「Threat Huntingの課題と展望」~高度なサイバー攻撃を検知し、対応するための情報収集手法~
2017-08-21
脅威(Threat)を探求する「Threat Hunting」という概念が、具体的な手法として注目されています。従来の攻撃者の意図や能力、設備などに関する情報分析を行うThreat Intelligenceに加え、Threat Huntingは、高度な標的型攻撃を検知するための有益な方法論として発展し、インシデント対応だけでなく、攻撃活動、攻撃方法、攻撃予兆、あるいは攻撃者(グループ)の検知や特定につなげる活動に拡大しています。その中で、Threat Intelligence分野におけるインテリジェンスレポートやIOC(Indicator of Compromise:セキュリティ侵害の証拠や痕跡)などを、効果的に活用することを求められるようになってきました。
導入が進むThreat Hunting
Threat Huntingを導入・推進していくために、専門チームは必ずしも必要ありません。多くの場合セキュリティ監視センター(SOC)もしくはCSIRT(コンピューター・セキュリティ・インシデント対応チーム)の組織体制が通常業務の中で対応し、Threat Huntingのための知恵を出し合ってレベルアップを図っています。
Threat Huntingに必要な機能や技術力なども、体系化された枠組みなどがネットで数多く検索できるため、それらを指針として導入を進めている企業もあるでしょう。ただし、その方向性が明確だからと言って、それら一般的な体系論が自社独自の環境や技術レベルに即したThreat Hunting活動に有効かどうかは、一考が必要なのは言をまたないでしょう。
セキュリティ侵害の証拠や痕跡となるIOCの課題
Threat Huntingのために、IOCは不可欠です。ただし、そのデータ量はあまり意味がなく、むしろ自社に関連の深いと思われるIOCを厳選して活用することが理想です。問題は、IOCをフィルタリングしなければならないのは自社側であって、IOCプロバイダー側ではないというのが前提となるため、まず一定量のまとまったIOCを取り込む必要が出てきます。そのため、IOC(もしくはThreat Intelligence Platform)を活用しようと思った段階で、どうしても非効率が生じるのです。
IOCプロバイダーからIOCデータを購入する場合、次のハードルは価格となります。決して安くはありません。無尽蔵にリソースを使えるチームなら複数のプロバイダーから大量のIOCデータを取り込むことも可能ですが、おそらくそれをできるのは大手金融機関ぐらいでしょう。一般企業のセキュリティチームであれば、脅威情報だけに年間1,000万円を超えるようなインテリジェンスを購入することは、費用対効果の面で課題となります。
そもそも、高価なIOCを取得してログを収集し、データ量で課金されるSIEMなどをまわして統合管理するとしても、その防御側のインフラ費用や運用費は極めて莫大になります。データ量で課金する契約でなくとも、その費用は時に億単位に上るでしょう。一方で攻撃側のインフラは各段にリーズナブルです。国家関与の高度な標的型攻撃は除くとしても、ダークウェブで不正プログラムを購入し、ハッキングツールであるエクスプロイトキット・インフラ用のサーバや管理パネルを準備し、複数のドメインを登録するだけなら、おそらく数十万~数百万円程度の規模で済むでしょう。他のグループの攻撃インフラを借用すれば、さらに安価に多くのキャンペーン攻撃が可能となります。いわゆる非対称戦争において、防御側はまったく割に合わないのです。
仮に潤沢なリソースがありIOCを大量に購入できたとしても、その中から自社にあう有益な情報を活用して結果に残せるかは疑問です。
CSIRTの世界的な連携と協力を推進する「FIRST Conference(Forum of Incident Response and Security Teams)」をご存知でしょうか。FIRSTカンファレンスでは、世界規模でのコンピュータセキュリティの強化を目的とした目標や意見、情報を共有するための公開討論が行われます。2017年6月にプエルトリコで開催された第29回FIRST Conferenceでも、Threat Huntingが重要なテーマとして取り上げられ、参加国メンバーの話題となっていました。
また、FIRSTカンファレンスでは、IOCデータのことを「hay(干し草)」と呼ぶ専門家がいました。つまり、干し草の山の中から「針」を探すたとえの通り、IOCという大量データの中から、本当に自社に有益なものを探し出す知恵がない限り、リソース上の課題はおそらく消えません。事実、2017年5月に世界を席巻した身代金要求型ウイルスのWannaCry(ワナクライ)について、米国土安全保障省(DHS)はIOCを発行したがまったく役に立たず酷評だったことは記憶に新しいでしょう。
仮に関連性のあるIOCを厳選して適用することができても、IOC自体が非常に単純かつ単一なリストであるため、偽陽性ではなく確度の高いアラートにつながるかどうかは疑問です。別の言い方をすれば、IOCに他の付加情報がないのが、現在の課題となっています。例えば、悪意の可能性の高いIPアドレスリストがあっても、それがいつの時点で相当程度に悪意があり、どの地域に(その時点で)アクティブであり、どんなハッシュと関係しているか、などの相関情報を整理することが難しいのです。
それを補う目的で、IOCやセキュリティ情報の関連性を系統化した標準の情報共有形式が開発されてきた背景もありますが、その形式も複雑にし過ぎると問題となります。これまではxmlベースのSTIXが広く普及してきましたが、FIRSTカンファレンスに出席した専門家の意見を総合すると、今後は簡単なSTIX2など、JSONベースの形式が主流になるとの見方が多いのです。つまり、IOCは形式も含めて、まだその関連性と簡潔性のトレードオフ、あるいは詳細と普及のトレードオフを模索している段階であると言えるでしょう。
これらIOCの課題を踏まえ、それでもどうやって効果的なThreat Huntingを実施していくかが、少なくとも運用上の検討課題となるでしょう。
有効なThreat Huntingの実現に向けて
そもそもThreat Huntingは実施する人材の能力や経験に大きく依存します。その人材が自社の環境を熟知し、事業ビジネスや機密情報の程度や保存場所等について当然認識している必要があるのです。そして、有効活用が難しいIOCに対してそれを有効足らしめるための独自の「手法の確立」が必要となります。つまり、この議論はやむを得ないが、属人的になりやすい傾向はどうしても否めないのです。
それを踏まえたうえで、まずはそれぞれの会社の環境や事業形態、守るべき対象に即したログ解析等、独自の着眼点でユニークなThreat Hunting手法を確立し、導入していく必要があります。IOCは魔法の杖ではありません。初期段階における安易なIOCと社内ログの突合は、リソースを浪費するばかりで非効率だけでなく、逆に結果も見えにくくなってしまいかねません。
まずは社内のログ等を詳細に分析し、会社独自のThreat Hunting手法を確立することが求められます。そして、それをPDCAサイクルで洗練させた段階において、初めて有用なIOCを厳選し、適宜活用していくことを検討すべきなのです。今後、おそらく従来の単純なIOCではなく、何らかの相関情報が付加されたリスト、あるいはIOC同士の相関関係を整理したリストへの需要と供給は高まっていくと予想されます。それらのリストが手に入らない場合は、安易にIOCに頼るのではなく、社内リソースのみで対応するか、あるいは余力があればオープンソースのもので自ら相関関係を整理していくスキームや技術力を養っていくといいでしょう。
最後に付け加えたいのは、日本企業の独自性がThreat Huntingに特にネックとなる点です。レガシーやガラパゴス状態のシステムが混在している現状では、おそらく他国に比べてIOCの効果は期待できません。MSSの一環としてのコンサルティング(例えば事前の徹底的なアセスメント)などに支援を求めることも状況に応じて検討していく必要があるでしょう。
関連情報