サイバー脅威ハンティングとは何か?究極のガイド
目次:
サイバー脅威ハンティング は、企業のネットワーク内でサイバー脅威を見つけて害を及ぼす前に発見することを目的とした、新しい脅威検出のアプローチです。これには、デジタルインフラ内の弱点を意図的に探し、進行中の攻撃の兆候を探ることが含まれます。脅威ハンティングは、受動的な脅威検出よりも複雑で、特定のプロセス、ソリューション、専門知識を必要とします。
高度なサイバー攻撃を特定することは容易ではありません。それでは、実際のSOC環境でのサイバー脅威ハンティングとは何か、そしてその仕組みを理解するために、深く掘り下げてみましょう。脅威ハンティングの定義を超えて、毎日脅威ハンターが実践する共通のルーチンについてお話しします。
学習に入る前に、私たちのサイバー脅威検索エンジンで興味のある脅威についての脅威インテリジェンスタイムラインを確認してください。必要な情報がすべて手元に揃ったら、ブラウザで変更可能な「コードとしての検出」プラットフォームの脅威ハンティングクエリにアクセスし、使用する可能性のある多数のセキュリティ環境とのシームレスな統合を活用してハンティング体験を向上させることができます。
脅威ハンティングの始め方
プロアクティブな脅威ハンティングの最初の一歩が、全体の成功を左右します。簡単に言うと、脅威を見つけるためには、何を探すべきかのアイデアを持っている必要があります。平均的な組織は1秒間に約20,000件のイベントを生成します。つまり、1日あたり1,728,000,000件のイベントです。そして、毎日450,000以上のマルウェアサンプルが登録されています。自動化されたアルゴリズムは、隠れた脅威や新しいマルウェアの亜種を見つける際に理想的な解決策ではありません。では、そのようなビッグデータに対応するために何人のサイバーセキュリティ専門家が必要ですか?実際には、脅威調査を本当に重要なことに絞り込まない限り、セキュリティ専門家は常に不足しています。では、脅威ハンティングの主な方向性をどのように見極めるかを見てみましょう。 450,000 malware samples registered daily. Automated algorithms are not an ideal solution when it comes to finding thoroughly hidden threats and new strains of malware. So, how many cybersecurity people do you need to cope with such big data? The truth is, there are never enough security specialists unless they narrow down their threat research to what really matters. So let’s see how to identify the main direction of Threat Hunting.
状況認識
この時点で、脅威ハンターはシステムアーキテクチャ、ネットワークインフラ、資産構成を把握している必要があります。細かく調整された可視性は、組織のデジタルエコシステムに戦術的および戦略的に移行するために不可欠です。
状況認識とは、脅威ハンターが攻撃者の潜在的な標的を知っているだけでなく、現在の保護レベルも理解していることを意味します。環境の要素に関して、ハンターは「時間と空間のボリューム内で、それらの意味を理解し、その状態を近い将来に投影する」ことを確認することを望みます。これは、仮説作成と同様に、状況の理解を確認する重要な手段です。 OODAループ オーダーループ概念による説明です。セキュリティツールやソリューションの正しい構成が非常に重要です。たとえば、コマンドラインやPowerShellスクリプトをログに記録していないと、多くの深刻な攻撃を特定することは不可能です。
脅威の状況と攻撃の表面感知
サイバー脅威の状況 は、現在存在し、危険性があるすべてのサイバー脅威の大きな絵であり、多くのものは脅威ハンターによって仮定されています(次のセクションでこれについて話します)。多くの場合、それらがどのように動作するのか、目標は何なのかについて十分な情報がないために、それらは研究者の目には見えないかもしれません。一部の情報源では、脅威の状況は既知の脅威のリストとして表示されますが、この見解は限られています。脅威の一部が依然として影に存在していることを認識しておくことが重要です。そして脅威ハンターは通常その影の部分と取り組みます。脅威の状況の別の特徴的な特徴は、それが動的であることです。それは、様々な環境によって突如として進化し発展します。それが、ニュース、インテリジェンス、最新の研究を常に追跡することが重要である理由です。
攻撃面 は、(既知およびゼロデイの両方の)脆弱性の総数、潜在的な誤設定、および組織のデジタルインフラ内の異常の数を指します。今日、多くのソフトウェアアプリケーションが多くの依存関係を持ち、頻繁にクラウドサーバーに展開されているため、ネットワークの境界を定義することはほとんど不可能です。そのため、攻撃面が増加しています。同時に、20年前に製造されたプリンターを取り、一台のパーソナルコンピュータに完璧にパッチされたWindowsでインターネット接続なしで接続すると、攻撃面は小さくなります。もちろん、ネットワークの複雑さに伴い、攻撃面は指数関数的に増加することが理解されています。そして脅威は脆弱性がない場合でも存在することを忘れてはいけません。それが、NISTが セキュリティ設計を備えた.
リスクの優先順位付け
サイバーセキュリティリスク管理の作成と維持には多くのアプローチがあります。組織はNIST、ISO 270001、DoDなどのフレームワークを採用しています。要するに、それは特定のビジネスコンテキストに適用されるリスクを定義し、それらを優先し、リスク許容度を定義し、軽減プレイブックを文書化し、その有効性を定期的にレビューすることです。
リスク管理は脅威ハンティングと何の関係があるのでしょうか?それがすべての始まりです。たとえば、100%のリスキーなパターンのうち、50%はパッチされ、30%はネットワーク設定のために適用されず、10%は自動セキュリティソリューションによって処理され、5%は手動で修正されます。そして残りは5%の未知のリスクです。そこが脅威ハンティングが始まる場所です。
脅威ハンティングステップとは何ですか?
脅威ハンターは未知の脅威に直面するため、何か怪しいものを扱うと、脅威ハンティングのステップを開始します。その怪しさ自体を特定することも、大量のドメイン知識と経験を必要とします。たとえば、DDoS攻撃のように見えるものが、実際にはネットワーク上の複数のコンピュータが同時にブートするだけかもしれません。誤った方向に進むのを避けるために、各脅威ハンティングステップは慎重に考慮されるべきです。一般的に、3つのステップを概説できます。
脅威ハンティングの仮説を生成する
The 脅威ハンティングの仮説 は、他の研究作業と同様に最初にきます。サイバー脅威ハンティングの仮説例のガイドを参照したい場合は、より詳しく知ることができます。仮説が間違っていると証明されても、さらに研究を行うにあたって貴重な情報を得られます。たとえば、いくつかの希少なHTTPユーザーエージェントが悪意があると推測していたが、実際にはそうではないことが判明しました。それでも構いません、今では会社内で何が起こっているかについての状況認識が向上しています。ちなみに、仮説に挑み、それを他の仮説と比較することは、“充足する”アプローチ(自分自身を正そうとするだけで欠落している部分を認識しない場合)よりも有用である可能性があります。
テストと分析を実行する
仮説が立てられたら、それをテストする時です。脅威ハンターは、様々な 脅威ハンティングのツール を使用して仮説をテストするための複数の方法があります。特定の行動をシステムログで検索したり、エミュレートされた環境でマルウェアサンプルをテストしたり、ネットワークデータフローを調査したりすることが可能です。最も難しいのは、探しているものを検出するための方法を見つけることです。たとえば、ビーコニングの検出を行いたい場合、ネットワークがDNS over HTTPS暗号化を利用しているとしたら、いくつかのトリックを知っておく必要があります。この場合、悪意のある信号を見つけることは可能ですが、いくつかのシステム構成が、見つけることを妨げ、偽陰性を引き起こす可能性があります。
データを使って作業する方法は複数あるため、分析部分は最も興味深いです。時には、因子分析のような数学的アルゴリズムを選択する方が良いこともあれば、時には脅威を視覚化する方が良いこともあります。脅威モデリングツールはたくさんあります。たとえば、TypeDBは脅威ハンターに頻繁に使用されます。また、グラフ、チャート、ダイアグラムを選択することができ、アウトライヤーのようなものを見つけたい場合に特に楽しいです。分布グラフ、標準偏差、箱ひげ図、散布図、アイソレーションフォレストをプログラムし、パターンを見つけることができれば、このタイプの分析は素晴らしい結果をもたらす可能性があります。
しかし、すべての自動化されたものが非数値データでうまく機能するわけではありません。機械学習は文脈に入らずに違いを識別するのに優れています(もしかしたらテキストコンテンツには良いかもしれませんが)。
ある時点では、脅威ハンティングに人間の要素を追加する必要があります。この時が来たら、ダイヤモンドモデルの侵入分析とTTPベースのハンティングを試してください。大量のデータセットのために手動レビューが時間がかかる場合、 Clearcut などのツールが役立つかもしれません。それから、ユーザーの習慣を知り、ひらめきを加えてください。統計学、データサイエンス、認知心理学などを学ぶことはハンティング体験を豊かにします。
修正する
フリーハンターとして自由でクリエイティブな研究者でいることに満足するかもしれませんが、脅威ハンティングのパイプラインの終わりには、いくつかの重要な責任が押し寄せます。分析結果を得たら、それを文書化し、見つけた脅威が害を及ぼす前に対処する時です。大規模な組織では、これをインシデント対応と呼び、SOCメンバーに定期的に渡され、脅威ハンターは仮説と分析に戻ります。
既知の脆弱性はパッチを適用できます。この部分はおそらく容易です。ただし、すべての種のパッチをすべての種の資産に追わせることは難しいです。後者の中には、24時間365日稼働し、メンテナンスを行うとビジネス運用に波及するため、パッチ適用を好まないものもあります。このようなパッチは適切に計画されるべきです。さもないと、SOCチームはゼロダウンタイムパッチング(ZDP)オプションを検討することができます。
厳しいケースにはユニークなアプローチが必要であり、そのために通常、手動で対処されます。全体として、インシデント対応には多くの異なるアクションが含まれます。 脅威ハンティング認定 トレーニングには通常、それらの理論と実践が含まれます。効果的な修復を超えて、時にはデータの復旧を行う必要があります。プロアクティブな脅威防御の一環として、SOCメンバーは、脅威ハンターの予測に基づきシステムの防御を強化しています。脅威が良性である場合、それについて何もしないこともあります。
脅威ハンティングサービス
IT分野ではアウトソーシングサービスが非常に一般的であり、脅威ハンティングサービスをアウトソーシングしても良いのではないでしょうか?外部からセキュリティの専門家を雇うことで、長期的な戦略に利益をもたらし、内部チームの過剰な作業負荷を軽減し、交渉された価格で多くの価値を提供する場合、外部からの援助は賢明です。
多くのベンダーがIBM、CrowdStrike、Verizon、ESET、Palo Alto Networksのようにソフトウェアの上に脅威ハンティングサービスを提供しています。SOC Primeのセキュリティエンジニアは MITRE ATT&CK®カバレッジとSIEM監査を提供しています。彼らは、使用している可能性のあるさまざまなセキュリティ製品での構成の問題、エラー、制限要因を特定するのを支援できます。初期監査の後、管理されるセキュリティサービスを実行できます。
- SIEMクリーンアップ
- ストレージコスト削減
- コンテンツ調整
- ログソースフィルタリング&ロードマップ
- パフォーマンス最適化
- MITRE ATT&CK®整合性
- アーキテクチャのサイズ設定とコストの最適化
- ハードスキルトレーニングプラン
- 技術の強化
- プロセスの変革
- 予算とステークホルダーの整合性
- 進化ロードマップ
これらのすべての強化は、操作から戦略に至るまでの異なるレベルに作用し、隠された脅威を検出するために脅威ハンターを支援します。
脅威ハンティングのタイプ
脅威ハンターは、責任を共有してより効率的に目標を達成するために、サイバーセキュリティハンティングの3つの異なるタイプを認識します。 脅威ハンティング技術 は、セキュリティCI/CDパイプラインの複雑さに応じて、さまざまな脅威ハンティングのタイプ全体で同じであるか、または異なることがあります。
構造化
構造化された脅威ハンティングは、攻撃の指標(IoA)に基づいており、それ自体がMITRE ATT&CK®の敵対者の戦術、技術および手続き(TTP)に基づいています。これは、デビッド・ビアンコのペインのピラミッドの頂点です。このような詳細な見方は、攻撃者が知らせないうちに迫り(つまり、彼らに多大な苦痛を与える)ことを目的としています。
TTPは面白いです。なぜなら、一つの技術は必然的に他のものを引き起こします。ディスカバリーを見つけたら、実行を探します。実行を見つけたら、持続性を探しますなど。特定の技術が利用された場合、必要なデータソースがわかり、これらのソース内でどこに行くべきかがわかります。一般的に、構造化脅威ハンティングは、ゼロデイエクスプロイトを検出するのに適しています。確実なインジケータがない場合です。
非構造化
不審なイベントやイベントの連鎖が、非構造化ハンティングを開始するトリガーとして機能する場合があります。サイバー脅威ハンターは、より多くのコンテキストを得るためにあらゆる種類の情報を収集したいと思っています。トリガーの前後に何が起こったのか?他に何が起こったのか?それらのイベントは相関しているのか、どうか?これらすべての質問に答えたいと考えています。
コンプロマイズの指標(IoC)は、URL、ドメイン名、IPアドレスをはるかに超える範囲に広がることがあります。実際、多くの種類の異常イベントは非常に具体的です。それらの識別子は脅威インテルと/または内部ログから取得することができます。
脅威インテルが提供するすべてのリストについては、 STIXサイバー観察可能オブジェクトを確認してください。内部ソースの例として、たとえばSysmonはプロセス、セッション、ネットワーク接続などをログに記録します。これらのログにはGUID(グローバル一意識別子)が含まれています。したがって、適切に作成された脅威ハンティングルールは、コンプロマイズを表す識別可能な値(たとえば)を操作できます。
- 異常なデータベース読み取りボリューム
- 不審なインバウンドおよびアウトバウンドトラフィック
- システムファイルの不審な変更
- そしてもっとあります
異常なものは、通常、大小どちらかです。大きすぎるコマンドライン、小さすぎる(難読化された)文字列、たくさんの数字と文字を持つ多くのDNS名などです。通常、セキュリティエンジニアは、SIEMにベースラインとしきい値を設定してこれらのすべての検出を自動化します。それでなぜ脅威ハンターが対処する必要があるのか、と思うかもしれません。それは、IOCのように、簡単に見逃されるという事実に驚かれることでしょう。たとえば、不審なドメイン名がプロキシDNSサーバーを通過し、SOCチームがそれを見逃す場合もあります。それはハントに出る時です。
効率向上のためには、脅威ハンターはTier 1,2,3に分けられることができます。アナリストと同様に。第1グループはリアルタイムのサイバーセキュリティ脅威ハンティングを行い、第2グループはTTPを調査し、第3グループはMLツール、数学、データサイエンスを用いた高度な分析に取り組みます。企業の脅威 ハンティング成熟度モデルに応じて、この防御戦術は実行可能であるかもしれませんし、そうでないかもしれません。
状況的
状況的脅威ハンティングは、内部と外部の2つの主要な種の情報源から発生することがあります。内部情報源には、定期的なリスク評価、クラウンジュエル分析、およびあなたのユニークなインフラストラクチャとトラフィックの他の考慮事項が含まれます。外部情報源には、脅威インテリジェンス、ニュース、脆弱性フィード、研究結果が含まれます。
企業レベルの脅威インテリジェンスは、状況的脅威認識の主要な情報源ですが、別のものもホットトレンドです。たとえば、ツイッターは、サイバーの世界で何が起こっているのかを知るための良い情報源です。これらのアカウントをチェックしてください:
ツイッターの他にも、探索する価値のある多くの情報源があります。オープンソースの脅威インテリジェンスが狩る価値のある大量の興味深いデータを引き出します。また、新たなホットなクエリは常に クイックハント モジュールがSOC Primeの「コードとしての検出」プラットフォームで提供されています。これらは、幅広い準備と経験を必要としないため、ジュニア脅威ハンターには特に有益です。
脅威ハンティングと脅威インテリジェンスの違いは何ですか?
簡単に言うと、脅威インテリジェンスは有用な情報であり、脅威ハンティングはその情報を理解することです。脅威ハンターは、組織のネットワーク内で対抗者を積極的に探しています。脅威インテリジェンスフィードをプロセスを開始するための入力として使用しています。
一部の脅威ハンティングプラットフォームは、 SOC Prime Detection as Code は、脅威インテリジェンスのコンテキストを含む他の役立つ機能を備えており、SIEM、EDR/XDR、またはSOAR環境でルールを発見して編集し、それを展開する能力があります。異なるプライベートおよびパブリックネットワークで発見された最新のサイバー脅威に関する情報を継続的に監視することが必要です。
なぜ脅威ハンティングが重要なのか?
高度な脅威は発見が容易ではありません。土地の生き様や数ヶ月間の検出回避、現代のマルウェアには従来のセキュリティコントロールを回避する方法があります。サイバーセキュリティにおける脅威ハンティングは、高度なマルウェアの可視性を向上させ、その可能性のある損害を回避するのに役立ちます。予防的脅威ハンティングは CISAとFBI.
によって正式に提案されています。脅威ハンターは、脅威研究者として、全体的にサイバーセキュリティの防御の改善に貢献します。技術および科学的知識の全スペクトルを適用することによって、ハンターはマルウェアサンプルとキルチェーンの段階を分解し、それがどのように機能するかを理解します。そしてその理解が得られると、より高度な脅威検出と対応方法を開発することが可能になります。
参加 SOC Prime Detection as Code プラットフォームで、最新の攻撃を予測する数千のサイバーハンティングクエリーにアクセスしてください。SIGMAベースのルールでSOCパイプラインを強化し、供給者固有の形式に翻訳され、SIEM環境に即座に展開できます。独自の専門知識がある場合、私たちのグローバルクラウドソーシングイニシアティブ、 脅威バウンティプログラムで検出項目を共有することを奨励しています。このプログラムでは、セキュリティエンジニアと研究者が協力防御を強化し、彼らの取り組みに対して繰り返し報酬を得ます。
