Back to Blog ブログ一覧へ戻る

SolarWindsの侵入と

ネットワーク検知

および対応(NDR)の事例

By
Marc Gemassmer
|
January 21, 2021

大規模な攻撃や侵害が発生するたびに、非難の声が殺到します。多くの場合、その非難の矛先はセキュリティ担当部署に向けられることが多いのですが、大抵の場合、担当者はすでに自由に使える時間とリソースで可能な限りのことを行っています。セキュリティ攻撃の被害にあってしまったら、誰のせいかという非難の矛先を見つけることは非生産的なことです。すべきことは、攻撃がどのようにして発生したのか、なぜ発生したのかを理解することが重要で、組織のセキュリティ対策と運用の管理方法を改善することにつながります。

例えば、現在も進行中のSolarWindsに関する侵害を考えてみましょう。この侵害は、多要素認証(MFA)、ネットワーク・サンドボックス、エンドポイントでの検出と対応(EDR)などの標準的な防御ツールをすべて迂回しました。攻撃者は、正規のツールを利用して悪意のあるアクションを実行し、すべての予防策を効果的に無効にする手段を取ったのです。

いったん侵入すると、攻撃者は複数の通信チャネル、フェーズ、ツールを使用して、インタラクティブなハンズオンキーボード制御を確立しました。各フェーズでは、侵入検知システム(IDS)ツールのシグネチャ、EDR、手動の脅威ハンティング、さらには機械学習(ML)ベース検知の一般的なアプローチを打破する技術を用いて、検知の可能性を最小限に抑えるように設計されています。

私のように詳細をじっくり理解したい人のために、以下の通り図にまとめました。

ネットワークの検知と対応(NDR)時代の到来

SolarWindsに関する侵害が示すように、従来のセキュリティソリューションでは十分ではない場合があり、さらにはそのソリューションを攻撃者によって操作される可能性さえあるのです。IDSがシグネチャに依存していることはよく知られていますが、これはセキュリティアナリストが攻撃を阻止するためには、攻撃のシグネチャを理解し、持っていなければならないということを意味しています。同様に、EDRはエンドポイントにはとても有効ですが、特定のベクトルしかカバーできません。SolarWindsに関する侵害はネットワークベースの攻撃であったため、EDRではその脅威に十分に対処できませんでした。追加されたMLベースの検出技術でさえ、役に立たない可能性があります。もちろん、これらの組織はSIEMまたはそれに類似したものを使用していますが、これらのツールは供給されたデータに依存しています。データが侵害されていないと考えられている場合や、供給データがない場合はSIEMが役に立ちません。SIEMにデータを供給するには、適切なデータが必要なのです。

その結果、脅威ハントを担当するチームは、いくら人員を増やしても対応しきれなく疲弊するということになります。攻撃に対するカバレッジは、端から端までしっかりしているように見えても十分ではないのです。

以上のことからネットワーク内部の検知、すなわちNDRが必要であることが明らかです。この検知はシグネチャに基づくものではなく、市販のML技術を使うこともできません。ホストとアイデンティティの両方を理解する振る舞いモデルを学習する必要があります。さらに、ネットワークには、ハイブリッド、オンプレミス、クラウドといったエコシステム全体が含まれていなければなりません

もちろん侵害によって大きな損失はありましたが、詳細を理解することで、セキュリティ運用の脆弱性を明らかにできました。そして、NDRのような新しい技術を導入することで対処できこともわかりました。

サイバー攻撃への対応方法を考え直したい方、Vectra社のCognitoがどのように攻撃者のツールや悪用を検知するのかについて詳しく知りたい方は、Vectra AI社のデモをぜひご体験ください。