UEBAと機械学習 -5つのメリット-

組織は、徹底的なセキュリティ手法を用いて、サイバーセキュリティの脅威に取り組む必要があります。このアプローチでは、予防、検知、応答機能を提供する階層型セキュリティを活用します。しかし、組織は予防的コントロールに多くの時間とリソースを投資しています。高度な攻撃者は、通常のユーザとして環境の中に溶け込み、そこからラテラルムーブメント(横移動)によって企業を横断することで防御を回避するよう準備を整えています。階層型セキュリティの課題は、それぞれのコントロールポイントが1秒あたり数百個、あるいは数千個のログを生成することです。ノイズと誤検知が大量に発生するため、セキュリティオペレーションセンターがネットワーク内の攻撃者を検知することが難しくなっています。

UEBAとは何か

Gartnerは、UEBA(ユーザとエンティティの行動分析)を、時間とピアグループ全体にわたって、ユーザとエンティティの標準プロファイルと標準行動を分析によって構築するソリューションと定義しています。これらの標準ベースラインから見て異常なアクティビティは疑わしいものとして提示されます。こうした異常に対してパッケージ化された分析が適用されることで、脅威や潜在的インシデントの発見に役立ちます。

UEBAソリューションは、ユーザとエンティティのプロファイルの基準を構築し、通常のアクティビティを識別します。また、このソリューションでは機械学習(ML)を活用して、記述モデルや予測モデルを作成します。記述モデルは過去を参照し、「何が起こったか」という疑問に答えます。予測モデルは未来を予想し、「何が起こりうるか」という疑問に答えます。機械学習は、モデルを自動的に作成し、過去のデータから学習し、通常行動からの逸脱を識別する、UEBAの重要なコンポーネントです。ディープラーニング(DL)と呼ばれるさらに高度な機械学習を活用するために、ディープラーニングプラットフォームを使用できます。これにより、UEBAモデルをさらに効率的に実行できるようになります。

元インシデント担当者として、ユーザの通常行動を手作業で分析して結論を下さなければならなかったいくつかのインシデント対応事例が思い出されます。例えば、あるユーザが2つの異なる場所から2つのVPNセッションを同時に確立し、そのセッション中に複数のサーバにアクセスした場合、そこから3~6か月遡ってデータセットを手作業で分析します。アナリストの経験によっては、経験が手作業であるがゆえに各アナリストがそれぞれ異なる結論に至る場合が多くなります。

機械学習を活用してUEBAを利用すると、各ユーザ(人間とサービスアカウント)とエンティティ(機械)が環境内で通常どのような行動を取るかを理解できるようになります。UEBAプラットフォームは、ある環境のユーザとエンティティについて、リスクの高い順に優先順位を付け、アナリストの時間を最大限に活用できるようにします。従来型のSIEMの課題は、静的な相互関連付けルールによって大量の誤検知が生成されることと、分析の方向性が一面的であることでした。UEBAツール導入による差は、プラットフォームの検知エンジンが多面的であることです。つまり、ユーザまたはエンティティが通常行動から逸脱した場合に、そのユーザまたはエンティティごとの異常を集約します。あるユーザまたはエンティティの値が組織で設定したしきい値を超えると、アナリストが優先的に対応できるように通知されます。ユーザとエンティティに優先順位を付ける機能は、アラート疲れに関するCISOやSOCマネージャの懸念に対応しています。アラート疲れとは、大量のアラートによってアナリストの感覚が麻痺し、重要なアラートが見逃されてしまう現象です。

初期の展開では、正当なユーザアクティビティに異常のフラグが付けられることがあります。これは初期の学習段階でよく発生し、アナリストがこのアクティビティに通常行動のタグを付けることができます。その後、UEBAシステムの機械学習によってそのデータが統合され、同様の誤検知が削減されます。

正確なユーザ行動データと機械学習を組み合わせると、アナリストはユーザとエンティティをより正確に監視しつつ、それぞれのアクティビティを詳しく可視化できるようになります。UEBAの能力を示す例をいくつかご紹介します。

  1. 異常なデータダウンロード:あるユーザは、毎日最大100MBのデータをダウンロードしています。ある日、このユーザが突然数ギガバイトのデータをダウンロードしました。システムはこの異常を検知し、ユーザのプロファイルにポイントを加算します。
  2. クレデンシャルの盗難:ある攻撃者が、従業員のユーザ名とパスワードを侵害し、このクレデンシャルを使用して経営幹部のシステムにアクセスしようとしました。しかし、この攻撃者の行動は、クレデンシャル所有者の通常行動から逸脱しています。例えば、侵害されたクレデンシャルが特定の地域、特定の時間帯、特定のマシンで日常的に使用されている場合は、攻撃者の行動は、攻撃チェーン全体にわたって逸脱していることになります。攻撃者は、環境内でラテラルムーブメントを試みますが、このアクティビティもUEBAプラットフォームに検知されます。
  3. 異常な取引:ある金融機関で使用しているUEBAシステムは、大量の送金の開始および承認が行われる、銀行員が不正を働く状況を検知できます。システムでは、その銀行員(内部関係者)の通常の取引パターンが、通常行動の基準と異なることを認識し、管理者による調査対象としてこのアクティビティにフラグを立てます。
  4. APT(高度で持続的な脅威):APT攻撃は、技術力の高いハッカーのグループが実行します。Webサイトをターゲットとし、侵入から数か月かけて検知を注意深く逃れながら組織内を移動します(ラテラルムーブメント)。これらの手順の一つひとつは従来型の検知技術を回避できるかもしれませんが、組み合わせると異常な全体像が得られます。UEBAソリューションは、グループ内の一部のユーザまたはエンティティの異常行動を特定し、連携した悪意あるアクティビティとしてアナリストにアラートを送信できます。

UEBAと機械学習のメリット

機械学習とUEBAを利用することで、行動について学習し、それを検知エンジンに統合することができるようになります。これによりアナリストは、複雑な相互関連付けルールの記述と変更に費やす時間を大幅に削減できます。相互関連付けルールは静的であるため、可能性のあるすべてのシナリオに対応するには、同じルールを複数回繰り返す必要があります。これは、大量の誤検知の原因にもなります。UEBAは環境に動的に適応し、行動の微妙な変化も検知できます。これは、静的な相互関連付けルールでは困難です。UEBAの動的な性質と検知機能は、企業のサイバーセキュリティにとって、以下のように様々な面でメリットがあります。

保護されたデータのセキュリティ侵害を検知:

保護されたデータがある場合、データを安全に保つだけでは不十分です。あるユーザが業務上の正当な理由がなくこのデータにアクセスした場合、そのことを知る必要があります。UEBAシステムはこの状況を検知し、発生した場合にアラートを送信します。

内部不正の検知:

従業員が不正を働き、アクセス権を利用してデータや情報を盗み出す場合があります。UEBAは、従業員によるデータのセキュリティ侵害、サボタージュ、権限の悪用、ポリシー違反の検知に役立ちます。例えば、攻撃者がシステム管理者のクレデンシャルを侵害した場合、この攻撃者は環境内にあるデータを移動できるようになります。その中には、機密データや企業が所有権を持つデータなど、オフラインストレージ(OST)のファイル、ドキュメント、プレゼンテーションなども含まれます。セキュリティオペレーションセンターでの長年の経験上、100件以上のアラートのうち、真に陽性のDLPインシデントは1件か2件です。UEBAは誤検知の件数を削減し、真の内部不正を特定できるようにします。

権限の変更や特権ユーザ作成に対するフラグ:

攻撃には、特権ユーザを利用するものがあります。UEBAは、特権ユーザが作成された場合、または不要な権限を与えられたアカウントがある場合にアラートを送信します。MITRE ATT&CKフレームワークによれば、攻撃者が利用する戦術、技術、手順(TTP)の1つに、Create Accountsという技術によって常駐するというものがあります(T1136)。UEBAは、ユーザの基準に基づいて異常なアカウント作成の特定を支援します。例えば、あるシステム管理者のアカウントでは、日常的に米国東部標準時の午前9時~午後6時にアカウントを作成していたとします。攻撃者がこの管理者アカウントを侵害し、この時間帯以外にアカウントを作成し始めた場合、UEBAツールによってこのアクティビティが特定されます。また、UEBAツールは、与えた権限、権限を与えるために使用したシステム、システムのネットワークゾーンなど、その他の要素に基づく異常も特定できます。

総当たり攻撃の検知:

サイバー攻撃は、クラウドベースのエンティティやサードパーティの認証システムをターゲットにすることがあります。UEBAを使用すると、総当たり攻撃を検知し、このようなエンティティへのアクセスをブロックできます。ログインの失敗を常に監視している組織では、ログイン失敗を生成した200件ものアカウントをすべて確認し、悪意がある可能性があるアカウントを特定するには、1日あっても足りません。UEBAは、アカウントプロファイルに基づいて異常な数のログイン失敗を生成したアカウントに高い優先順位を与え、コンテキスト情報を提供して判断を支援します。

誤検知の削減:

UEBAシステムは常に、精度を上げ、誤検知アラームを避けるための学習を行っています。このアプローチでは、複数の異常がなければアナリストにアラートが送信されないため、誤検知が減少します。機械学習とUEBAによって、大量の誤検知アラートの受信を防ぐことができます。

まとめ

UEBAは、機械学習とアルゴリズムを用いてユーザとその他のエンティティを監視し、脅威を示している可能性のある行動パターンの異常を検知することで、セキュリティを強化します。セキュリティに対してより先回りするアプローチを採用し、ユーザとエンティティの行動をより可視化することで、セキュリティ態勢を強化し、脅威の緩和やセキュリティ侵害の防止をより効率的に実現できます。

Abel.png

Abel Morales
Exabeam, Inc. リージョナルセールスエンジニア


オンデマンド動画

脅威を丸見えに!機械学習による効果的なログ分析の実現
~UEBAを搭載した次世代SIEMプラットフォームExabeamとは~

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する"Exabeam"のご紹介します。動画はこちら1.2.png