SolarWindsの侵入とネットワーク検知および対応(NDR)の事例

SolarWindsの侵入とネットワーク検知および対応(NDR)の事例

SolarWindsの侵入とネットワーク検知および対応(NDR)の事例

SolarWindsの侵入と

ネットワーク検知

および対応(NDR)の事例

SolarWindsの侵入と

ネットワーク検知

および対応(NDR)の事例

By:
投稿者:
Marc Gemassmer
January 21, 2021

大規模な攻撃や侵害が発生するたびに、非難の声が殺到します。多くの場合、その非難の矛先はセキュリティ担当部署に向けられることが多いのですが、大抵の場合、担当者はすでに自由に使える時間とリソースで可能な限りのことを行っています。セキュリティ攻撃の被害にあってしまったら、誰のせいかという非難の矛先を見つけることは非生産的なことです。すべきことは、攻撃がどのようにして発生したのか、なぜ発生したのかを理解することが重要で、組織のセキュリティ対策と運用の管理方法を改善することにつながります。

例えば、現在も進行中のSolarWindsに関する侵害を考えてみましょう。この侵害は、多要素認証(MFA)、ネットワーク・サンドボックス、エンドポイントでの検出と対応(EDR)などの標準的な防御ツールをすべて迂回しました。攻撃者は、正規のツールを利用して悪意のあるアクションを実行し、すべての予防策を効果的に無効にする手段を取ったのです。

いったん侵入すると、攻撃者は複数の通信チャネル、フェーズ、ツールを使用して、インタラクティブなハンズオンキーボード制御を確立しました。各フェーズでは、侵入検知システム(IDS)ツールのシグネチャ、EDR、手動の脅威ハンティング、さらには機械学習(ML)ベース検知の一般的なアプローチを打破する技術を用いて、検知の可能性を最小限に抑えるように設計されています。

私のように詳細をじっくり理解したい人のために、以下の通り図にまとめました。

ネットワークの検知と対応(NDR)時代の到来

SolarWindsに関する侵害が示すように、従来のセキュリティソリューションでは十分ではない場合があり、さらにはそのソリューションを攻撃者によって操作される可能性さえあるのです。IDSがシグネチャに依存していることはよく知られていますが、これはセキュリティアナリストが攻撃を阻止するためには、攻撃のシグネチャを理解し、持っていなければならないということを意味しています。同様に、EDRはエンドポイントにはとても有効ですが、特定のベクトルしかカバーできません。SolarWindsに関する侵害はネットワークベースの攻撃であったため、EDRではその脅威に十分に対処できませんでした。追加されたMLベースの検出技術でさえ、役に立たない可能性があります。もちろん、これらの組織はSIEMまたはそれに類似したものを使用していますが、これらのツールは供給されたデータに依存しています。データが侵害されていないと考えられている場合や、供給データがない場合はSIEMが役に立ちません。SIEMにデータを供給するには、適切なデータが必要なのです。

その結果、脅威ハントを担当するチームは、いくら人員を増やしても対応しきれなく疲弊するということになります。攻撃に対するカバレッジは、端から端までしっかりしているように見えても十分ではないのです。

以上のことからネットワーク内部の検知、すなわちNDRが必要であることが明らかです。この検知はシグネチャに基づくものではなく、市販のML技術を使うこともできません。ホストとアイデンティティの両方を理解する振る舞いモデルを学習する必要があります。さらに、ネットワークには、ハイブリッド、オンプレミス、クラウドといったエコシステム全体が含まれていなければなりません

もちろん侵害によって大きな損失はありましたが、詳細を理解することで、セキュリティ運用の脆弱性を明らかにできました。そして、NDRのような新しい技術を導入することで対処できこともわかりました。

サイバー攻撃への対応方法を考え直したい方、Vectra社のCognitoがどのように攻撃者のツールや悪用を検知するのかについて詳しく知りたい方は、Vectra AI社のデモをぜひご体験ください。

About the author

Marc Gemassmer

Marc Gemassmer is the Chief Revenue Officer at Vectra. Marc oversees global Sales, Channels, Customer Success and Sales Engineering. With over 20 years of enterprise software experience. Marc brings deep expertise building global, high growth sales organizations with a customer first approach. Prior to Vectra Marc was the Chief Sales Officer at Xactly Corporation, GM of Global Cloud Security Sales at Cisco Systems and held senior leadership positions at Alteryx, SAP, Flexera Software and PTC. Marc holds a BA from the University of California at Berkeley.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

SolarWindsの侵入とネットワーク検知および対応(NDR)の事例

January 21, 2021
Read blog post
Threat detection

The SolarWinds Breach and its Case for Network Detection and Response (NDR)

January 21, 2021
Read blog post

Vectra’s Commitment to the Channel is Validated with the Launch of Our New Partner Program

July 9, 2020
Read blog post