この2部構成となるブログでは、TrustwaveのSpiderLabチームの概要を紹介します。SpiderLabチームは、新たな脅威の検出と分析、クライアントがセキュリティ侵害を検知、対応、復旧するための支援、独創的な研究とインテリジェンスによるサイバーセキュリティ分野の推進に専心しています。TrustwaveのSpiderLabsが何をしており、どのように活動しているかをより深く理解するために、SpiderLabsコンサルティング部門グローバルバイスプレジデントのMark Whitehead、セキュリティ研究部門バイスプレジデントのZiv Mador、およびサイバースレットディテクト&レスポンス部門バイスプレジデントのBrian Husseyに話を聞きました。
SpiderLabsの紹介
rustwaveのSpiderLabsは、新たな脅威、攻撃手法、民族/国家攻撃者と悪意のハッカーを探し、組織が日々直面する最新のリスクの種類を解明する、世界中のセキュリティ研究者、ホワイトハッカー(エシカルハッカー)、フォレンジックセキュリティ調査担当者、インシデントレスポンス担当者から構成されています。TrustwaveのSpiderLabsは、2005年に5人から発足し、組織的に成長を遂げ、今ではサイバーセキュリティ分野で最も実践的な経験を持つ200人以上のエキスパートが揃っています。
TrustwaveのSpiderLabsは、マネージドスレットディテクション&レスポンスおよびプロアクティブなテストと対応の取り組みによってTrustwaveクライアントを支援しており、セキュリティインテリジェンスコミュニティ全体を促進しながら、各社がセキュリティ侵害を防御、検知、復旧できるように推進しています。TrustwaveのSpiderLabsは、大規模なスレットインテリジェンスのデータベースを維持しています。チームは週あたり1,000万以上のデータポイントを採取するため、このデータベースは常に進化しています。
スレットインテリジェンス - 研究
TrustwaveのSpiderLabsチームは、日々クライアントイベント、アンチウイルスイベント、および侵入検知/防止システム、ネットワークエンドポイント、データベーススキャナ、ドメインコントローラ、ハニーポット、いくつかの他のセキュリティ製品からのイベントなど、数百万件のセキュリティイベントを収集しています。これらのイベントは、Trustwaveセキュリティオペレーションセンター(SOC)のグローバルネットワークに送られ、そこで、処理、解析、識別、監視され、対応方法が決定されます。
TrustwaveのSpiderLabsが維持している広大なスレットインテリジェンスによって、非常に多くの地点および環境からのイベントを効果的にモニタリングすることが可能となっています。そのデータは、マルウェアサンプルから、Emailの脅威、フィッシング攻撃、ビジネスメール詐欺(BEC)、不正なコード、ネットワーク脅威、Webベースの脅威まで、広範にわたっています。しかし、チームは脅威のみを検索しているわけではありません。パッチのギャップ、廃れたまたは脆弱なソフトウェア、確立済みのポリシーに違反したデータベースへのアクセスと要求、および脆弱なセキュリティハイジーン(衛生状態の管理)、その他の兆候など、組織内のセキュリティ問題を識別することもできます。
TrustwaveのSpiderLabsホワイトハッカー(エシカルハッカー)は、独自の積極的な研究を実施し、さまざな環境とソフトウェアで新たな攻撃手法をテストしています。それによって、先手を打ってハッカーを阻止し、メーカーに通知し、脆弱性が攻撃者によって悪用される前に、パッチを適用することができます。
また、特化したチームは、ダークウェブ、犯罪者フォーラム、ハッカーフォーラムをモニタリングし、開発されているハッカーツールの種類、共有されているエクスプロイト、悪意のハッカーとハッカーグループがそれぞれのサービスをアドバタイズしている方法、マルウェアの使用方法、標的としている会社を明らかにしています。
全員が協力することで、チームは新種の脅威、挙動、傾向を明確化することができ、クライアントとサイバーセキュリティインテリジェンスコミュニティ全体でそれらの情報を共有できます。さらに、TrustwaveのSpiderLabs研究者は、この知識を使用して、当社のマネージドセキュリティ、セキュアEmailゲートウェイ、Trustwave DbProtect、各種スキャナのサービスラインを含む、さまざまな製品ラインの検知ルールを作成および更新しています。
積極的な防御 – ペネトレーションテスト、パープルチームおよび机上演習
TrustwaveのSpiderLabsには、ホワイトハッカー(エシカルハッカー)とも呼ばれるペネトレーションテスト担当のエキスパートから成る世界的なチームもあり、クライアントの環境でフィッシングとハッキングの模擬攻撃を実施しています。これによって、クライアントの防御、プロセス、プロトコルが基準に達していることを確認し、コンプライアンス違反の可能性のあるものをフラグ付けすることもできます。アプリケーション、モバイル、クラウドリソース、またはBring Your Own Devices(BYOD)ポリシーを活用している組織の場合、TrustwaveのSpiderLabsは、最も機微に触れるデータへのアクセスを模索している敵対者の視点でそれらをテストする方法を心得ています。ただし、それらのペネトレーションテストは、単なるリモート攻撃を遥かに超えています。
チームは、高度な持続的脅威(APT)、攻撃、デジタルフットプリントにおける脆弱性の継続的な検索をシミュレートした高度なテストを実施します。さらに、会社の本社までを範疇に含め、ビルのWi-Fiをスニフィングできるかどうか調べ、その方法を見い出し、ソーシャルエンジニアリング攻撃まで実施します。また、組織の防御担当者と協力してそれらのシミュレーションを実行することで、敵対者がパープルチーム演習で利用する前に、脆弱性を明らかにすることができます。TrustwaveのSpiderLabsの目標は、このようなすべての取り組みを通じて、サイバー攻撃に対するデジタル回復力を高めることです。
クライアントが侵害の可能性に備えることができるように、チームは、机上演習と呼ばれる取り組みも行っています。これは、デジタルフォレンジックと調査において抽出された専門知識を活かして、侵害発生時の組織の挙動をシミュレートします。Markが、回答する質問の一部を以下に挙げています:
- 侵害が発生した場合、誰が招集されますか?
- 通信の分岐は何ですか?
- 侵害をどのように抑制しますか?修正、パッチの適用、または分離は可能ですか?
- 組織とセキュリティ部門はどのぐらい迅速に結集できますか?
この実践的なアプローチは、組織がセキュリティ侵害を仮定した一連の動作を体験し、これまで気付いていなかった対応面に潜在するギャップを明らかにするために役立ちます。
SpiderLabsのスレットインテリジェンス使用方法
TrustwaveのSpiderLabsが収集したすべての研究結果と情報を使用して、チームは、新しいツールの開発、潜在する脆弱性のメーカーへのアラート、コミュニティとのスレットインテリジェンスの共有、およびTrustwaveクライアントで実行される管理対象作業への情報の提供を行うことができます。
TrustwaveのSpiderLabsによって実施される研究と実世界でのテストの一部はブログで公開されています。ブログでは、新種の攻撃手法、出回っていることが観察された活発な攻撃、ダークウェブで検索された情報まで、詳しく説明されています。また、チームは、組織が認識する必要がある最近の脅威、挙動、傾向を詳解した年報のTrustwaveグローバルセキュリティレポートを作成する責任も担っています。
この記事のパート2では、TrustwaveのSpiderLabsチームがTrustwaveクライアントおよびインテリジェンスコミュニティとそれぞれどのように連携しているかについて詳しく見ていきます。
TrustwaveのSpiderLabsがお客様の組織を保護するためにどのように役立つか確認するには、研究者、ペネトレーションテスト担当者、インシデントレスポンス担当者から成る、この精鋭グループの詳細をご覧ください。