Loading...
ブログとストーリー

Trustwaveブログ

Trustwaveブログは、ホットなトピック、トレンド、課題に取り組み、ベスト プラクティスを定義するエキスパートの洞察を通して、情報セキュリティの専門家を新たな高みへと導きます。

TrustwaveのSpiderLabsに注目 パート2:インシデントレスポンスとスレットハンティング

この2部構成のブログでは、TrustwaveのSpiderLabチームの概要を紹介します。SpiderLabチームは、新たな脅威の検知と分析、クライアントがセキュリティ侵害を検知、対応、復旧するための支援、独創的な研究とインテリジェンスによるサイバーセキュリティ分野の推進に専心しています。パート1は、こちらからご覧いただけます。

クライアント側のサイバーセキュリティ

TrustwaveのSpiderLabsは、Trustwaveマネージドディテクト&レスポンス(MDR)クライアントを含む、Trustwaveマネージドセキュリティサービス(MSS)クライアントで実行されるクライアント側の作業について責任を担っています。チームは、これらのクライアント側で、デジタルフォレンジック&インシデントレスポンス(DFIR)サービスの一環として、スレットハンティングとインシデントレスポンスに取り組んでいます。

スレットハンティング

TrustwaveのSpiderLabsは、自動ツールと非自動ツール(セキュリティ研究者など)からの膨大な数のクエリを介してイベント、アラート、データポイントを取り込む、スレットハンティングのハイブリッドフレームワークを開発しています。私たちは、基本的には、スレットハンティングを実際に深く掘り下げることができるツールのフレームワークを作成してきました。たとえば、クライアントが100のエンドポイントを擁する場合、私たちが必要なあらゆる情報をクエリできるEDRツールのバイナリ実行可能ファイルを各エンドポイントに接続できます。

このフレームワークを用いて、チームは、クライアントエンドポイント、環境的な脅威、ポート、廃れたソフトウェア、欠陥のあるまたは脆弱なインフラストラクチャおよびそれらのシステムで実行可能なすべてのこと、ランク付けできるカスタムハッシュデータベースを介したハッシュ、システム管理ツール、既知の資産、脅威が存在するかどうか見極めるために後から分析されるその他のデータポイントについて学習します。

従来のスレットハンティングは、通常、ネットワーク内の攻撃者を見つけるためのプロセスと考えられていますが、TrustwaveのSpiderLabsが採用しているハイブリッドフレームワークでは、さらに掘り下げて、既存の脆弱性、環境内の悪質な挙動、セキュリティハイジーン(衛生状態の管理)のその他の指標を特定できます。当社のスレットハンティングは攻撃者から始まり、セキュリティハイジーンで終わります。

このアプローチは、侵害段階に決して至らないことを念頭に、クライアントの環境内で脆弱性、古いバージョンのソフトウェア、Webサイトの欠陥をプロアクティブに分析する一方、既存のツールが脅威をブロック、検知、防御するために効果的に動作しているかどうかを分析するために役立ちます。

DFIR -ファーストレスポンダー(初期対応)

TrustwaveのSpiderLabsデータフォレンジック調査レスポンス(DFIR)チームは、侵害発生時、またはスレットハンティング、ペネトレーションテスト、机上演習でさらに深く掘り下げた調査が必要である事項が明らかになった場合のファーストレスポンダーです。

TrustwaveのSpiderLabsのDFIRチームを「スモークジャンパー(森林消防降下隊員)」に例えてみますと、彼らは組織に降下し、組織を管理して、イベントを沈静化し、ベストプラクティスを使用して実行された攻撃を特定します。チームは、TrustwaveのSpiderLabsの研究結果、リソース、ツールを使用して、フォレンジック分析を提供し、攻撃者、手法、使用されたツールを明確化します。DFIRは、基本的に、侵害がいつ、どのように発生し、背後に誰が潜んでいる可能性があるかを総合的に判断して攻撃の全貌を明らかにしたり、問題を引き起こしているマルウェアをリバースエンジニアリングしたりする役割を担っています。他の利点の1つは、チームが、キーの1打、または電話1本ですぐにコラボレートできる数百人のホワイトハッカー(エシカルハッカー)を擁していることです。

通常、調査はスレットハンティングツールとフィードを使用して開始され、侵害を抑制し、初期分析を実施します。侵害の重大度や会社の規模に応じて、最終的にかなり大規模な調査となる場合もあります。

とにかく、侵害の調査と分析に関して言えば、スピードが鍵です。10,000台以上のコンピュータを配備している企業なら、調査を通じて、多くの人々に迅速に動いてもらう必要があります。全体の目標は、すばやく調査することです。

より早く調査に着手するほど、より迅速にデータを収集できます。ただし、最も効率的な作業方法は、1人の担当者が最初の24時間のログを調べて対処し、侵害を制御して、影響を受けた組織が頼れる単一の問い合わせ窓口を設けることです。その担当者は、その後、「被害がいかに大きいか」を明確にし、抑制と綿密な分析に必要なリソースに作業を委任します。

自動ツールでは解明できない詳細を明確化できるように、可能なかぎり早く人的要素を調査に含めることが極めて重要です。自動ツールは表面しか見ていませんが、人は、その下を探れば、自動ツールが認識していない新たな手法が見つかる可能性があることを理解しています。それには、本当に優れたトレーニングとスキルセットが必要です。以前に観察されたことのない脅威または手法に関しては、自動ツールは、それを検知または分析するための装備が整っていません。

その場合、情報は研究チームに渡されます。研究チームは、他の会社や組織が以前に遭遇していないかどうか特定したり、新たな脅威の亜種、攻撃者、または手法によるものとして明らかにしたりすることができます。

Trustwave SpiderLabsのサイバーセキュリティへの貢献度

TrustwaveのSpiderLabsにおける継続的な研究は、サイバーセキュリティインテリジェンスコミュニティに現実的な改善をもたらしてきました。チームは新たな脆弱性を見つけると、責任ある開示プロセスに従い、脆弱性が公開される前にメーカー側で修正できるように、メーカーに警告します。たとえば、TrustwaveのSpiderLabsでは、通常、ベンダーが問題を綿密に調査し、パッチを開発するまでに最長90日間の猶予を設けており、確実に完了するためにチームがテストを支援することさえあります。ただし、リスク増加のシナリオ、たとえば、脆弱性の詳細が公開され議論されている場合や、問題が出回って悪用されている場合などには、チームは、より早い時期での公表を検討し、場合によっては数日中に詳細を開示します。全般的に、チームは1年に約10~12件の公開勧告を行う責任を担っており、ブログでも新たな脅威、傾向、挙動について取り上げています。

また、TrustwaveのSpiderLabsは、いくつかのサイバーインテリジェンス組織、その他のサイバーセキュリティ会社とも連携しており、インテリジェンスの交換と互いの取り組みからの成果の習得に特化した各種インテリジェンスパートナーシップにも属しています。

許可されている場合は、任意の情報またはチームがクライアントに対して行った作業内容も将来の参照のために使用できます。新たなデータと知識は、チームの今後の作業とTrustwaveツールの開発に組み込まれます。結果として、TrustwaveのSpiderLabsは、Trustwaveサービスと製品を改善するだけでなく、世界的なインテリジェンスリソースと能力を高めるためにも使用される新しい大量のサイバーセキュリティインテリジェンスを維持する責任を担っています。

TrustwaveのSpiderLabsがお客様の組織を保護するためにどのように役立つか確認するには、研究者、ペネトレーションテスト担当者、インシデントレスポンス担当者から成る、この精鋭グループの詳細はこちらをご覧ください。