脅威検知と対応のためのガイド

脅威検知と対応のためのガイド

攻撃前に止めるTDR戦略

2024年7月19日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 Your Guide to Threat Detection and Response の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

昔から「予防は治療に勝る」ということわざがあります。
これはまさに、脅威検知と対応(TDR)の目的そのものです。
TDRとは、脅威を発見し、サイバー攻撃者がそれを悪用する前に修正または無効化するプロセスです。

この取り組みは、個人、組織、そして政府レベルで実施され、侵害や潜在的な被害を防ぐために行われます。
脅威に対応しないことは、被害者の評判を損ない、財務的な損失を招く可能性があります。

重要なポイント

  1. 脅威検知と対応(TDR)は、悪用される前に潜在的な脅威を特定し、無効化することを目的としています。
  2. 包括的なTDR戦略には、サイバーセキュリティの専門知識、テクノロジー、そして組織のあらゆる階層における意識が求められます。
  3. 効果的な脅威検知ツールへの投資は、組織がサイバー脅威に関連するリスクを管理するために不可欠です。
  4. 脅威検知においてAIによる自動化を活用することで、精度が向上し、セキュリティアナリストはより複雑な脅威への対応に集中できるようになります。
  5. 定期的な脆弱性評価と侵入テストは、ネットワーク内のセキュリティ上の弱点を理解し、対処するために極めて重要です。

脅威検知と対応(TDR)とは何か?

脅威検知と対応は、潜在的な脅威や脆弱性を特定し、報告するサイバーセキュリティの一般的な実践です。
TDRは、CISO(最高情報セキュリティ責任者)とそのチームがネットワークやシステムの侵害を複数のレベルで無効化するのに役立ちます。
効果的な脅威検知と対応の戦略とは、サイバーセキュリティの専門家、テクノロジー、そして全従業員の意識を組み合わせたものです。

IBMのX-Force脅威インテリジェンス・インデックスによると、2023年にはサイバー攻撃の70%が重要インフラ産業を標的にしていました。
この必要性は、分散したワークロード、クラウド導入、AIの導入により、今やこれまで以上に高まっています。
これらの要因は、もっともらしく見えるフィッシングメール、コード、グラフィックなどの作成を助長しています。

APT(高度持続的脅威)などの高度で標的型の攻撃は、従来のセキュリティ対策では検知されないことが多いです。
脅威検知システムは、長期間にわたって密かに活動する可能性のある高度な脅威を特定するために設計されています。
さらに、多くの業界や組織は、TDRを含むセキュリティ対策の実施を義務づける規制遵守基準の対象となっており、機密情報を保護する必要があります。

理想的な脅威検知と対応プログラムには何が含まれるのか?

理想的な脅威検出・対応プログラムの構成要素を示す図

有効なTDRプログラムを導入する際に妥協できない3つの要素は、「スピード」「正確性」「効果」です。
これらに加えて、以下の項目も満たす必要があります。

脅威検知と対応の戦略

実用的で効果的な脅威検知システムを確立するには、いくつかの手順を定めておく必要があります。
確立されたマニュアルが存在するわけではありませんが、ここでは一般的な進め方をご紹介します。

すべてのネットワークおよびシステム資産を特定する
プロセスは資産の特定(アセットディスカバリ)から始まります。
これは、あなたにとって重要であり、ハッカーによって侵害される可能性のあるすべてのリソースを特定することを意味します。

このリストには、クラウド、仮想環境、モバイルデバイスに加えて、オンプレミスのデバイスやサーバも含まれます。
このリストを作成することで、何を保護すべきか、そしてどのように保護すべきかを明確に把握できます。
脆弱性をスキャンする
脆弱性スキャンとは、前のステップで特定したネットワークおよびシステム資産に存在するセキュリティ上の抜け穴を発見し、報告するプロセスです。
この作業は、異常を検出し、事前に対策を講じ、攻撃者に悪用される前に脆弱性を修正するために攻撃対象領域を検査することを目的としています。

ただし、このプロセスには注意点もあります。
対象システムへのスキャンがエラーや再起動を引き起こし、一時的なダウンタイムや生産性の低下を招く可能性があります。
それでも、デメリットよりもメリットの方が大きいため、実施を避けるべきではありません。
ネットワークトラフィックを評価・監視する
ネットワークトラフィックを分析するために、チームメンバーや自動化ツールはセキュリティ上および運用上の異常を検出し、攻撃対象領域を縮小して資産を効率的に管理します。
このプロセスには、理想的には次のような手順が含まれます。
  • ネットワーク活動のリアルタイムおよび過去の記録を一覧化し、報告すること。
  • スパイウェア、トロイの木馬、ウイルス、ルートキットなどを検出すること。
  • ネットワーク速度の問題を修正すること。
  • 内部ネットワークの可視性を向上させ、盲点を排除すること。
脅威を隔離する
脅威の隔離とは、ユーザとエンドポイントをマルウェアから保護するために、メールおよびブラウザの活動を分離し、リモート環境で悪意のあるリンクやダウンロードをフィルタリングすることを指します。
過去には、組織はWebベースのマルウェアから保護するために、さまざまなセキュリティソリューションを採用していました。
これらのソリューションには、受信Webコンテンツをアルゴリズム的に分析して性質を判断する方法から、悪意のあるコードを含む可能性のあるWebサイトへのアクセスを防止する方法まで、さまざまな手法が含まれていました。

この目的のためによく使用されるセキュリティ製品には、WebプロキシやセキュアWebゲートウェイがあります。
レジデンシャルプロキシの文脈における脅威の隔離とは、ネットワークの整合性を損なう可能性のある悪意のある、または不審な活動を特定し、防止することを意味します。
レジデンシャルプロキシは、実際の住宅のIPアドレスを経由してインターネットトラフィックをルーティングする中継役として機能するため、検出やブロックがより困難になります。
トラップを仕掛ける
脅威検知と対応の次のステップでは、欺瞞技術を使用してトラップを仕掛けます。
これは、システム全体にデコイ(おとり)を配置し、実際の資産を模倣することでサイバー犯罪者を欺く手法です。

一般的なデコイには、ドメイン、データベース、ディレクトリ、サーバ、ソフトウェア、パスワード、パンくず情報(痕跡)などが含まれます。
もしハッカーがトラップに引っかかり、デコイに接触した場合、そのサーバは活動を記録・監視し、関係するサイバーセキュリティチームのメンバーに報告します。
脅威ハンティングを実施する
脅威ハンターは、手動および機械ベースの手法を用いて、自動化ツールでは検出されなかった可能性のあるセキュリティ脅威を特定します。
この作業に携わるアナリストは、マルウェアの種類、エクスプロイト、ネットワークプロトコルについての知識を持ち、ネットワーク、エンドポイント、およびセキュリティインフラを能動的に調査して、これまで検出されていなかった脅威や攻撃者を特定します。

脅威検知と対応におけるAI自動化の活用

脅威検出と対応におけるAI自動化の関与を示す図

AIの自動化は、生産性を落とすことなく、24時間体制で大量のデータを処理するのに役立ちます。
AIの導入により、精度が向上し、プロセスのスピードも上がります。
また、ネットワークトラフィックの監視、ログ管理、システムおよびユーザ行動の異常検知、非構造化データソースの分析などにも貢献します。

AIの進化により、SOC(セキュリティオペレーションセンター)のレベル1アナリストは、AIツールが従来の基本的な作業を処理できるため、より価値の高い業務に集中できるようになります。
アナリストは、複雑な脅威の分析、インシデント対応活動の調整、他のチームメンバーとの連携構築などに取り組むことが可能になります。
彼らの役割は、これらの自律システムの監督、指導、最適化へと移行し、組織全体のセキュリティ戦略と整合性を保つことが求められます。

脅威検知と対応ツール

脅威検知の範囲やセキュリティの考え方に基づき、セキュリティアナリストは以下のようなツールやテクノロジーの一つまたは複数を使用します。

クラウド検知と対応(CDR)
CDRソリューションは、クラウドプラットフォーム上のデータ、アプリケーション、インフラを保護する際の特有の課題に対応するよう設計されています。
これらのツールは、クラウド上の活動を監視し、潜在的なセキュリティインシデントを特定し、リスクを軽減するための迅速な対応を可能にします。
その結果、クラウドベースのシステムのセキュリティとコンプライアンスを確保することができます。
データ検知と対応(DDR)
DDRは、組織の攻撃対象領域内におけるデータセキュリティ、プライバシー、およびコンプライアンスに対応します。
静的な姿勢やリスク分析を超えて、コンテンツとコンテキストを考慮しながらリアルタイムで脆弱性を発見し、データを動的に保護します。
エンドポイント検知と対応(EDR)
EDRは、デスクトップ、ノートパソコン、モバイルデバイス、IoTデバイス、サーバ、ワークステーションなどのエンドポイントデバイスを保護します。
主な機能には、インシデント調査、隔離と封じ込め、フォレンジック分析、自動対応、他のセキュリティツールとの統合などがあります。
拡張検知と対応(XDR)
XDRは、基本的なEDRツールを超えた拡張機能を提供し、攻撃対象領域や資産に対する広範な可視性を実現します。
アイデンティティ脅威検知と対応(ITDR)
ITDRは、ユーザのアイデンティティ、権限、IDおよびアクセス管理システムへの攻撃を防止します。
これは、高度な検知技術と迅速な対応戦略を組み合わせることで実現されます。
ユーザおよびエンティティ行動分析(UEBA)
UEBA機能は、ユーザやエンティティの通常の行動を理解するのに役立ちます。
これにより、セキュリティ脅威を示す可能性のある異常または不審な活動を検知することができます。

脅威検知と対応ソリューション

脅威検知と対応ソリューションは、組織にとって不可欠なツールであり、ネットワークインフラ内に潜むサイバー脅威に対して能動的な対策を提供します。
これらのソリューションは、ネットワーク活動を継続的にスキャンおよび精査し、潜在的なセキュリティ侵害や悪意のある活動を迅速に特定します。

また、高度なアルゴリズムとパターン認識技術を活用して、セキュリティ脅威を示す可能性のある異常を検知します。
潜在的な脅威が検出されると、これらのソリューションはその深刻度と潜在的影響を即座に評価し、組織が迅速かつ的確な対応を取れるようにします。

Expert Insightsは、以下のような代表的なTDRソリューションを挙げています。

1.ESET
ESETは、ESET Inspectプログラム内で、リスク評価、脅威調査、脅威修復、暗号化機能を統合しています。
ESETは、柔軟なオンプレミスおよびクラウドベースの展開に対応しており、既存のセキュリティシステムとシームレスに統合できるAPIも備えています。
2.Heimdal
Heimdalの拡張検知と対応(XDR)プラットフォームは、強力な脅威検知機能を幅広く備えています。
AI/機械学習(ML)の力を活用し、ネットワークインフラ内の異常を予測し、脅威のパターンを明らかにします。
3.Rapid7
Rapid7 Threat Commandは、脅威インテリジェンス技術によって強化された大規模な脅威ライブラリを備えており、高度な脅威調査、管理、および監視機能を提供します。
4.Check Point
Check PointのInfinity SOCは、ネットワーク全体で異常を専門的に検知・追跡できる、能動的な脅威検知インテリジェンスシステムです。
さらに優れている点として、セキュリティパッチに関する通知を行うアラート機能も備えています。

まとめ

脅威検知と対応(TDR)テクノロジーは、強固なサイバーセキュリティ戦略の中核を成す重要な要素ですが、いくつかの制限も存在します。
これらには、誤検知や検知漏れ、可視性の欠如、暗号化の課題、互換性の問題などが含まれます。
しかしながら、その有効性はこれらの欠点を上回るものであり、技術は時間とともに進化し続ける資産であることを忘れてはなりません。

したがって、あらゆる規模・性質・業種の組織が、TDRアナリスト、ツール、プロトコルへの投資を行うべきです。
さらに、メール脅威への先手を打つことも、組織のドメインの健全性とセキュリティを確保するうえで極めて重要です。

PowerDMARCのクラウドベースのDMARCアナライザープラットフォームは、メールおよびドメイン名を保護するためのワンストップソリューションです。
PowerDMARCは、メールセキュリティに脅威インテリジェンスと脅威マッピング技術を取り入れ、あなたのドメインを装う悪意のある送信元を検知・遮断することを可能にします。
今すぐ無料トライアルで始めましょう!