【後編】"備えあれば憂いなし"を体現する"インシデントレディネス"のススメ
前編では、今なぜインシデントレディネスが求められているのか、その背景とインシデント対応の望ましい姿を解説しました。
後編では、インシデントレディネスによる運用の効果や、インシデントレディネスを推進するためのソリューションについてお伝えしていきます。
インシデントレディネスによる運用の高度化と効果
インシデント対応では、インシデント検知後の調査から影響特定、社内調整などを経て隔離などの封じ込めをした上で復旧作業に入っていくことになりますが、現在の運用で侵入されてから2時間以内に封じ込めができると言えるでしょうか。
極端な例ですが、十分な準備が出来ていなければ、以下のように封じ込める前に2時間経過してしまい被害が発生してしまうリスクがあります。
インシデント対応例
- インシデントが発生したことをセキュリティ製品にて検知
- セキュリティ担当者がインシデント管理システムにチケットを起票し調査を開始
- 脅威の内容が分からず影響を判断できなかったためアナリストに詳細確認を依頼
- 感染端末と通信先のIPアドレスを確認し影響範囲を特定
- IPアドレスからホスト名を特定するためにシステム管理部門に問い合わせ
- システム管理部門にてDHCP, DNSから現在のホスト名と機器の管理者を確認
- 機器の管理者に隔離依頼を行うが連絡がつかずに隔離ができない
- そうこうしているうちに被害発生
※被害発生までに隔離が出来ない場合のタイムラインイメージ
上図では、インシデントを検知してから隔離するまでの間で、調査や調整に時間がかかっている点、また複数人とのコミュニケーションが発生している点が気になります。こういった部分は時間がかかりやすいため、ここをいかに抑えるかが迅速化のポイントとなってきます。例えば以下のようなイメージです。
インシデントレディネスによって高度化された対応例
- インシデントが発生したことをセキュリティ製品にて検知
- (システム同士を連携させ自動でチケットを起票)
- セキュリティ担当者が感染端末と通信先のIPアドレスを確認し影響範囲を特定
- セキュリティ担当者にてIP,ホスト名の紐づけ情報をシステム検索して確認
- セキュリティ担当者にて対象端末のエンドポイント製品のAPIを利用し、
被害の発生前にネットワーク遮断
※青字:高度化された箇所
※インシデントレディネスによって被害発生前に隔離した場合のタイムラインイメージ
上図のように定型的な作業だった起票作業が自動化され、他者とのコミュニケーションを必要とせずにセキュリティ担当者によって隔離までの対処が出来るようになれば、ほとんど待ち時間のない迅速な対応が可能になります。またコミュニケーションミスによるリスクも軽減されると言えるでしょう。
インシデントレディネスを強力に推進するためのソリューション
セキュリティ運用においてインシデントレディネスの重要性について説明させていただきましたが、手作業での準備にはやはり限界があります。ここからはインシデントレディネスを強力に推進するためのソリューションをご紹介しますので是非ご検討ください。
現在セキュリティの分野には様々なソリューションがありますが、その中にインシデントレディネスを推進するにあたって活用できるものもいくつかあり、以下がその製品カテゴリとなります。
- SOAR(Security Orchestration, Automation and Response)
製品間の連携や対処まで含めて、インシデント対応を自動化 - UEBA(User and Entity Behavior Analytics)
ユーザや機器の行動分析を行い不正な行動やリスクを早期に検知 - BAS(Breach and Attack Simulation)
サイバー攻撃に対して自社のセキュリティ対策が有効かどうかを自動的に診断 - Intelligence(Threat Intelligence)
サイバー攻撃の主体やその戦術、手法、手順、脅威動向に関する情報
各ソリューションの詳細な説明は割愛させていただきますが、なかでもSOARは注目度の高いソリューションの1つですので、具体的な仕組みの部分を簡単にご紹介させていただきます。
SOARによる製品連携と自動化の仕組み
SOARはAPIを使ってセキュリティ製品を連携させ、事前に定義されたフローに従ってインシデント対応を自動で実行することが出来るソリューションです。
対応フローの実行の契機としては、IPSやSandbox、アンチウイルスソフトウェアなどのセンサー系の製品で検知したアラートはもちろん、SIEM(Security Information and Event Management)を通してOSやサーバの特定の操作などを対象にすることが可能です。
例えば、怪しいIPアドレスへの通信を検知した際に、端末を隔離した上で、ファイアウォールやプロキシの拒否リストに追加して別端末の感染を防ぐといった対処を人の手を介さずに行うことが出来ます。
こういったフローの定義によって定型的な業務の迅速化や属人化の排除が出来るだけでなく、業務の流れが可視化されることによって見直しや改善がしやすくなるメリットもあります。
Playbookと呼ばれるインシデント対応フロー
対応フローはPlaybookと呼ばれており、実行条件や実行するアクション、条件分岐を組み合わせたフローチャートの形式で定義します。
インシデント対応の調査から対処までに必要な様々な連携処理や外部からの情報収集なども含めて、例えば以下のようなアクション定義することが可能です。
- IPアドレスやファイルハッシュを基にしたレピュテーション
- 社内の資産情報との突き合わせ
- 収集したリスクスコアを基にした条件分岐
- ファイアウォールやプロキシが持つブラックリストの更新
- EDRと連携した端末隔離
- メールによる担当者や管理者への通知
下記の例ではサンドボックスにて検知した不正通信のアラートをトリガーに、URLやIPを含めた通信先に関するレピュテーションの評価を確認、悪性の場合はデバイスを隔離して管理者にメール送信するまでのフローが自動化できることを示しています。
また製品連携の部分は呼び出すAPIや製品ごとに豊富なアドオンが用意されているため、設定するだけで簡単に利用することが可能です。さらに独自のアクションを組み込むこともできるため、事前にアドオンが用意されていないような自社独自の製品との連携も、API次第で可能になります。
このようにPlaybookを定義することで、場合によっては数時間を要していた対応がわずか数分で完了できるといった効果が期待できます。インシデントレディネスを推進する際の強力なツールとなるでしょう。
マクニカネットワークスが提供できるソリューション
マクニカネットワークスでは、「Exabeam」「FireEye」「Splunk」が提供するSOARソリューションを取り扱っています。
Exabeamは、SIEMとしてのログ収集・管理機能となる「Data Lake」を中心に、ユーザのログ解析である「Advanced Analytics」や機器ごとのログ解析を行う「Entity Analytics」などのUEBA機能、そしてオートメーション・オーケストレーションによる対処の自動化機能となる「Incident Responder」やインシデントケース管理の「Case Manager」を備えたソリューションです。
FireEyeは、独自のインテリジェンス情報を持っていることが大きな特徴の1つとなっており、インシデントごとにベンダーの知見をもとにしたガイド付の調査機能が備わっているなど、インシデントレスポンスの迅速化に役立つ機能が豊富に備わっています。ネットワークやメール、エンドポイントそれぞれに対応したセキュリティ機能がラインナップされており、クラウド型のセキュリティ運用プラットフォーム「Helix」を活用することでクラウドサービスの監視や自動化に向けた環境づくりに貢献します。
そしてSplunkは、単なるセキュリティを中心としたSIEMだけでなく、ITインフラやWebアナリティスクなど総合的なデータ分析プラットフォームとして活用できるソリューションです。Splunk Phantomと呼ばれるSOARソリューションを活用することで、既設のセキュリティデバイスやSIEM製品からの相関分析アラートをトリガーに、インシデント対応のタスクを自動実行、運用者の意思決定や対応の迅速化に大きく役立ちます。
さいごに
脅威の高度化によって迅速なインシデントレスポンスが求められる中、入念な事前準備となるインシデントレディネスの考え方が改めて注目されています。インシデントレディネスを推進できるソリューションとして今回は、SOARをご紹介しました。一度自社の組織体制、システム環境、平常時/インシデント発生時の対応までセキュリティ運用全体を見直し、場合によってはご紹介したソリューションなどを活用しつつ、運用の高度化を図ってみてはいかがでしょうか?
この記事の詳細はホワイトペーパーでもご覧いただけます。また、Splunk Phantomをご紹介するオンデマンド動画もございますので、お気軽にご覧ください。
※本記事は2021年5月に開催した「Macnica Security Forum 2021」の講演内容を元に執筆しています。
その他の講演内容はこちら▼
忍び寄る"ラテラルムーブメント"に気を付けろ! EDR導入後に必要なセキュリティ対策のイロハ