会社がすでに侵害されていると仮定しましょう。境界線をモニタリングするだけでは不十分で、すでに時遅しです。CDMのようなものを絶えず監視していれば、脆弱な部分や修復が必要な箇所は分かるかもしれませんが、すでに血が出ている場所には対応できません。
改ざん検知がなぜそれほど大切かという投稿で、私は侵入者を途中でストップさせる方法として、改ざん検知の重要性が増していることを話しました。しかし大企業のネットワークで今こうしているときにも起きている改ざんの数というのは単純にばかげています。
異質なものをどうやって見分けるのか ? 捜してもまったく見つかりそうにないものをどうやって見つけるのか ? この投稿で、改ざん検知ソリューションが、どのようにしてあなたを脅かす変更に的を絞り、数ある変更を即座にフィルターにかけ、また、ふるいにかけるかを説明したいと思います。
市場には無数の改ざん検知ソリューションがあります。さまざまな方法でデータを収集し、正確さを保って何らかのフィルター機能を働かせています。私が知っている中で最高のものに目を向けたいと思います。 Tripwire Enterprise (以下TE)です。
先ず、TEの仕組みについて少々説明します。Tripwire Enterpriseは、「ファイル・システム・ルール」に基づいて、サーバやワークステーション (また、他のデバイス) のようなファイル・システム上の情報を収集する、リアルタイムのファイル・システム監視製品です。収集される情報には、ハッシュ値 (MD5、SHA1、SHA256、SHA512) など、ファイル属性や権限、ファイルのコンテンツが含まれます。
また、TEはファイル情報の他、ディレクトリ情報、レジストリ情報、ディレクトリ・サービス設定 (ユーザ、コンピュータ、セキュリティ・コントロール)、監査関連情報、そして「Listening Ports」「Established Ports」「Running Processes/Services」「Share Information」「Cert Information」「Local Users Accounts」「Local Group Accounts」などのコマンドを実行することで収穫できるものすべてを収集します。
この情報収集においては、TEエージェントがシステムの現状の構成についてのベースラインを作成し、それをTEコンソールに記録します。そしてTEエージェントは、変化があった際、または一定のスケジュールに従って、データベースを絶えず速やかに更新します。ユーザは収集した属性の変更を、レポートで確認、必要に応じた照会、あるいはリアルタイムで警告を受けることができます。警告には、誰が変更を行ったか、変更が行われたシステム、変更されたコンテンツ、いつ変更が起きたかといったことが含まれ、例えば、ユーザ名により簡単に変更を追跡できます。
これは理論的には素晴らしいのですが、実際には、変更の量が膨大であり、それほど簡単にはいきません。要求された任務を遂行するために権限のある個人が行った無数にある通常の変更を識別するには、確かな技術とベストプラクティスが不可欠です。以下はそうしたテクニックのサンプルです。
「日常業務(Business as usual : BAU)」
当然、自動化技術は、環境内のどの資産のどの構成に対する変更かを常に検知します。後から侵入と判明する場合に備え、それらの変更は捜査目的のために記録されるべきですが、これらは現在、侵入者の存在を通知するような変更ではありません。
あなたの家に押し入ろうとする人は、家の中に誰かいるかどうか確かめるために玄関の前を通るかもしれませんが、玄関の前を通る人すべてを捜査することはできませんよね。 そうした変更をフィルターし、捜査に必要となったときに見返せる様にします。
パッチ関連の変更
Microsoftの資産 (または、Linux、RedHat、その他のOS資産) にパッチが適用されると、かなり多くの変更が生じ、ネットワークの変更を確認するのには圧倒されます。。 これに対処するために、改ざん検知ソリューションの中には、Windowsのパッチ適用中には改ざん検知をオフにする、または、パッチ適用中の変更は無視するよう顧客に通知するものも存在します。もちろん、賢い侵入者は、パッチの時がネットワークの周りを動くのにはベストタイミングだと狙っています。
再び言いますが、自動化技術は利用可能ですが、それは適切なパッチ・マニフェストに直接関連した変更「のみ」を自動プロモートする場合だけです。その最中に許可されていない変更が発生すれば、きちんと警戒すべきです。引き続き、強盗に例えると、泥棒は盛大な結婚式を狙って忍び込むということです。そして彼らは招待者リストには載っていません。
許可された変更
変更管理の強い文化を持つ組織は、すでに侵害検知のうえでかなり有利な立場にあります。また、ITの課題を素早く解決するという点でもアドバンテージを握っています。ServiceNow、Remedy、HP ServiceDeskなどのワークフロー・ソリューションと改ざん検知の双方向インテグレーションにより、組織は許可された変更が正しく実行されたことを確認することができます。そして、許可されていないもの、または、正しくないものも検知され、捜査されることになります。
サイバー犯罪ルール
通常の変化 (BAUやパッチ、その他許可された変更) をフィルタリングすることに加え、疑わしい変更をふるいにかけることも可能です。
数年前、Tripwireのエンジニア集団がBlackHat/DEFCONコンテストで優勝しました。攻撃と防御どちらもの勝利を勝ち取りました。その功績の一環として、Tripwireでは コンテストで、さまざまなハッキングの試みに関連した数千の改ざんを捕えました。エンジニアたちは侵害活動中に現れる変更のカテゴリを識別するために、そうした情報を使いました。現在、Tripwireは、顧客が自身の環境の中でそのような変更が行われているかどうか、また、どこで行われているかを簡単に突き止めることができるようにダッシュボードを作成、継続提供しています。 ここから即座に掘り下げて捜査することも可能になっています。
例をあげたいと思います。 時間外に実行するWindowsタスクがハッカーにより追加されました。しかしこのタスクスケジュールの変更はダッシュボードでハイライトされ、その試みはブロックされました。最近では、同様にTripwire Enterpriseが、米国防総省のチームが同省開催のDefense Flag演習に勝利するのに貢献しました。 (Tripwire Enterpriseのサイバー犯罪対策に関する情報は、データシートをこちらからダウンロードください)
脅威が存在することを示す痕跡(IoC)
いくつかの変更は疑わしさを越しており、それらは悪意のあるものとして認識されています。US-CERTをはじめとするさまざまな組織は、STIXフォーマットの脅威が存在することを示す痕跡をリストで配布または、STIXフォーマットで共有するTAXIIサーバの情報を保守しています。彼らの単純な表明では、これらは単なる既知のマルウェアに紐づくハッシュ値のリストのようです。
より洗練された環境では、実行可能ファイルが現れたことを検知し、それを隔離するかまたはファイルをアクティブにするかの査定を行うために情報を外部パートナーに渡すときにTEを使うことができます。 IOC検出の詳細はこちらをごらんください。
自動化技術の支援により、a) 自動的に識別、承認された変更をベースラインへプロモートし、b) 疑わしい、または悪意のある改ざんをアクションをおこすためにハイライトできます。 このように変更はネットワークを理解するための強力な道筋となります。
こうしたことを分かりやすいインターフェイスに追加すれば、明らかに受け入れることのできない、または、あからさまに敵意のある改ざんを報告、捜査することができます。 そして、改ざん検知ソリューションは、ネットワークの中に潜む悪意のある行動を検知し、封鎖する最も重要な手段のひとつです。 すでに悪者が重要なシステムのアクセスを取得していたとしもこれは有効です。
元の記事はこちらからご覧いただけます。
