セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

脅威の検知レイヤーモデル

(修正履歴)一部追記しました。@  2019.02.10

現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。

時間軸による検知レイヤーモデル

色々な考え方があるますが、検知のインプットは大きく4種類あると考えています。

  • Signiture Based(シグニチャに基づく検知)
  • Behavior Based(振る舞い検知)
  • Cyber Threat Intelligence(脅威情報)
  • Threat Hunting(スレット・ハンティング)

上記の図では、その4つのインプットを時間軸、特性から分類をしています。

f:id:security_consultant:20171213000951p:plain

検知にかかる時間

上記の図にあるとおり、検知にかかる時間を考えるとシグニチャに基づく検知(Signiture Based)が一番早く、スレット・ハンティング(Threat Hunting)が一番時間がかかると考えられます。その理由としては、シグニチャに基づく検知の場合、ブラックリストと照合して該当するものがあるしか否か判断すれば脅威を見つけられます。しかしながら、脅威情報(Cyber Threat Intelligence)スレット・ハンティング(Threat Hunting)の場合、誤検知の可能性や、多く受け取った情報を検証する必要があり、脅威の確定に時間がかかるためです。

受動的アプローチ

図にあるとおり、上の方は受動的かつ自動的なアプローチになり、汎用的・伝統的・原始的な脅威に対抗する技術になります。シグニチャに基づく検知(Signiture Based)の場合、汎用的な脅威しか検知できないという欠点もあります。

能動的アプローチ

一方下に行けば行くほど、プロアクティブ・手動的なアプローチとなり、ユニークかつ最新の脅威に対応する方法となります。上記の図では、脅威情報(Cyber Threat Intelligence)スレット・ハンティング(Threat Hunting)など、能動的に調査・収集をしなければいけない脅威を表現しています。

ちなみにこの二つの大きな違いは、脅威情報を自社で独自に見つけるのがスレット・ハンティング(Threat Hunting)、ベンダー・外部の専門家・同業者の知見を借りるのが脅威情報(Cyber Threat Intelligence)です。

脅威情報(Cyber Threat Intelligence)の場合、ベンダー・外部の専門家・同業者からもたらされる情報を元に脅威を発見する手法であり、最終的には独自シグニチャとして内部のセキュリティに組み込まれたり、次回のThreat Huntingのインプットにもなります。

一方、スレット・ハンティング(Threat Hunting)は自分の環境から脅威・攻撃を発見する方法です。こちらも、最終的には独自シグニチャとして組み込まれたり、脅威情報(Cyber Threat Intelligence)として外部などに共有されていきます。

Security Operation Maturity Model

成熟度の観点からすれば、成熟度が高くなるにつれて上から下へ階層を深めていく必要があると考えられます。

  • 成熟度0
    • 成熟度0とは、検知に関するメカニズム(センサー)が導入されていない状態、あるいは著しく限定的である状態です。この状態である場合、十分な検知は行えない可能性が高いと言えます。
  • 成熟度1
    • 成熟度1とは、検知に必要なセンサーは導入されていますが、基本的には提供されるシグニチャに基づいている状態、言い換えればSigniture Based(シグニチャに基づく検知)という状態です。そのため、流行したマルウェアなどには受動的に対応できるため、インシデント対応プロセスなどを日々走らせる必要があると考えられます。
  • 成熟度2
    • 成熟度2とは、Behavior Based(振る舞い検知)ができる状態です。但し、現在のプロダクトでは往々にして振る舞い検知型のメカニズムが入っていますので、その機能をオンにしておくことでは成熟度1と分類されるべきでしょう。
    • ここでいう「振る舞い検知ができる」とは、振る舞い上白黒判断がつかない内容について、自社やベンダーを活用して判断できるプロセスを持った状態を意味します。
  • 成熟度3
    • 成熟度3とは、脅威インテリジェンスを活用できる状態です。言い換えれば、他社で発生した攻撃の中でまだセキュリティ製品のベンダーが知らない情報(知られればシグニチャとして反映されるため)を取得し、自社でも分析を行い適応有無の判断をできるという状態です。
    • もちろん、何も考えずに反映することも可能ですが、この手のIOCはかなり玉石混合である可能性も高いので、自社で判断するプロセスがあることが重要だと考えています。
  • 成熟度4
    • Threat Hunting(スレット・ハンティング)が行える状態を意味します。各種センサーのログ等を分析し、プロセスとして疑義のある内容や振る舞いを検知できるか状態です。

まとめ

誤解なきように書くと、受動的な検知手法がダメということではなく、確実に脅威を検知する技術という意味では非常に有効な手段です。ここで大事なことは、それぞれの脅威の発見方法・特性を正確に理解し、いろいろな脅威を網羅的にカバーしていくことが重要だと考えています。