Rapid7 Research

2020年脅威レポート

By Bob Rudis, Senior Director, Chief Security Data Scientist at Rapid7
Wade Woolwine, Principal Threat Intelligence Researcher at Rapid7
Kwan Lin, Principal Data Scientist at Rapid7
March 3, 2020

Introduction

Rapid7では、既存のお客様や今後ご導入を検討中の組織だけでなく業界全体がセキュリティプログラムで成果を上げられるように、知識やツールとテレメトリによる診断情報の提供に尽力をしております。そして、総力を上げて意識改革を推進し、ソフトウェアの開発から、より成果が明確で達成可能なソリューションの提供へと事業の方向性を転換してきました。そこで脅威レポートでも同様な考え方に基づき、以下のように内容を変更しました

  • 記述方法:「技術の説明だけでなく、対処方法について」より詳しい説明を加えました。各セクションでは、いくつかの図表と解説によって、「組織にとっての意味」、「情報の活用方法」、そして「セキュリティプログラムの改善方法」について基本的な内容を解説しています。
  • データ:前提となるデータをよりわかりやすくするように、データの収集と分類について改善しています。
  • 対象:本レポートでは、Rapid7のユーザーエクスペリエンス(UX)チームと協力して、最近実施した取り組みで得たセキュリティプログラムに関する膨大なデータを分析し、脆弱性管理(VM)プログラムや検知と対応(D&R)プログラムについて、何が事業に関連した成果となるのか明確にするように心がけています。
  • レポートの構成:内容が増えるにつれて、より体系的な構成が必要になってきました。そこで、本レポートでは、「脅威テレメトリ」、「検知テレメトリ」、「推奨事項」、「セキュリティプログラム」の4つのセクションを設けました。

本レポートでは、2019年第4四半期(Q4)のデータと、2019年の年間を通したデータの両方に言及しています。以前のように四半期ごとの状況を示すだけでなく、年間データと比較することで、2020年に向けた指針を考察するのがその目的です。

注記事項:*テレメトリとは、一般的に、観察された行動または観察された条件を指します。本レポートでは、直接的に測定/観察された結果をテレメトリと表現しています。脅威テレメトリとは、攻撃面の観点から配慮すべき潜在的な脅威です。本レポートの内容は、大部分が、Project HeisenbergとLabチームが実施した調査結果です。また、検知テレメトリとは、お客様の環境において発生した脅威とセキュリティ侵害です。本レポートの内容は、MDRサービスのデータによる調査結果です。

エグゼクティブサマリ

脅威テレメトリデータの分析では、組織のシステムが今も脆弱な状態でインターネットに晒され、攻撃の標的になっていることが明らかになっています。特にインターネットに公開されているシステムについては、パッチを展開する時間を測定しその短縮優先的に取り組むことが推奨されます。また、インターネットからアクセスできるシステムやサービスに関して、外部の攻撃者が組織をどのように見ているのかを評価し、対策を改善することもおすすめします。

脅威テレメトリと検知データの分析からは、攻撃者が環境に侵入する手段として、有効なユーザーアカウントを狙っていることが明らかになっています。この点について推奨されるのは、二要素認証、パスワードの複雑さに対する要件、パスワードのローテーションポリシー、外部ビジネスアカウント用のシングルサインオンソリューションでユーザーアカウントのセキュリティを強化することと、クレデンシャルの漏洩の有無をダークウェブで継続的に監視することです。また、ユーザー行動分析(UBA)を通じて、クレデンシャルの不正利用を検知する能力を強化することもおすすめします。

Rapid7 MDRサービスのSOCチームでは、検知開始後1時間以内に85%、1日以内に90%超の脅威を特定し、食い止めています。MDRを活用すれすべてのお客様がこれを実現できます。

この点においては、さまざまな手法で攻撃者を捕らえることができる脅威検知機能の開発に対して投資をおこなうことが推奨さます。人と技術に対して投資をおこなうことで、科学的手法を開発していくための専門的な知識を蓄積しつつ、脅威アナリストが成果を上げるために必要な可視化が可能となります。

MITRE ATT&CK™ フレームワークは、セキュリティプログラムへの投資について判断し、投資の成果を理解するのに役立ちます。このフレームワークには、攻撃者が使う7つのわかりやすい戦術と、セキュリティチームが検知のために注力できる数百個の手法が用意されています。組織のセキュリティチームは、データを分類することで、組織を狙う脅威の傾向を明らかにできます。状況を確認したうえで、必要に応じた投資が求められます。

Rapid7は、組織がセキュリティ侵害の修正のためにどのような対策をおこなっているか、そしてリスクや影響をプロアクティブに緩和するために何に取り組んでいるかを把握しています。推奨事項のセクションをご覧になることをおすすめします。

脅威テレメトリ

オープンポートと脆弱なサービス

Project Heisenbergのハニーネットでは、今もEternalBlueを悪用しようとする試みの数が減ることもなく横ばいになっています。これは驚くことではありませんが、ここからわかるのは、悪用できるMicrosoft Server Message Block(SMB)サービスがインターネット上にまだ多数あり、攻撃者がこれらを探し回ることにメリットを感じているということです。この脆弱性は2017年に報告され、パッチが公開されていますが、脆弱なサーバーの全体数が変わらないため、攻撃者の注意を引きつけています。

図1:正規化されたEternalBlueソースの5日間移動平均

図2: 2019年のWindows SMBサーバー検知件数

組織にとっての意味

注目すべき問題は2点あります。1つ目は、2017年に確認された脆弱性がまだ広く存在し、1日に数百回悪用が試みられていることです。2つ目は、多くのSMBが現在でもインターネットに公開されていることです。最も効果的で信頼性に優れていて無料のツールは、ネットワークアクセス制御とエンドポイント強化です。ネットワークセグメンテーションに対してデフォルトの拒否アプローチを導入しておらず、展開するシステムを強化していない場合は、そこが次のステップになります。

本情報の活用方法

セキュリティプログラムに対する投資をどこに振り向けるべきか検討する際、攻撃者側から組織がどのように見えるのかを知ることが重要です。さらに、外部フットプリントがどのように変化しているかを常に把握しておくことが、問題につながる可能性がある変化を気づき管理することに役立ちます。

パッチの適用については、多忙なITチームに依頼する任務に対して、効果的な優先順位付けをおこない、根拠を示すことができる状態にしておく必要があります。ITチームとしては、必要な施策を実施したいと考えていますが、他の部署からの依頼もあるため、何を優先すべきかを理解できるようになる必要があります。脆弱性と、それを攻撃者がどのように利用しているかを関連付けて管理することで、より効果的にリスクを下げる作業を優先させることができます。

セキュリティプログラムの改善方法

ネットワークセグメンテーションとシステム強化は、共にネットワークとコンピュータが登場した頃から存在するセキュリティに関する基本的な概念です。基本的な概念として、ほとんど無料で導入でき、展開が容易で多様な環境に対応できます。

図3は、上位るポートでどれほど問題があるのかを示しています。

図3: 2019年の1日ごとの正規化されたソース(ポート別)

このデータはProject Sonarのもので、インターネット上で見られるすべてのサービスの頻度分析を示しています。本来であれば、インターネット向けに強化されインターネット対応のサービスのみがこのチャートに含まれるはずです。つまり、HTTP、HTTPS、DNS、メールプロトコルです。しかし、以下のサービスが不適切な状態でインターネットに公開されています。

図4: 2019年のポート445の1日ごとの正規化されたソース

図5: 2019年のポート3389の1日ごとの正規化されたソース;

図6: 2019年のポート137の1日ごとの正規化されたソース

図7: 2019年のポート1433の1日ごとの正規化されたソース

図8: 2019年のポート1900の1日ごとの正規化されたソース

図9: 2019年のポート5555の1日ごとの正規化されたソース

リモートデスクトッププロトコル(RDP)は、インターネット対応であると位置付けることも可能かも知れません(しかし、実際にはこれは誤りで、その役割を果たすのはリモートデスクトップゲートウェイです)。しかし、SMB / NetBIOS(Windowsの内部ネットワークプロトコル)、MSSQL(データベースプロトコル)、UPnP(内部サービス検索プロトコル)、ADB(Android Debug Bridge、ローカルAndroidデバイスの管理用)に至っては、まったくもってインターネット対応とは言えません。

脅威のATT&CKテクニック

本四半期は、MDRのお客様がどのような攻撃の標的になっているのかについてお伝えするだけでなく、一般的に生じている脅威を理解できるよう、Project Heisenbergのデータをまとめ直しています。今回は、データソースに対して特に広く利用されている、悪意ある手法が明確にわかるようになりました。MDRデータについて、最も多く検知されたのは、攻撃者によって利用されている有効なアカウントでした。Project Heisenbergについても、最も多く検知されたのは、攻撃者によって利用されている有効なアカウントでした。ブルートフォース(有効ではないアカウントと見なす)と悪用も非常に多く見られました。

図10: Rapid7 Project Heisenbergで確認されたATT&CKテクニック

組織にとっての意味

本データは社内の意思決定者に提示すべきものです。社内に盗み出す価値のあるデータがなかったとしても、コンピュータの処理能力を活用することが可能です。あらゆる悪意ある行為に使える高い処理能力を攻撃者が好んで選択しているということを、意思決定者に理解してもらう必要があります。コンピュータの処理能力は、DDoSの帯域幅、暗号通貨のマイニング、あるいは身元を隠す攻撃の踏み台のために利用可能で、アンダーグラウンドではとても価値のあるものになります。

本情報の活用方法

インターネットに悪意あるさまざまな攻撃者が潜み情報を奪う機会を窺っていることは、今や周知の事実です。その上で何に重点を置いているのでしょうか。トロイの木馬、ワーム、エクスプロイト、あるいは有効なアカウントでしょうか。今回のデータが明白に示すとおり、一般的な脅威への対策として優先すべきことは、ユーザーアカウントの安全性、パッチの適用、そしてブルートフォース攻撃を自動的に検知して阻止するソリューションです。

セキュリティプログラムの改善方法

クレデンシャルの不正使用の抑制は、どのようなセキュリティプログラムにとっても最低限必要なことです。クレデンシャルと認証情報の使用を確実に管理、監査できることが、機密性、完全性、可用性 (CIA)トライアド(英語)の基礎となります。さらに、正規ユーザーの認証に使用するツールの多くは、エンタープライズITツールにすでに組み込まれています。多くの場合、問題となるのは、何を保護する必要があるのか、そのアセットがどこにあるのかについて、セキュリティチームとITチームに明確な指針がないことです。時間をとってデータカタログを作成し、アセットインベントリを改善すれば、それが明らかになります。組織にとって最も重要なデータについてユーザーを教育すれば、全員にセキュリティを意識した習慣が根付きます。

ITチームは多くの場合、脆弱性への対処としてのパッチ適用に全面的に関与することを渋ります。ITチームの立場を考えると、その理由もわかります。多忙で、正当に評価されず、常に責任を押し付けられているからです。しかし、影響の度合いに応じてITチームの任務に優先順位をつけ、その任務をおこなわなかった場合のリスクを説明して根拠を示せば、通常は協力を得て良い成果を上げることができます。

検知テレメトリ

攻撃者の滞在時間とインシデントのカテゴリ

今回の年間データには、前四半期のデータが反映されていることがわかります。Rapid7のMDRチームには、問題発生前の脅威の特定において優れた実績があります。また、攻撃者が好んで使う手法が、マルウェア、フィッシング、不正ドキュメントであることがわかります。この3つのカテゴリだけで、組織に対する攻撃の80%近くを占めています。

図11: 攻撃者の滞在時間(MDRのインシデントカテゴリ別)

組織にとっての意味

この脅威レポートのもとになっているデータは、Rapid7のMDRチームから提供されています。MDRチームは、数百に及ぶお客様の環境で、合計で100万を超えるエンドポイントを監視しています。MDRチームは、複数の異なる方法で攻撃を検知しています。エンドポイントでの攻撃者の行動の監視、既知の脅威が残すインディケーターの活用、InsightIDRデータセット内の脅威ハンティング、ログデータに対するユーザー行動分析などの手法を活用しています。

また、マルウェア、フィッシング、不正ドキュメントの脅威の検知と防止に力を注ぐことで、今後の攻撃の試みによるリスクと影響に大きな違いをもたらすことができると考えています。

本情報の活用方法

脅威の検知に対するRapid7のアプローチは成熟度が高いことが評価されており、参考になる部分があるでしょう。Rapid7の検知とインテリジェンスには、Rapid7の取り組みに加え、情報セキュリティのコミュニティ全体で共有されている情報も活かされています。他のセキュリティプログラムでも、同様のことを実現し、有効性を高めることができます。今回のデータからは、マルウェア、フィッシング、不正ドキュメントに関する対策への投資を最優先におこなうべきであることがわかります。

検知プログラムの改善方法

ここで挙げる指標は、Rapid7のアプローチの効果を示しています。検知プログラムの効果を高めるための検討事項をいくつか紹介します。

  • 攻撃者行動検知機能の導入または開発:エンドポイント、ネットワーク、ログデータを監視し、攻撃者の行動の痕跡を検知できる製品や製品カテゴリはいくつかあります。こうしたツールは、既存の脅威防御テクノロジー(アンチウイルスやファイアウォール)や、脅威インテリジェンスベースの検知(侵入検知システム(IDS)やアプリケーションのホワイトリスト設定)を補います。また、脅威ハンティングに使われるデータの多くを提供します。
  •  ユーザー行動機能の導入または開発:クレデンシャルの使用に関する異常を監視できる製品や製品カテゴリはいくつかあります。この監視では、トレーニング期間中に誤検知が多数発生しますが、攻撃者が不正なソフトウェアからPowerShellや環境寄生型攻撃に移行するとともに(2019年第3四半期の脅威レポートで指摘)、重要性が高まっています。
  • 脅威ハンティング機能の開発: 脅威ハンティングのためには、攻撃者、その手口、侵入時に残していく痕跡、その痕跡を集計する方法、データを分析する方法に関する知識が必要です。これは、人とテクノロジー双方の成熟度が求められる高度な能力です。
  • リアルタイムで詳細なエンドポイントの可視化:エンドポイントで発生することのなかには、セキュリティ担当者が知っておく必要があることがあります。また、わからないことがあるときに必要に応じて調べることもあります。優れたエンドポイント検知と対応(EDR)ソリューションは、この両方の役割を果たします。

ATT&CKテクニックの頻度

エンドポイントにおける摂取されたクレデンシャルの使用と攻撃者行動の検知に注力することによる効果が引き続き見られます。図12では、色分けが赤やオレンジ色に大きく偏っていることがわかります。これは、Rapid7が多くの場合で攻撃のライフサイクルの早期に攻撃を検知し、組織はRapid7の支援を受けて脅威を取り除き、必要に応じて修復作業を実施できていることを示しています。

図12: 2019年のMITRE ATT&CKテクニック(頻度別)

組織にとっての意味

これは、UBA、攻撃者行動分析(ABA)、従来型の脅威インディケーター¥、そして脅威ハンティングなどの検知手法の組み合わせが、攻撃者の滞在時間短縮に役立っている証拠です。また、攻撃者がエンドポイントにおける行動の検知に対して投資することで、被害を受ける前に侵害を検知できる可能性が高まります。

本情報の活用方法

本データは、EDRツールへの投資の必要性を裏付ける根拠となります。MDRサービスは、攻撃者がどのようにホストと通信し、認証を受けているかがわかれば、攻撃者の行動をほぼすべて追跡できるという前提に立っています。2019年を振り返ると、攻撃者の滞在時間を短縮し、さらに深刻な攻撃が開始される前に脅威を封じ込めるうえで、この前提が明らかに役立っていることがデータからわかります。

セキュリティプログラムの改善方法

2019年第3四半期の脅威レポートで、PowerShellと環境寄生型の手法を取り上げたように、確認される不正な行為の大部分は、ほとんどのセキュリティツールから見えないところで、Windows OSで利用可能な機能を使用されることで発生しています。こうした攻撃に対処する唯一の方法は、攻撃対象領域を縮小することです。そのためには、Windowsのスクリプト言語の機能を制限し、通常のワークステーションにインストールされる管理ツールの数を制限し、プロセスの実行を監視して攻撃者行動の有無を確認します。

ATT&CKの戦術(業種別)

図13と図14は、検知のタイミングを別の視点から示しています。グラフの横軸は、通常は一定のタイムラインに沿って進む、攻撃のライフサイクルにおける各段階を示しています。すべての業種にわたり、MDRのチームがライフサイクルの早期で攻撃を検知し、その結果、事業の継続に対する脅威の影響を軽減していることがわかります。

図13: 2019年のMITRE ATT&CKの戦術に関するアラート(業種別)

図14: 2019年第4四半期のMITRE ATT&CKの戦術に関するアラート(業種別)

組織にとっての意味

この種のデータは、投資を優先的に向けるべき領域を判断する際に役立ちます。脅威を効果的に検知するには、階層型のアプローチが必要であることが知られていますが、投資から最大限の利益を得るには、投資をどこに向けるべきか把握しておく必要があります。図13と図14のデータから明らかなのは、ライフサイクルの早期に攻撃を検知できるよう注力することで、攻撃者の滞在時間が短くなり、企業が修正のために負うコストが少なくなるということです。

本情報の活用方法

MITRE ATT&CKエンタープライズフレームワークに従って、防御、検知、対応に関する調査結果を評価、分類しているのであれば、攻撃がどの程度進展しているかだけでなく、具体的にどのテクニックが使われているかもわかるため、効果的な防御策を講じることが可能です。

セキュリティプログラムの改善方法

セキュリティ業界では、一部の被害者のみを標的にする特定の脅威だけでなく、インターネット上の幅広い脅威を対象に設計された、脅威ベースのセキュリティプログラムの開発がよく話題にのぼります。MITRE ATT&CKフレームワークは、脅威ベースのセキュリティプログラムを導入する際のロードマップとなります。戦術の内でテクニックを定義し、戦術を攻撃のライフサイクルの各段階に大まかに対応づけることで、情報階層に沿ってデータを分類できると同時に、脅威を特定するための具体的なインディケーターがわかります。

脅威インディケーター

Rapid7の検知チームは、脅威インディケーターの管理に多くの時間とリソースを注ぎ込んでいます。これには正当な理由があります。Rapid7では、攻撃者を見つけるためにアラートの調査に長い時間をかけることがあります。この場合は、攻撃者の活動を組織のエコシステム全体で迅速に検知すべきでしょう。さらに、こうしたインディケーターに対しては、防御テクノロジーを活用し、さらなる脅威をコストをかけることなく阻止すべきであると考えています。

図15: セキュリティ侵害インディケーター(IoC)のインシデント分布

組織にとっての意味

MDRチームは、脅威インテリジェンスを管理しておく必要がある点をよく理解しています。脅威を検知するコストは人件費が大く占めているからです。誤検知が多すぎると、アナリストの時間が無駄になります。行動分析ツールを使って脅威を検知するように依頼したとしても、アナリストの時間は無駄になります。Rapid7にとっては、大規模な検出および対応プログラムを運用しているため、この事実は極めて明白です。しかし、ほとんどのセキュリティプログラムでは、脅威インディケーターの管理に投資していないため、毎日、膨大な時間を無駄にしています。これが数週間、数か月と積み重なると、セキュリティアナリストの仕事に対する満足度が下がり、最終的には燃え尽き症候群や離職などにつながります。

本情報の活用方法

図15は、Rapid7がお客様に報告しているインディケーターの種類と頻度を示しています。メール、FQDN、IPアドレス、MD5、SHA1、SHA256、URL、Vuln(脆弱性)には特に注意が必要です。この8項目は、脅威の検知と対応のプログラムで収集すべきインディケーターです。これらのインディケーターはコミュニティと共有することをおすすめします。しかし、ここで取り上げるのは別の理由からです。これらのインディケーターを脅威防御テクノロジーにフィードバックすると、こうした識別子を持つ脅威が境界の防御を通過しないようにすることができます。

セキュリティプログラムの改善方法

脅威インディケーターの管理で重要となるのは効率です。脅威インディケーターが対応の段階から検知の段階、防御の段階にどのように移行しているか追跡する際は、コストセーブしている金額、効率化の度合い、リスク低減策のレベルの追跡が必要になります。本セクションで示したプロセスを実施するだけでなく、セキュリティプログラムの各階層でインディケーターの変化を入念に測定することをおすすめします。最後に、コミュニティとの共有を検討してください。私たちは共に戦う仲間です。それぞれがデータを抱え込んでしまったら、勝つのは攻撃者です。

マルウェアの種類

多くのマルウェアが見られます。それ自体は驚くほどのことではありません。驚くのは、図の内でトロイの木馬が圧倒的に多いことです。その理由について仮説はまだ立てられていません。また、タイムラインの中央でV字型に折れ、そこを基点に上下に同じように伸びている理由もわかっていません。さらに、図ではオレンジ色も多く見られます。これはマルチステージ攻撃が発生していることを示しています。

図16: 月ごとのマルウェアの感染率(種類別)

組織にとっての意味

マルウェアは、あらゆるセキュリティプログラムにとって現実に対処すべき問題です。一般的な脅威も、標的型の脅威も、内部からの脅威でもマルウェアが使用されています。マルウェアは、メール、Webの閲覧、悪意のあるユーザーによるインストール、正規ソフトウェアへの付属、脆弱なWebアプリケーションを通じたアップロードなど、さまざまな場所から現れます。追加のマルウェアをダウンロードするマルウェアさえあります。この課題に対処する唯一の方法は、防御テクノロジー、検知に関する専門知識、ユーザー教育をバランスよく活用することです。

本情報の活用方法

画一的なアプローチではマルウェアに対処できないと認めることで、(MITRE ATT&CKエンタープライズフレームワークを採用しているおかげで)攻撃者がとることがわかっているさまざまな攻撃の経路を評価し、マルウェアの脅威を低減する管理機能やテクノロジーが存在するかどうかを検証できます。

セキュリティプログラムの改善方法

攻撃経路の例としてメールの場合を考えます。わかっているのは、攻撃者がメールを送信すること、メールサーバーがそのメールを受信すること、そのメールがクライアントにダウンロードされること、ユーザーがそのメールを開き、添付ファイルを実行する可能性があることです。一連のイベントのなかには重要なポイントが2点あり、添付ファイルの実行方法に目を向けるとさらに多く点があります。

1点目は、メールがメールサーバーに到着する部分です。添付ファイル(場合によっては添付ファイルの実行時の動作)を確認し、不正なものかどうかを判断できるテクノロジーはいくつかあります。この場所で脅威を食い止める効果をどの程度望むかによっては、複数の異なるテクノロジーを採用することも検討できます。

2点目は、メールがクライアントに配信される部分です。メールクライアントが実行されているプラットフォームによっては、脅威の防御と検知のツールを使用して、エンドポイントでユーザーが添付ファイルを開く前に脅威を食い止めることができます。

最後に、2点の不確定要素があります。ユーザーがメールを開くかどうかと、ユーザーが添付ファイルを開くかどうかです。私たちは、少なくとも部分的に、ユーザー教育、メール内の注意書き(「警告:このメールは外部から送信されています」)、またはユーザーに注意を促すその他の視覚的な目印で、こうした不確定要素をコントロールできます。

推奨事項

推奨事項の優先度と必要な作業量

本四半期の新しい特徴として、MDRチームが調査結果のレポートに含める推奨事項について着目したという点があります。目標は、Rapid7の調査でわかったこと、そしてそれについて事後対応(修正)と事前対応(緩和)としてお客様が何をすべきかを伝えることです。推奨事項にはそれぞれ優先度と必要な作業量の水準が指定されています。注目すべき点がいくつかあります。

  1. 修正作業の75%は優先度が高く、必要な作業量が低~中程度になっています。
  2. 緩和のための推奨事項は、優先度と必要な作業量が広範囲にわたります。

図17: 2019年の推奨事項の必要な作業量(優先度別)

組織にとっての意味

必要な作業量が少なく、優先度が高い場合、Rapid7ではすぐに自動化の検討を始めます。具体的な推奨事項を示す次のセクションに進めば、皆様にも同意していただけると確信しています。修正作業の時間とコストに注目することで、短期間でも多額のコストを節約できます。必要な作業量が少なくても、セキュリティプログラムの成熟度が低く、人間が推奨事項を実施する場合、工数がかかります。セキュリティプログラムに自動化を取り入れることをすでに検討中の場合は、このデータでその根拠を補える可能性があります。

本情報の活用方法

お客様が脅威を効果的に修正できるようにRapid7がお客様に提示している推奨事項の75%は、優先度が高く、必要な作業量が少ないということに気づくだけで、自動化の検討(あるいは自動化への投資)に役立つはずです。まだ検討していない場合は、この指標が検討の正当な理由になるかも知れません。

セキュリティプログラムの改善方法

自動化は、多くのセキュリティプログラムにすでに組み込まれていますが、機械学習と人工知能とともに次の先端領域の1つになっています。その可能性は無限です。セキュリティとITの分野のほとんどの製品が、セキュリティ情報/イベント管理(SIEM)(英語)をサポートするためにAPIモデルに移行するなか、自動化はこの機能を利用して、IT全般、特にセキュリティに貢献しています。自動化によって、プロセスを効率化するための無数の選択肢がもたらされます。たとえば、さまざまなセキュリティツールやITツールを連携させてワークフローをシームレスにしたり、アラートに必要な周辺コンテキストの収集を自動化したり、ユーザーアカウント、ネットワークアクセス、物理アクセスの修正を自動化したりすることができます。

詳細な推奨事項

図18と図19に示す推奨事項について説明します。最初のチャートは緩和に関する推奨事項、2つ目のチャートは修正に関する推奨事項を示しています。推奨事項のデータを深く掘り下げ、緩和と修正(事前対応と事後対応)を分け続けています。ほとんどの修正作業はシンプルであることを強調するため、各推奨事項の趣旨を抽出しています。

緩和のデータでは、「ユーザーの意識向上トレーニング」が最も推奨される対応であることが明らかです。修正のデータでは、「パスワードの変更」が最も推奨される対応です。1つ説明を加えておきます。Rapid7のMDRサービスとInsightIDRのクラウドSIEMテクノロジーは、クレデンシャルの不正使用を特定するよう設計されているため、ここには方法論による偏りがわずかに生じています。それでも、攻撃者はアカウントを必要とし、使用するため、検知と対応ではアカウントに関する問題の緩和が一般的であることに変わりはありません。

図18: 2019年の緩和に関する推奨事項、優先度、必要な作業量

図19: 2019年の修正に関する推奨事項、優先度、必要な作業量

組織にとっての意味

最も推奨される修正方法について詳細を確認すれば、それが自動化に適している理由を理解できるでしょう。お客様が自身の推奨事項のデータを追跡していなかったとしても、このデータは単純に私たちが直感的にわかっていたことの確証となります。つまり、セキュリティプログラムに自動化を加えることで、効率を高め、影響を抑制できる大きな余地があるということです。

同様に緩和の推奨事項では、私たちは皆、攻撃者のために扉を開けることが最も多いのはユーザーであると疑ってきました(そして、このような脅威レポートでもそのように報告されていました)。しかし、ほとんどの組織では、ユーザーの教育、支援のプログラムが十分に実施されていません。このデータを使用して、事前対応のセキュリティ対策の焦点を合わせる必要があります。データは、ユーザー教育にもっと力を入れる必要があることを明確に示しています。

本情報の活用方法

本データは、EDRツールへの投資の必要性を裏付ける根拠となります。MDRサービスは、攻撃者がどのようにホストと通信し、認証を受けているかがわかれば、攻撃者の行動をほぼすべて追跡できるという前提に立っています。2019年を振り返ると、攻撃者の滞在時間を短縮し、さらに深刻な攻撃が開始される前に脅威を封じ込めるうえで、この前提が明らかに役立っていることがデータからわかります。

セキュリティプログラムの改善方法

最終的な分析として、Rapid7のMDRアナリストがMDRのお客様の環境で特定した脅威に基づき、本レポートでは、ユーザーアカウント修正の自動化とユーザー教育への投資を優先させることを、ほぼすべてのセキュリティプログラムを改善できる主要な対応策として位置付けています。

ATT&CKの戦術やテクニックと推奨事項の対応

図20には、たくさんの情報があります。各ブロックを左から右に見ていくと、MITRE ATT&CKの戦術と、緩和、修正に必要な対応の数の間にパターンがあることに気づくはずです。「防御の回避」戦術については、推奨事項が(比較的)少なくなっていることがわかります。これに対して、「実行」戦術の下にある推奨事項は、緩和と修正のために必要な手順が多くなっています。

次に、テクニックと推奨事項を結ぶリンクの色が青(修正)に偏っていることがわかります。しかし、ここに示すテクニックの1つを除くその他すべてに、リスクを低減できる何らかの対策があることがわかります。最後のポイントとして、「ユーザーの意識向上トレーニング」が、3つの戦術に緩和策として存在し、「実行」の場合はそのなかの各テクニックの緩和策になっています。

図20: 2019年のMITRE ATT&CKと推奨事項

組織にとっての意味

このデータは、セキュリティプログラムの有効性と効率性を高める最も効果的な2つの方法として、自動化とユーザー教育に投資する必要性をさらに裏打ちしています。脅威防御と侵害検知のプログラムの作成、評価、報告の方法として、MITRE ATT&CKエンタープライズフレームワークを採用することになった場合は、このデータをお客様独自のデータと組み合わせることで、優先すべき緩和策がわかります。

本情報の活用方法

本当にプロアクティブな組織は、図20の緩和に関する推奨事項をすべて実施し、侵害のリスクと影響を抑制できます。プログラムの開発を始めたばかりの場合は、環境から脅威を迅速かつ効果的に取り除くために必要な機能のロードマップとしてこれを使用できます。

セキュリティプログラムの改善方法

防御、検知、対応のデータをここに示すように追跡すれば、他の指標をいくつでも追加できる可能性が開かれます。たとえば、この図に加えて、(人または自動化ワークフローへの)対応の割り当てにかかる時間を測定する時間指標を追跡し、特に時間が長いものについて短縮に取り組むことができます。別の例として、人の手でおこなう必要がある対応に注目し、自動化が可能かどうかを評価できます。

セキュリティプログラム

脅威レポートに新たに追加された本セクションでは、Rapid7のユーザーエクスペリエンス(UX)チームがお客様と協力してきた内で収集し、検証のために業界を対象に調査を実施したデータを掘り下げていきます。

まず、「成果」とは何かについて説明します。簡単に言えば、誰かが一定期間中に達成しようとしている事柄であり、何らかの値によって評価します。成果は具体的に次のような構成となっています。

図21:成果に関する望ましい表現方法

なぜこのデータに取り組んでいるのか疑問に思われているかも知れません。Rapid7は、優れた戦略的、戦術的インテリジェンスには、その1要素として、他社が防御のために何を実践し、何を考えているかに関する知識が存在していると考えています。18社のお客様がこうした成果を導き出すために協力してくださったため、そのデータを分析、報告することが私たちの責務であると感じています。

この取り組みの結果は次のとおりです。

  • 検知と対応のプログラムを対象とする97の成果、重要度順
  • 脆弱性管理プログラムを対象とする72の成果、重要度順

最初に、検知と対応(D&R)に求められる成果の上位3点を確認しました。


成果1:「セキュリティツールで検知できない脅威が存在する可能性を最小限に抑える」

  • れが1番目であったことに驚きはまったくありません。これは、対応に携わる担当者や企業のリーダーが夜も眠れないほど悩んでいることです。しかし、このような状況は改善されるべきです。悩みが尽きることはないかも知れませんが、セキュリティプログラムとそれに伴う目標が最大限に効果を発揮し、企業にとって最も大切なものが守られれば、安心感が増します。重要なのは、侵害を防ぐことではなく、組織が重大な被害を受ける前に侵害を食い止めることです。

成果2:「ネットワーク上の脆弱性を把握する能力を最大限に高める」

  • Rapid7では通常、攻撃対象領域の管理作業を、セキュリティプログラムの防御レイヤー内にすべて注ぎ込んでいます。効果的な脆弱性の管理と修正のプログラムは、脅威が現実のものとなる可能性を下げるための重要な柱の1つです。

成果3:「セキュリティのベストプラクティスに対する従業員の意識を高めることで、そもそも問題が発生することを防ぐ」

  • この点が3番目に入ったことは注目すべきことです。脅威や攻撃が組織内でどのように具現化するかに対する理解が欠如していると、セキュリティプログラムへの投資が偏り、誤った安心感につながるとRapid7は確信しています。エンドユーザーから始めて、ITチームやセキュリティチームを含む組織全体の意識向上が必要です。

その後、脆弱性管理(VM)の上位3点を確認しました。


成果1: 「深刻な事態への対処にかかる時間を最小限に抑える」

  • 脆弱性管理の成果が、対応に関するものであった点は特に興味深いことです。検知と対応の1つ目の成果は、脅威を確実に検知することでした。一歩離れて企業のセキュリティ担当者の立場で考えると、脆弱性管理と攻撃対象領域管理のプログラムは、検知と対応プログラムよりも前から存在したと推測できます。このため、データの収集と分析、意思決定における運用の不確実性の多くは、すでにわかっています。これは、脆弱性管理プログラムの方が総合的に成熟度が高い可能性があることを示しています。

成果2: 「環境が侵害を受ける可能性を最小限に抑える」

  • 脆弱性管理における2番目に重要な成果が、実際には検知と対応の成果であることが明らかになったことは驚くべきことです。しかし、これは理解できることで、優先度としては間違っていません。脆弱性管理や攻撃対象領域管理でおこなうことはすべて、環境が侵害を受ける可能性を最小限に抑えるためのものです。これには正当な理由があります。脆弱性管理と攻撃対象領域管理は防止策です。防止策は、脅威の検知と対応に必要な労力を最小限に抑えるテクノロジーを使うことで最も効果的に実施できます。検知と対応の手段は一般に多大な労力を必要とし、防御よりも検知と対応のコストが高くなります。

成果3:「環境内で新たな脆弱性が生まれる可能性を最小限に抑える」

  • これは脆弱性管理プログラム全体を対象とする成果です。この成果は多くを意味します。脆弱性が持ち込まれる経路には、ベンダー、ユーザーデバイス、相互接続されたネットワーク、私たちのコントロールの範囲を超えたその他の経路があると考えるとなおさらです。Rapid7は、脅威やインシデントのビジネスに対する影響を最小限に抑えることが達成可能であるとして、それを目標として定めることを推奨していますが、脆弱性管理についても同じことが言えます。目標は、可能性を最小限に抑えることではなく、ビジネスに対する脆弱性の影響を最小限に抑えることであるべきです。

結論

本レポートで取り上げた内容は多岐にわたります。全体を通してお伝えしてきたように、脅威の防止、侵害の検知、インシデントの対応の各プログラムの指針とし、実施と評価をおこなうためにMITRE ATT&CKエンタープライズフレームワークを採用することをおすすめします。Rapid7では、MDRデータにこのフレームワークを採用するまで、お客様の環境で確認されていた傾向を理解するのに苦労していました。皆様のプログラムも同様である可能性があります。何が起きているのか、うまく実施できていること、うまく実施できているが改善の余地があること、うまく実施できていないことを評価するテレメトリが手に入れば、そのデータを根拠に投資し、投資利益率を算出できます。このレポートのポイントを以下に示します。

脅威テレメトリ

  • 外部フットプリントに注力する必要があります。脅威のテレメトリデータからわかるのは、EternalBlue攻撃の勢いが衰えていないこと、インターネットからアクセスできるSMBサーバーがわずかにしか減っていないこと、VNC、NetBIOS、RDPなどインターネットからアクセス可能なサーバーが依然存在していることです。
  • 一般的な脅威で最もよく使用されているテクニックは、公開アプリケーション、有効なアカウント、ブルートフォースの悪用です。効果的な緩和と検知の手法には、パッチの適用、ネットワークのセグメンテーション、ユーザー行動分析があります。

検知テレメトリ

  • Rapid7のMDRチームは、1時間未満で75%を超える侵害を検知しています。皆様にもそれが可能です。Rapid7の秘訣は、複数の脅威検知手法を使用し、検知とテクノロジーを優秀な人材で補い、それらの人材が必要なツールを支給し、エンドポイントとログを詳細に可視化することです。
  • Rapid7のMDRサービスが検知する侵害の80%近くは、マルウェア、フィッシング、不正ドキュメント関連の侵害です。防御テクノロジーで一部の脅威は防止できますが、それ以外の脅威には、可視化とツールを利用できる、勤勉な脅威検知チームが必要です。
  • Rapid7のMDRのお客様に対して攻撃者が使用するテクニックの上位3点は、有効なアカウントを使った初期アクセス、サードパーティ製ソフトウェアを使った実行、PowerShellを使った実行です。ユーザー行動分析とエンドポイントの可視化に投資することで、こうした脅威を検知できます。
  • 攻撃のライフサイクルの初期アクセスや実行の段階で早期に脅威を検知することに注力すれば、侵害のコストや影響を抑制できます。
  • 脅威インディケーターの収集と再利用に投資すれば、セキュリティプログラムの効率を高めることができます。セキュリティプログラムで侵害の検知とインシデント対応の活動から侵害のインディケーターを収集し、脅威防御テクノロジーを導入すれば、攻撃の試行を境界で食い止めることができます。
  • マルウェアは至るところに存在します。その種類と機能はさまざまです。マルウェアの猛威に対処する唯一の方法は、攻撃ベクトルに応じた複数のテクノロジーを展開し、それを熟練の防御担当者、エンドユーザー向けセキュリティトレーニングの強化、自動化による迅速な封じ込めと根絶で補うことです。

大規模な修正

  • MDRのお客様が実施する修正作業の75%が、必要な作業量が少なく、影響が大きいものでした。こうした作業は自動化に適しています。自動化により、封じ込めまでの時間を短縮できるだけでなく、担当者の効率を高めることができます。
  • 脅威の傾向に応じて緩和策をプロアクティブに展開することで、侵害のリスクを下げることができます。Rapid7のMDRの調査結果レポートには、事後対応(修正)と事前対応(緩和)の推奨事項が含まれます。分析結果では、2019年に特定された脅威に基づいて、最も推奨される対応を取り上げています。
  • 脆弱性管理プログラムと検知と対応プログラムに求められる成果は、互いに補完し合う関係にあります。脆弱性管理と検知と対応の上位3点の成果の内で、一方の少なくとも1点は他方の成果を反映したものでした。これらのプログラムがサイロ化していると、定められた成果に対するパフォーマンスが低くなります。

Rapid7について

Rapid7は、Insight Cloudによって、Visibility - 可視化、Analytics - 分析、Automation - 自動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。Rapid7のソリューションなら、複雑なタスクがシンプルになり、セキュリティ部門がより効率的にIT部門や開発部門と共に、脆弱性を減らし、悪意ある行動を監視し、攻撃を調査し遮断し、ルーチン業務を自動化することが可能になります。全世界で、7,900社のお客様がRapid7のテクノロジー、サービス、リサーチを活用することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。