以前の記事では、 Sqrrl社のThreat Hunting Reference Model(Threat Hunting参照モデル)という考え方から、The Hunting Loopという考え方を紹介しました。
今回は、その中からThe Hunting Maturity Model(HMM)とThe Hunt Matrixいう考え方を取り上げてみたいと思います。
キーワード6:The Hunting Maturity Model
The Hunting Maturity Model(ハンティング成熟度モデル)とは、その名の通り組織がよいハンティングをできるかどうか判断するための成熟度を示したモデルです。Sqrrl社の定義では5段階(HM0~HM4)までの指標を定義しています。(図はSqrrl社のレポートから引用)
Sqrrl社はこのモデルを自社のHunting Teamを構築する、あるいは改善する際のロードマップとして利用することを推奨しています。
いかに各成熟度に関して、説明してみたいと思います。
HM0:Initial
HM0とは、本質的に、IT環境における悪意のあるアクティビティを検知するため、IDS・SIEM・アンチウイルス製品などの自動アラートツールに依存している状態と定義されています。
組織によっては、シグネチャの更新、脅威情報の指標などの独自のフィードを組み込んだり、独自シグネチャや指標を作成している可能性もありますが、基本的にはフィードは直接監視システムに渡しており、アナリスト(人間)はアラートの内容の解決に集中している状態です。
HM0に分類される組織は、ITシステムから多くの情報を収集することもできないため、脅威を事前に検出する能力は低く、Proactiveに行われるべきThreat Huntingは難しいと考えられます。
HM1:Minimal
HM1の組織は、インシデント対応プロセスを推進するための自動アラートに頼ってますが、ITデータの定期的収集を行っている点でHM0の組織と異なります。これらの組織は、Threat Intelligenceによる検知を目指しています。多くの場合、オープンソースとクローズドな情報源の組み合わせから最新の脅威を把握しています。
HM1の組織は、IT環境から少なくとも数種類のデータをSIEM・ログ管理製品などの統合管理する仕組みに集約しています。そのため、新たな脅威が注目されると、アナリストはこれらのレポートから主要となる指標を抽出し、過去のデータを検索して、少なくとも最近の過去に同様の事象が発生してるか調べることができます。 この検索機能を備えているため、HM1はThreat Huntingができる最低限の基準を満たしていると考えられます。
HM2:Procedural
HM2の組織は、他の人が開発したThreat Huntingの手順を学び、定期的に実施できるレベルと定義されます。ここでいう「手順」とは、悪意のある特定の事象を発見するため、特定のデータと特定の分析手法を組みあわせた基本的なものを意味します。(例えば、ホスト上で自動的に実行されるプログラムの一覧を収集して、マルウェアを検知するなど)
多少の変更は可能ですが、自分たち自身でプロセスを開発できるレベルには達していないレベルです。これが、Threat Hunting Programを組織内に持つ平均的なレベルだと考えられます。
HM3:Innovative
HM3の組織は、さまざまな種類のデータ分析手法を理解し、悪意のある活動を識別するためにデータ分析を活用できるハンターが少なくても小数いる組織です。他の組織によって作成された手順に依存する代わりに、これらの組織は自社独自の手順を作成し、場合によっては公開しています。 分析スキルに関する成熟度は問いませんが、これらの技術を適用して繰り返し実施可能な手順を持っていることです(そして、それらの手順は文書化されており、繰り返し実施されていることも含まれます)
データ収集レベルは、HM2以上であることがこのレベルに達する条件です。
HM3の組織は、効率的に脅威を発見・対応する技術を持っていますが、独自のプロセスが高度化するにつれて、必要な時間内にプロセスを終了できない拡張性(スケーラビリティ)の問題に直面します。
HM4:Leading
HM4の組織は、本質的にHM3の組織と同じですが、1つ「自動化に成功している」という点で大きく違いがあります。HM4の組織では、全てのハンティング・プロセスが運用手順化されており、自動化されています。そのため、アナリストは新しいプロセスやプロセスの改善に時間を割くことができます。
HM0とHM4の違いとは?
ここまで読んでくると、HM0とHM4の違いに悩みます。どちらも自動化されたオペレーションが推奨されており、下手すると同じに見えます。いったい何が違うのでしょうか?
Sqrrl社は以下のように説明しています。
HM0の組織は、基本的にツールによる検知内容に完全に依存しており、仮に脅威を見つけたとしても本質的にプロセスを変更・改善できないチームのことを意味します。薗一方、HM4のプロセスは、あくまで自動化は負荷を減らすための手段として捕らえており、常に新しい脅威に対してプロセスを変更したり、新しい手法を試すことができる組織だと述べています。
キーワード7:The Hunt Matrix
The Hunt Matrixとは、The Hunting Maturity Model(HMM)とThe Hunting Loopの考え方を合成した考えかたです。
但し、個人的には、HMMの定義は定性的で曖昧であり、各Hunting Loopで何ができているべきかを示したこのHunt MatrixをHunting Maturityを図るための指標として考えたほうがわかりやすいと思います。
- HM0:Initial
- Ph.0 データ収集:データ収集なし、もしくは少々
- Ph.1 仮説作成:既存の自動アラート(IDS・SIEM・FW)に対する対応
- Ph.2 仮説検証:プロアクティブな調査はせず、アラート・SIEMの検証のみ
- Ph.3 TPP発見:なし(IDS・SIMEなどに依存)
- Ph.4 分析の自動化:なし
- HM1:Minimal
- Ph.0 データ収集:IT環境から一部の重要なデータを収集
- Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照
- Ph.2 仮説検証:SIEMやログ分析ツールを活用し、基本的な検索が実施可能
- Ph.3 TPP発見:痛みのピラミッドの下部レベルのIOCを作成可能
- Ph.4 分析の自動化:Threat Intelligenceのデータを自動アラートに組み込むことが可能
- HM2:Procedural
- Ph.0 データ収集:IT環境から多数の重要なデータを収集
- Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解していること
- Ph.2 仮説検証:既存の分析手順に従い、データ分析・統計分析ができること
- Ph.3 TPP発見:痛みのピラミッドの下部~中部レベルのIOCを作成可能で、現在の傾向にあわせて利用できること
- Ph.4 分析の自動化:効率的なThreat Intelligence用のライブラリを作成して、定期的に実行できること
- HM3:Innovative
- Ph.0 データ収集:IT環境から多数の重要なデータを収集
- Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解し、かつCrown Jewel分析などの手動によるリスク分析ができていること
- Ph.2 仮説検証:グラフ分析や可視化を使った分析ができること。新しい手順が構築できること。
- Ph.3 TPP発見:攻撃者のTTPを発見でき、痛みのピラミッドの上部レベルのIOCを作成可能であること
- Ph.4 分析の自動化:効率的なThreat Intelligence用のライブラリを作成して、定期的に実行できる基盤を持っていること。また、基本的なデータ分析技術を採用していること。
- HM4:Leading
- Ph.0 データ収集:IT環境から多数の重要なデータを収集
- Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解し、かつCrown Jewel分析などの手動によるリスク分析ができていること
- Ph.2 仮説検証:高度なグラフ分析や可視化を使った分析ができること。新しい手順を公開して、自動化できること。
- Ph.3 TPP発見:自動的に攻撃者の複雑なTTPを発見でき、攻撃キャンペーンを追跡できること。ISACなどにIOC情報を定期的に提供していること
- Ph.4 分析の自動化:ハンティング・プロセスを自動化して、継続的に改善できること。また、高度なデータ分析技術を採用していること。
まとめ
The Hunting Maturity Model(ハンティング成熟度モデル)とHunt Matrixは成熟度や目指すべきゴールを知る上で非常に重要なツールです。ぜひ皆様の組織でも自社内の成熟度を評価してみることをお勧めします。