なぜUEBAはインシデントレスポンスの 重要な要素なのか

なぜUEBAはインシデントレスポンスの重要な要素なのか

Gartnerの2018年のレポート、Market Guide for User and Entity Behavior Analytics.(ユーザとエンティティの行動分析に関するマーケットガイド)によれば、サイバーセキュリティの世界では、セキュリティチームは予防のみのアプローチから離脱する傾向にあります。セキュリティチームが、サイバー脅威の予防と新しい検知およびインシデントレスポンス(IR)アプローチとを両立させる方向に移行していくにつれ、セキュリティシステムの効果を向上させる取り組みの一環として、UEBA(ユーザとエンティティの行動分析)などのテクノロジーが従来型SIEMやその他の従来型予防システムに取り入れられるようになっています。

UEBAの進化

基本的な定義として、UEBAとは、ユーザおよびエンティティの行動アクティビティの基準(ベースライン)を作成し、これをピアグループ分析と組み合わせることで異常アクティビティを検索して分析し、潜在的なまたは実際に発生した侵入や悪意のある行動を検知するものです。UEBAは、事実に基づくセキュリティとシンプルな相互関連付けルールから進化した機能で、ユーザとエンティティの両方の行動をベースにした分析を活用して、個々のユーザの行動に基づいて脅威をモデル化します。

Gartnerは数年前に「ユーザの行動」分析(UBA)の名前を変更してUEBAという頭字語を作成しました。「E」を追加したのは、ユーザの行動だけではなく、クラウドアプリケーションや無人エンドポイントなどの「エンティティの行動」の重要性を強調するためです。Gartnerによれば、Eは「より正確に脅威を特定するためにユーザ以外のエンティティがプロファイリングされることが多いという事実の認識によるもので、その一部はユーザ以外のエンティティの行動をユーザの行動と相互に関連付けることによって行う」ことを示しています。

UEBAがUBAおよび従来型SIEMより優れている理由

UBAおよび従来型SIEMシステムと比較して、UEBAはいくつかの理由で著しく機能が向上しています。まず、UEBAは、SIEMの相互関連付けルールの制約を克服し、多くのケースでは相互関連付けルールのモデル全体が破綻しているという事実に対処しています。SIEMの相互関連付けルールに依存した場合、以下のような問題があります。

  • ルールのコンテキスト不足によって攻撃を発見できない、または未知のインシデントを見逃して、フォールスネガティブを発生させる。
  • ルールにメンテナンス工数がかかりすぎる。
  • 不適切にフィルタ処理されたルールでは、管理者が適用するルールをフィルタ処理してイベントの状況に関連のあるデータと関連のないデータを判定しなければならないため、インシデントレスポンスの実行が遅れることがある。

また、UEBAはフォールスポジティブも減少させるため、アラート疲れの解決に役立ちます。さらに、チームがアラートの優先順位を付けられるため、セキュリティの専門家は最も信頼できる高リスクのアラートに注力できるようになります。

UEBAをあらゆる組織のセキュリティフレームワークに取り入れるべき理由

ご存じのとおり、サイバー攻撃はますます複雑になり発見されにくくなっています。起こりうる数千種類ものシナリオに対応して相互関連付けルールを記述するのは、もはや現実的ではありません。これは特に内部不正の場合に当てはまります。「ユーザが4MBを超える添付ファイルを送信するたびにアラートを送信する」というルールを確立した場合、すべてのユーザを個々に検討して例外を設定する必要があります。例えば、マーケティング部門のグラフィックデザイナーは、大きなPDFファイルを定期的に送信する可能性があります。このように、あらゆるケースについてホワイトリストの手作業による作成をセキュリティ専門家に依頼するのではなく、UEBAによって従来型のTrueかFalseかのアラートを、高度な分析に基づく確率モデルやリスク係数に置き換えます。

この方法により、UEBAは従来型SIEMの相互関連付けルールより優れた内部不正検知を実現しています。さらに、UEBAは異常なユーザ行動と疑わしいラテラルムーブメントを追跡します。これは、組織またはネットワーク内だけでなく、クラウドサービス、マシン、モバイルデバイス、IoTアセットとも関連付けることができます。また、ユーザの行動分析を利用することで、チームは様々な場所にあるログを掘り下げてインシデントに関するストーリーをまとめる必要がなくなるため、時間を大幅に節約できます。洗練されたUEBAシステムは、Windows AD、VPN、データベース、バッジ、ファイル、プロキシ、エンドポイントなど様々な異なるログソースからデータを取り込み、インシデントを中心としたコンテキストのあるストーリーを作成して、セキュリティチームが分析できるようにします。

UEBAの多くのメリットの、ほんの一部を以下に紹介します。

  • 各種のリスク情報を結合し、最終スコアを作成してリスクをランク付けする
  • 優先順位付けと効果的なレスポンスが実現する
  • 自動インシデントレスポンス機能により、チームがセキュリティインシデントにすばやく、かつ少ない工数で対応できるようにする

True/Falseアラートのモデルと計算への置き換え

モデルは、UEBAを利用するチームにさらに多くのメリットをもたらします。確率を示すモデルはTrue/Falseアラートに比べて効果的です。また、データサイエンスを用いて様々なデータセットにわたる複数のエビデンスを組み合わせ、ユーザアカウントが侵害されているか不正行為を行っている可能性を定義できます。

高度なUEBAでは、以下のモデリングが可能です。

  • 認証を起動する通常のプロセス(異常なプロセスを捕捉するため)
  • ユーザがアカウント作成を実行した曜日および時刻と、同僚(ピア)と比較してこのユーザがアカウントを作成することは正常かどうか
  • 特定のデバイスが定期的に接続するポートとIPアドレス
  • PowerShell操作を実行するユーザと操作の内容
  • インターネットと通信する各ユーザのサブネット
  • どのユーザが特定の重要なアセットからどのサブネットを通るか

静的しきい値ベースのリスクアセスメントからの進化

静的しきい値ベースのリスクアセスメントでは、今日の洗練された攻撃者や技術に詳しい内部関係者に対抗することがもはや難しいという認識が高まっています。

UEBAを用いると、ピアグループベースの指標に基づくリスクスコア調整などの洗練された検知機能で、洗練された脅威に対抗できます。例えばUEBAでは、ある経理担当者の異常な行動を、経理担当者のピアグループの行動と比較して表示できます。UEBAはモデルとマッチングを用いて、ピアグループと異なる異常行動を1種類だけでなく何種類も検討して脅威を示します。異常行動とは、特定の経理担当者が人事部などの通常は使用しないサブネットにアクセスすることなどです。

バルバドスから初めてVPN経由でアクセスしてきたユーザのケースを考えてみます。エンティティの行動が異常だからといって、不正を意味しているとは限りません。ユーザが出張していることも考えられます。しかし、UEBAでは関連する行動に基づいてユーザ分析を行います。例えば、同じユーザが複数のサブネットにわたって移動していると、リスクスコアが劇的に上昇します。

APTのケースでは、従来型のシステムからは、侵害したクレデンシャルを使用するハッカーが人事部の平凡な従業員に見える場合があります。しかし、そのユーザが産業制御サブネットに突然アクセスすると、UEBAはそのユーザの行動を異常と認識します。

図1:注目すべき異常行動イベントを示すUEBAと、
ユーザの通常行動の基準となる様々なモデルを示すデータ分析情報

最後に、ExabeamなどのUEBAシステムにおける機械学習は、前述のすべてのシナリオで、アラートの可能性があるイベントのコンテキストをより高い精度で推測するのに役立ち、リスクスコアを調整して誤検知率を抑えることができます。

Luke Voigt.png

Luke Voigt
Exabeam, Inc. シニアセキュリティエンジニア


オンデマンド動画

脅威を丸見えに!機械学習による効果的なログ分析の実現
~UEBAを搭載した次世代SIEMプラットフォームExabeamとは~

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する"Exabeam"のご紹介します。動画はこちら1.2.png