Blog - article

特権アクセス分析

特権アクセス分析

特権アクセス分析

By:
投稿者:
Vectra
September 9, 2019

はじめに

Vectra AI社は、設立当初からホストデバイスに主眼を置いてきました。その理由は、攻撃者の行動を分析するためにCognitoプラットフォームが使用するネットワークトラフィックが、結果的にホストというエンティティで発生するからです。

また同時に、ホストは攻撃者が攻撃中に主導権を握って悪用したい対象でもあるため、修復を行う必要もあります。攻撃者の行動検出は、発生元であるホストに起因するため、その観点から全体を俯瞰することは理にかなっています。

Cognitoでは、今月発表が行われた  Vectra Privileged Access Analytics(PAA、特権アクセス分析)機能によって、アカウントに対する視野をさらに拡大しています。

Privileged Access  Analytics (PAA) 開発の背景

攻撃者は、一旦ネットワークに侵入すると、対象となる環境の構成やどんなシステムが存在するかを把握するための偵察を開始します。また、アクセス範囲を広げるために権限の昇格を行います。特権を持つ認証情報の獲得は、攻撃者の戦略において重要なパートであり、ネットワーク上に存在する付加価値の高い標的を狙うために必須となります。

Vectra AI社では、攻撃者の立場を想定して思考を重ねることによって、新たなテクノロジー創造への道を切り開く多くのインサイトを得ることができました。Cognitoのセキュリティ調査チームは、アカウントへの最適な対応方法を検討する際、攻撃者の視点から、システム環境内のアカウント、ホスト、あるいはサービスが持つアクセス権と特権の重要性に着目しました。

Privileged Access  Analytics とは?

Cognito プラットフォームでは、Vectra Privileged Access Analytics (PAA) を活用することによって、アカウントや特権に関する対応を実現しています。PAA の基盤となるのは、ネットワーク上でやり取りを行うアカウント、ホスト、サービスの特権を、観察、推測、そして理解するための特許出願中のテクノロジーです。

これらの特権レベルは、Cognito Stream と Cognito Recall に表示されるメタデータの拡張機能として公開されており、セキュリティアナリストや脅威ハンターは、エンティティの特権レベルでクエリやフィルターを使用して調査を進めることができます。

PAA の特権レベルは、より高い特権を持つアカウント、ホスト、そしてサービスの相互のやり取りだけを参照する新しい検出モデルの基礎となります。またこれらは、攻撃者の興味を引き付ける対象となります。特権を持つエンティティだけに焦点を絞ればよいため、その動きをさらに詳しく調べる余裕が生まれます。

この結果、管理者アカウントおよびサービスアカウントに対する攻撃者の振る舞いや、異常で悪意ある行動に使用されるホストを高い精度で検知することができます。正にこれは、セキュリティチームが調査に時間を費やすべき対象と言えます。

さらにPAA は、ここ数年間で最も重要となる変更の1つをCognito UI にもたらします:それは、アカウントベースの視点の追加です。検知結果に関連したアカウントには、脅威と確信度に関するスコアが付与され、ホストと同様に2次元チャート上に表示されます。

トラックされた各アカウントには個別のページが割り当てられ、関連する検知結果や状況の詳細が表示されます。観察されたアカウント、ホスト、そしてサービスの特権レベルは、Cognito UI からも確認できるため、アナリストもまた、この新しい視点や検知結果を利用することができます。

動作の仕組み

基本的にPAA が問題にするのは、実際に観察された特権です。これは、セキュリティ関連のコミュニティに参加する多くの人々に馴染みのある、許諾済みの特権とは異なる概念です。

観察された特権は、アカウントまたはネットワーク上で使用されるホスト、やり取りされるサービス、さらにやり取りの対象となる相手の数などによって決定されます。許諾済み権限は、アカウントが属するディレクトリサーバー内のグループに付与された権限をベースにしています。

例えばドメイン管理者のようなアカウントは、ネットワーク全体のシステムにアクセスできる権限を持っている場合があります。

しかし該当アカウントが、その目的に向け使用されることは稀です。このため観察された特権は、ネットワーク上の数千のシステムに任意のコードをロードして実行することができるサービスアカウントの特権よりも、そのレベルが低くなる可能性があります。これらの認証情報は、そのいずれもが攻撃者にとって非常に魅力的なものになります。しかしサービスアカウントの場合には、さらに高い特権が観察されるはずです。

特権による違い

アカウントベースの分析を行う UBA や受け継がれている手法では、全てのアカウントを同等に取り扱うため、セキュリティアナリストが全てを解析することが困難なほどの、膨大な量の検知結果を発生させることになります。また特権アクセス管理のような防止を基本とした手法は、ポリシーの適用を前提にしています。

Cognito PAA が使用している観察結果に基づく手法は、特権エンティティに焦点を当て、予防的手法が見落としがちな悪意ある行動を浮き彫りにできる検知機能を提供します。

内部の不正者、または外部の攻撃者によるものかに関わらず、観察された特権は、行動の基準値を確立し理解するために不可欠となる重要なポイントになります。中程度の特権を持つ管理者が、異常なまでに高い特権サービスにアクセスを開始すると、PAA が警告を発します。しかし、許諾済み特権をベースにする世界であれば、これは許される行為になります。

まとめ

Cognito PAA は、これまでとは完全に異なる、攻撃の活動フェーズにおける脅威動作を観察する方法です。PAA は既に提供が可能であり、Vectra  AI社の全ての既存顧客や評価者の方々は、すぐにご利用頂くことが可能です。特権エンティティの監視や保護に対するアプローチを変えたいとお考えの場合には、是非、 Vectra  AI社までご連絡ください。

About the author

Vectra

Vectra® is the world leader in AI-powered network detection and response.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Achieving Threat Hunting Consistency with the MITRE ATT&CK Matrix

December 13, 2019
Read blog post
Security operations

Vectra SaaS Detections – Office 365

February 11, 2020
Read blog post
Integration

Cybereasonとの連携:完全な可視化と素早い対応を可能に

February 25, 2020
Read blog post