リモートワークを安全に実施するために パート3:生産性向上ツールを装ったマルウェアの検知方法

リモートの働き方が継続して行われているため、SOCチームにはより広い脅威領域を保護するという仕事が課せられています。環境の変化に適応するというこの課題は、従業員だけでなくSOCチームにとってもラーニングカーブ(学習曲線)となっています。SOCチームは、リモートのみならず、セキュリティ戦略の変革を強要される新しいワークスタイルの状況下にいます。この「リモートワークを安全に実施するために」シリーズのパート1では、サイバー犯罪者がどのようにフィッシングやマルウェア活動を私利私欲のために構築しているかについて説明しました。2つ目の記事では、VPNに内在する脆弱性を説明し、VPNサービスを保護する手法と異常なVPNアクセスを検知するための手法について説明しました。

この記事では、マルウェアを定義し、在宅勤務環境で高まるリスクについて説明します。さらに、生産性向上ツールを装ったマルウェアの検知方法に関するヒントを紹介します。

マルウェアとは何か

悪意のあるソフトウェア、つまりマルウェアは、攻撃者がデータやシステムにダメージを与えたりネットワークに無許可にアクセスしたりすることを目的に開発した、あらゆる悪意あるプログラムやコードを表す用語です。マルウェアは少し例を挙げると、アドウェア、スパイウェア、ウイルス、ワーム、トロイ、ランサムウェアなど様々な形態で現れます。しかし最終的な攻撃者の目的はシンプルです。それは個人的な利益です。

セキュリティ要塞の構築

マルウェアは目新しいトピックではなく、実際、最初のウイルスは1970年代にBBNテクノロジーズのBob Thomasが作ったCreeperプログラムにまでさかのぼります。それは、コンピュータ間をプログラム自体が移動する実験的コンピュータプログラムでした。そして近年、マルウェア攻撃の件数は急速な増加を見せ、Securityマガジンは2019年の第1四半期から第3四半期までだけで72億件のマルウェア攻撃が実行されたと伝えています。

この攻撃に対抗し貴重なデータや情報を保護するため、多くの企業が多層防御のセキュリティアーキテクチャを導入してきました。これは、ネットワークの物理的、技術的および管理的コントロールを保護するために設計された階層化セキュリティモデルです。

・物理的コントロール:ITシステムへの物理的なアクセスを物理的に制限または阻止します。(バッジアクセス、CCTV)

・技術的コントロール:ハードウェアまたはソフトウェアを通してネットワークシステムまたはリソースを保護します。(ファイアウォール、認証、行動分析)

・管理的コントロール:適切なセキュリティガイダンスを遵守したポリシーまたは手順。(データ取り扱い手順、雇用活動)

多層化セキュリティモデルの背景にある意図は、冗長化と複数の防御線を構築することです。どこかのセキュリティコントロールが機能しない場合でも、別のセキュリティコントロールが攻撃を阻止する準備ができています。

変化する働き方

マルウェアが目新しいものでないなら、新しいトピックは何でしょうか。それは変化する働き方です。多くの組織が多層防御戦略を構築したときは、ほぼ100%リモートワークになることをほとんどの組織が想定していませんでした。これは、マルウェアに対抗する主要な防御策を強固な境界としている企業にとっては大きな問題になる場合があります。境界型ツールは社内ネットワークを保護するのに役立ちますが、ほとんどの従業員がセキュリティ境界の外側にいる現在の状況では、多層防御戦略の有効性を低下させてしまいます。境界型ツールでは捕らえられなくなったマルウェアをブロックするために、エンドポイントでの検知およびレスポンスツールなどのポイントソリューションに依存する場合が多くなっています。

リモートワーカーを狙うサイバー攻撃者

悪意あるサイバー攻撃者は、多くのオフィスワーカーが在宅勤務を行っていることを認識し、従業員やデバイスが社内ネットワークの外にある現状を利用します。在宅勤務では、従業員がセキュリティ保護されていないWi-Fiネットワークで作業していたり、監視や保護が行われていない個人のノートパソコンを使用していたりする可能性があり、さらに、期限切れのシステムやパッチが適用されていないシステムを実行している可能性さえあります。従業員は新しい在宅勤務環境に移行するため、その多くが生産性向上ツールやアプリケーション、Zoomの背景などの新しいアプリケーションをダウンロードしています。

在宅での生産性を高めるつもりが、従業員は、自分自身や企業データ、アクセスしているリモートサーバをマルウェア攻撃の危険にさらしているおそれがあります。

リモートワークでのマルウェアの検知

3月13日にCybersecurity and Infrastructure Security Agencyは、組織がサイバーセキュリティの状態の強化を奨励するアラートを発表しました。

CISAは、ITセキュリティ担当者がログ確認、攻撃検知、およびインシデントレスポンスとリカバリといったリモートアクセスのサイバーセキュリティタスクの強化を準備することを推奨しています。

ITオペレーションチームにとって、マルフェアに感染したホストの検知や調査は通常のタスクですが、この業務を強化し、セキュリティ態勢を高めることが現在ビジネスに不可欠となっています。従業員がセキュリティ境界の外側にいる状況でも、Exabeam SIEMを活用し、以下の方法で多層防御を強化することができます。

1.異常なプロセス実行やネットワーク接続をログに記録する -- Windowsイベントからイベントコードを利用できます。WindowsセキュリティログイベントID4688は、新しいプロセスが作成された際に記録され、イベントID5156はWindowsフィルタリングプラットフォームが接続を許可した際に記録されます。様々なWindowsイベントコードのログを記録することで、たとえEDRシステムを展開していない場合も、エンドポイントの異常行動を知ることができます。

2.プロセスの初回実行に対するExabeamルールスコアを調整する -- ときには、一部のルールのスコアを調整する必要があります。その多くは、突然の組織の大幅な変更にモデルを合わせなくてはならないときです。このような場合、プロセスの初回実行に対するルールを調整し、異常アクティビティの重大度を引き上げることができます。これにより、高リスクの可能性があるユーザにフラグが立てられ、アナリストが確認できます。

3.プロセスの初回実行に対する脅威ハンティング -- 6か月分のデータがあり、6か月間、組織内で新しいプロセスを実行した人を確認していない場合、おそらく調査を実施したい対象となるでしょう。アナリストにこの検索クエリの保存を指示し、日常的に実行させることで、脅威ハンティングをアナリストの通常業務の1つにすることができます。従業員が生産性向上のためのツールをダウンロードし始めると、多くの場合、これらのイベントが流れ込んできます。しかし、境界の外側にいる状況にいても、プロセスの初回実行の脅威ハンティングによって防御層を追加できます。

4.ウォッチリストを作成する -- プロセスの初回実行イベントを持つユーザはすべてウォッチリストに追加され、最低24時間監視されます。24時間以内にユーザのリスクスコアが上がることがあれば、そのユーザの最初のダウンロードが悪意のあるものであったかどうかを判断するため、調査をしてみるとよいでしょう。

5.ウォッチリストを自動化する -- ユーザが異常なプロセスアクティビティを行い、特定のしきい値を超えるリスクスコアになった場合、そのユーザを自動的にウォッチリストに追加します。ウォッチリストにはTTLを設定でき、懸念されるような行動が追加で起こらなかった場合は、そのユーザは自動的にリストから除外されます。

6.セキュリティについて従業員を再教育する -- 会社のセキュリティポリシーについて従業員を再教育するには、今が最適な機会です。サイバーセキュリティが念頭にない従業員も多くいる可能性があるため、意識するよう促すことが重要です。新しいアプリケーションをダウンロードしたり、リンクをクリックしたりすることに関して、以下のようないくつかの簡単なベストプラクティスを共有します。

 1.ダウンロードする対象に注意する
 2.Webサイトに証明書があることを確認する
 3.メールのリンクをクリックする前に既知の送信者であることを確認する
 4.ポップアップ通知を信用しない
 5.オペレーティングシステムとブラウザを最新のものに更新する
 6.使用していないレガシーアプリケーションを削除する

この6つの簡単なステップを実行することで、セキュリティ層が追加され、組織内のマルウェア検知が向上します。

詳細情報

引き続き当サイトをご覧ください。この記事は、リモートワーカーに関してセキュリティチームが直面するよくある課題を扱った5部から成るシリーズのパート3です。これから2週間にわたり、リモートアクセス監視やデバイスポリシーについての記事を投稿します。

パート1:更新を装ったフィッシング詐欺の検知
パート2:異常なVPNアクセスの検知とVPNサービスを安全にするためのベストプラクティス
パート3:生産性向上ツールを装ったマルウェアの検知方法
パート4:UEBAを使った不正ログインとポリシー違反の検知方法
パート5:個人および会社のデバイスの使用に関するベストプラクティス

Cynthia.jpg

  CYNTHIA GONZALEZ

  Exabeam プロダクトマーケティングマネージャー

Exabeamのプロダクトマーケティングマネージャー。顧客に対し、特にテクノロジーを使用した仕事の有効化と簡略化を提唱。高機能のソフトウェア製品と顧客が期待する恩恵とのギャップを埋めることに注力。食べることに目がなく、おやじギャグ好きで知られる。

----------------------------------------------------------------------------------------

オンデマンド動画

脅威を丸見えに!機械学習による効果的なログ分析の実現
~UEBAを搭載した次世代SIEMプラットフォームExabeamとは~

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティみを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する"Exabeam"のご紹介します。

動画はこちら1.2.png

メルマガ登録バナー(セキュリティ).jpg

ランキング