットワークに溶け込み、正規のプロセスに紛れ込んで気付かれることなく攻撃を仕掛けてきます。
振る舞いAI – 実際のシナリオ
では、これが実際にどのように行われるのか、サンプルシナリオをみてみましょう。まずFBIから電話がかかってきて、あなたの認証情報がPastebinに投稿されていることを知らされます。そこで、どうやって認証情報が投稿されてしまったのかを調べるため、Deep Visibility Threat Huntingモジュールを検索します。 ディープビジビリティはSentinelOneのストーリーラインのアウトプットで、リファレンス(この例では、Pastebinへのリファレンス)を検索して迅速に脅威ハンティングを行います。
ストーリーラインでは、自律型エンドポイントAIエージェントがエンドポイントインフラストラクチャモデルとリアルタイムの振る舞いモデルを構築し、それにストーリーラインID(関連イベントのグループに付与されるID)を割り当てます。 「Pastebin」で検索するとストーリーラインIDが見つかり、それにマッチするすべての関連プロセス、ファイル、スレッド、イベント、その他のデータを引き出せます。ディープビジビリティはすべてのデータをコンテキストにして提供(状況、関係性、アクティビティなど)するので、脅威の根本原因を迅速に解明できます。
各デバイスエージェントは自動または手動で攻撃の除去、システムのロールバック、ネットワークの切断、リモートシェルなどを実行できます。これらすべてがワンクリックで自動実行できます。実行にかかる時間はわずか数秒です。データをクラウドにアップロードする必要はないので、人がデータを見ることもできます。分析はすべてエージェント上で行われるため、クラウド分析は必要ありません。
できる限り自動化することで多くの問題が解決します。まず、違反行為を認識できるので、シグネチャを使わなくてもファイルベースの攻撃を発見できます。また、ファイルレス攻撃の防止や予測もできます。
SentinenlOneのエンドポイント保護は攻撃が実行される前に阻止します。攻撃がPDFやWordやその他のフォーマットでも対応可能です。最初のステップは分析で、何か不審なものがないかを探し、あれば隔離します。このステップをパスしてコードが実行されると、次のステップとしてActiveEDRが実行されます。これはエージェントでの脅威検知とインシデント対応などを行う自律型の自動脅威ハンティングメカニズムで、異常な動作を探します。例えば、Wordファイルを開いたことによりPowerShellが生成され、インターネットで何かをフェッチしてくるなどといった動作を探します。これはほとんどの場合、良くないものの、正常な動作です。ActiveEDRはオペレーティングシステム上のすべての動作を開始から終了まで、1秒、1か月、またはそれ以上の一連のストーリーとして追跡します。この技術で継続的に振る舞いを評価して不正を確認することができます。
振る舞いAI支援でヒューマンタッチを実現
上記はプラスにはなるもののすべては捕捉できないため十分ではありません。そこで、ActiveEDRの脅威ハンティング機能が役立ちます。この機能が、SentinelOneがファイル攻撃とファイルレス攻撃で定評のある理由でもあります。
例えば、Pastebinへの通信を何度も繰り返しているデバイスがあったとします。SentinelOneコンソールでストーリーラインIDをクリックすると、攻撃ストーリーが表示されます。これには関連するすべてのコンテキストが含まれ、また攻撃発生元のハイレベルな図と、その攻撃が引き起こしたプロセスツリーのタイムライン、つまりMicrosoft Wordドキュメントが開かれ、Windows PowerShellが生成され、そのシェルがさらに7つのプロセスを生成した、というような内容も含まれます。Storylineにはコマンドライン引数も含まれるので、研究者はこれを基にして攻撃を完全に理解できます。こういったコンテキストはインシデント対応チーム全員で取り組んで作成する必要はなく、ただ1つのクエリで生成できるのです。
AIアシスタント(ネットワーク上の全デバイスに常駐するAIエージェント)は時間を大幅に節約してくれます。これによって人員に無意味な分析をさせる必要がなくなります。
これで安心して眠りにつけます
緊急出動はもう必要ありません。
振る舞いAIは自動対応が可能なため、強力なゲームチェンジャーとなります。このテクノロジーではクラウドに接続しなくてもデバイス上で何をすべきか決定でき、また人の介入も不要です。ActiveEDRをDetect(検知)に設定するとコンテキスト化したアラートを受け取ることができます。またProtect(保護)に設定すると、罠が仕掛けられたWord文書は単純にブロックされます。人による作業は必要ありません。ユーザーがWordファイルを開こうとしたときに脅威検知を行い、ブロックし、迅速に削除します。ActiveEDRをProtect(保護)に設定している場合は、攻撃ストーリーライン上では、攻撃が外部と通信を開始する前にブロックされたことが表示されます。
振る舞いAIエージェントはエンドポイントの全デバイスに組み込まれ、不正な動作を即座に阻止します。しかしそれがブロックすべき動作ではなかった場合は、事後に簡単にロールバックもできます。また人とは違いSentinelOneの振る舞いAI – ActiveEDR –は眠る必要もなく、5時に退勤することもありません。
振る舞いAIによる自動リスク緩和で、データの漏えいを回避でき、ニュースの見出しを飾ることもFBIから電話がかかってくることもなくなります。
SentinelOneの振る舞いAI、そしてその効果や仕組みについてはこちらにお問い合わせいただくか、無償のデモをお試しください。