Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
東北お助け隊 デジタルハーツ活動について
みなさまのネットワークを守る監視サービス
2019年12月11日版
セキュリティ事業部
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
Managed Security Service for Stellar Cyber Starlight は、Stellar Cyber Starlight のアラートの解析を行い、レポートを提供するサービスです。アラート解析レポートでは、単なる「アラートの通知」ではなく「具体的な対策を提示」します。
1
Managed Security Service for Stellar Cyber Starlight 概要
・24時間365日リアルタイム監視
・初期対応に必要な情報(速報)はアラート受信後60分以内に発報
・ファイアウォールにDenyルールをリモートで投入※
・高度な専門知識と業務経験を有するアナリストによる解析・対応支援
アラート受信
特定通信
DH-SOC
アナリスト
SOC解析基盤
Network Sensor アラート解析レポート
お問い合わせ対応
検知
精査IDS/Sandbox
運用ご担当者
Data ProcessorSecurity Sensor
解析
お客様
FWルール投入※
※ファイアウォールへのルール投入は、Stellar Cyber Starlight 対応のファイアウォール製品に限ります。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
メニュー 内容
アラート解析
概要受信したアラートに関するインシデントのログを解析し、危険度の判定と早期対応に必要な情報を提供します。
アラート受信 24時間365日
解析レポート提供
アラート受信後60分以内に送付※DH-SOCにて高度な解析が必要と判断した場合のみ、翌営業日以内に
二次レポートを送付します。
FWルール投入※
アラートの解析により判明した不正な通信を拒否するルールをリモートで投入します。
対象製品 Stellar Cyber Starlight
月次レポートセキュリティ侵害検知状況、最新のセキュリティ関連情報のレポートを月1回提供します。(月初5営業日以内)
2
Managed Security Service for Stellar Cyber Starlight メニュー
サポート窓口 受付時間:24時間365日 受付方法:メール、電話
※ファイアウォールへのルール投入は、Stellar Cyber Starlight 対応のファイアウォール製品に限ります。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 3
Managed Security Service for Stellar Cyber Starlight メニュー
危険度 概要 DH-SOC対応 通知 お客様側対応
高
お客様の資産にとって重大な脅威となりうるイベントが確認され、ネットワーク機器での緊急対応が必要なインシデント(例:Fidelityが高く、キルチェーンのC&CおよびAction &Exfiltrationのアラートのもの)
・電話及びメールでの通知・解析レポート提出・ファイアウォールへのルー
ル適用の実施※1
■アラート受信後60分以内・電話・メール(一次レポート)
・レポートの確認・ネットワーク機器へのルー
ル適用、当該エンドポイントへの対応など
中
緊急ではないが何らかの処置が必要なインシデント(例:キルチェーンのInstallation以下のアラートで、Fidelityが低くないもの)
・メールでの通知・解析レポート提出
■アラート受信後60分以内・メール(一次レポート)
・レポートの確認・ネットワーク機器へのルー
ル適用、当該エンドポイントへの対応など
低攻撃活動の可能性が低いインシデント(例:Fidelityが低いものや、ネットワークのアノマリ通信によるもの)
なし(ご依頼があった場合のみ
解析レポート提出)
なし※2 ・アラートメールの確認・弊社への解析依頼
(必要な場合)
※1 Stellar Cyber Starlight 対応のファイアウォール製品に限ります。お客様との取決め次第では、DH-SOC側でお客様の確認を待たずに、先行して隔離する事も可能です。※2 危険度低のアラートは、特にご依頼がない場合、月次レポートでのみ報告いたします。
アラート解析
DH-SOCにて、アラート通知の重要度を以下の3種類に分類し、重要度に応じて電話やメールにてお客様にお知らせいたします。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
◼ 分かりやすいレポートで、的確な初期対応をバックアップ
Stellar Cyber Starlightでは、インシデントへの早期対応に必要な情報を確認できる一方、専門的な知識がないと理解しづらく、せっかくの有益な情報を十分に活用していただくことが困難な場合があります。
Managed Security Service for Stellar Cyber Starlightでは、アラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」を分かりやすくまとめたレポートを提供し、的確な初期対応を支援いたします。また、遠隔にて問題の端末をネットワークから隔離し、被害の拡大を抑止することも可能です。
4
Managed Security Service for Stellar Cyber Starlight の特長
【Starlight の管理コンソール画面イメージ】 【アラート解析レポートイメージ】
解析レポート内容
・インシデント検知時刻・危険度・対象エンドポイント情報・アラート対象プロセス情報
(概要)・不正通信先・推奨対応・Stellar Cyber Starlightでの
アクション(ファイアウォールへの
ルール追加)
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
お客様 DH-SOC
インシデント対応フローのほとんどをDH-SOCで対応いたしますので、お客様の運用負荷を大きく削減できます。
対応にあたってご不明な点があれば、専門知識を有するアナリストが電話、メールでQ&A対応いたします。
5
Managed Security Service for Stellar Cyber Starlight の導入効果
インシデント検知
トリアージ
対応計画
対応実施※
対応完了
対応不要
・Stellar Cyber Starlightからのアラート検知
・アラート内容の確認・過検知判定・危険度判定・初期対応策の案出
・案出した対応策から実施策を選定
・選定した対応策の実施
・社内外への報告・インシデント管理
FWへのルール投入
アラート解析
※ファイアウォールへのルール投入は、Stellar Cyber Starlight 対応のファイアウォール製品に限ります。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 6
Starlight™の概要
Pervasive Breach Detection System(包括的異常検知システム)
「監視の盲点(Blind Spot)」をなくすあらゆるシステム環境からデータを収集。検出した既知および未知の動作を、サイバーセキュリティのKill Chainにマッピング必要なすべての機能を搭載。
運用負荷を大幅に低減AI技術を活用して機械学習することにより不要なアラートを排除。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 7
セキュリティ監視の課題
監視の盲点(Blind Spot)
•システム環境の仮想化の広がり
•プライベート・クラウド
•パブリック・クラウド
•コンテナ
→ 既存のツールでは監視ができず盲点になっている
大量のアラートと誤検知
•各セキュリティツールが個別に稼働しているため誤検知が多く、それぞれのツールが大量のアラートを出す
•IDS/IPS
•Sandbox
•SIEM
→ セキュリティ運用の手間・コストがかかる
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 8
Starlight™の独自技術とメリット
Inter Flow™
さまざまな環境からリッチなデータを効率的に収集
Distributed Security Intelligence™
分散環境でセキュリティイベントを迅速に検知・分析
Multi-ML™
複数のAIを組み合わせることでセキュリティ異常を正確
に判断
→あらゆる環境に対応し監視の盲点を無くす
→対応が必要な少数のセキュリティ異常のみアラートし、
運用の手間・コストを削減する
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 9
事例:EQUIFAX社
事象:米国の信用情報大手のEquifaxにて1億4550万件の個人情報が漏洩(2017年)
Apache Struts2の脆弱性に対するパッチ適用が遅くなり、脆弱性を攻撃された
多数のアラートに埋もれて攻撃の検知が遅れた
Starlight™ でログを分析10,150件の異常検知情報から実際の侵入が2件発生したことを検知
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 10
インテグレーション
Firewall SIEM
通知
EDR
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 11
必須コンポーネント
Collect Detect Investigate Respond
包括的なデータ収集
Interflow™JSONUSAP
重大な問題を効果的に検出
ML多層的な検知
自動化による効率化
運用自動化Firewall連携ケース管理
収集 検出 調査 対応
死角のないログ調査
可視化カスタマイズビュー
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 12
ダッシュボード
キルチェーン対応
リスクレベルの可視化
脅威分布図
リスクレベルの可視化
リッチフィルター
作業効率化
キルチェーンのフェーズ毎にリスクを可視化リッチなフィルター機能を使ってクリティカルなリスクに即時アクセス
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 13
サイバーキルチェーンについて
Startlightでは、攻撃の手順(Cyber Kill Chain)の各段階において検知を行い、重大度に応じてアラートを上げる。
13
偵察(Reconnaissance)
配送(Delivery)
攻撃(Exploitation)
インストール(Installation)
遠隔操作(Command & Control)
目的実行(Actions on Objective)
• インターネット上に公開されている情報(企業情報やSNSなど)から、標的となる企業および人物を決定
• 「標的型攻撃メールの送付」=事前調査により決定された人間に標的型攻撃メールを送付
• 攻撃対象に添付ファイルを開かせる、もしくは悪性Webサイトに接続させ脆弱性を利用した攻撃コード(エクスプロイト)を実行する
• 攻撃コードの実行もしくは添付した実行ファイルを開かせて、マルウェアがインストールされる
• C&Cサーバへ接続させる事で、端末を遠隔操作する
• 目的の情報を探し出し、HTTP/FTPなどの手段で外部へ持ち出す
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
お助け隊活動におけるアラート動向 4大セキュリティ
IP /ポートスキャンは、既知の脆弱性を悪用を目的としたアクティブなコンピューターまたはポートを見つけるためにネットワーク内のコンピューターまたはコンピューター上の一連のサーバーポートをプローブする攻撃です。
14
顕著なアラートについて
偵察(Reconnaissance)
DNSトンネリング:DNSを介してトラフィックをトンネリングする異常な量の接続が行われましたこれは通常、隠されたデータの流出の試みを示しています。
目的実行(Actions on Objective)
遠隔操作(Command & Control)
コマンド&コントロールのレピュテーション
既知のコマンド&コントロールサーバーとの間の異常な接続が存在します。
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 15
補足資料
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
• ユーザーログインの失敗次のアプリケーションで異常な量のユーザーログインの失敗が観察されるなど:SSH、SMTP、FTP、RDP、SMB、MYSQL、Postgres、TDS、Active Directory、Office 365
• スキャナーのレピュテーションスキャナーのレピュテーションにある特定のIPアドレスから、異常な量の接続が検知されました
• スキャナーによる振る舞いスキャナーの振る舞い調査
• URL偵察異常な量のhttp 404エラーが検知されました。これは、攻撃者が悪用できる可能性のあるページを見つけようとして存在しないWebページをスキャンしていることを示している可能性があります
• IP /ポートスキャンIP /ポートスキャンは、既知の脆弱性を悪用を目的としたアクティブなコンピューターまたはポートを見つけるためにネットワーク内のコンピューターまたはコンピューター上の一連のサーバーポートをプローブする攻撃です。
• SMBユーザー名の列挙同じソースからの一意のユーザー名による5回を超える異なるユーザーログイン試行が検知されました。
Reconnaissance偵察
ハッカーがエントリポイントをスキャンターゲットの調査、識別、選択を試みます
サイバーキルチェーン 偵察フェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
悪意のあるペイロードの実行:ターゲットへの武器の送信。例えば 電子メール、添付ファイル、WebサイトまたはUSBドライブ経由
• マルウェアアクティビティ-説明の確認が必要システムまたはファイルへのアクセスを防ぎ、アクセスを回復するために身代金を要求するマルウェア
• ランサムウェアシステムまたはファイルへのアクセスを防ぎ、アクセスを回復するために身代金を要求するマルウェア
• トロイの木馬の活動一見無害なプログラムやデータであるように見せかけながら、何らかのきっかけにより悪意のある活動をするように仕組まれているマルウェア
• スパイウェア活動ユーザーの行動や個人情報を知らないうちに自動で外部に送信するマルウェア
• その他の不良ファイルデバイスを傷つけるように意図的に設計されたソフトウェア。 マルウェアの種類には、ランサムウェア、トロイの木馬、アドウェア、スパイウェア、ウイルスなどが含まれます。
Deliveryデリバリー(配信)
悪意のあるペイロード配信ターゲットへの脅威ツールの送信をします例えば メール、添付ファイル、ウェブサイト、USBドライブ経由です
サイバーキルチェーン 配信フェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
脆弱性の実行:配信されると、武器のコードがトリガーされ、脆弱なアプリケーションま たはシステムを悪用します
• プロセスプロセスが、これまでに一度も見たことがないか、異常な量の実行があるサーバーで起動されました
• プライベートからエクスプロイトへの試みパブリックIPからプライベートIPに開始された異常な量のシグネチャベースのエクスプロイトが検知されました
• プライベートからパブリックへの悪用の試みプライベートIPからパブリックIPに開始された異常な量のシグネチャベースのエクスプロイトが検知されました
• プライベートからプライベートへの悪用の試みプライベートIPからプライベートIPに開始された異常な量のシグネチャベースのエクスプロイトが検知されました
• 公開から公開への悪用の試みパブリックIPからパブリックIPに開始された異常な量のシグネチャベースのエクスプロイトが検知されました
Exploitation実行
脆弱性の実行配信されると、武器のコードがトリガーされます脆弱なアプリケーションまたはシステムの悪用を実行します
サイバーキルチェーン 実行フェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
悪意のあるソフトウェアのインストール:武器はターゲットのシステムに永続的なアクセスを許可するバックドアをインストールします。
• ファイル作成1つまたは複数のファイルが、以前に作成されたことのないサーバーで作成されたか、異常な量があります。
Installationインストール
インストールされた悪意のあるソフトウェア武器はターゲットのシステムにバックドアをインストールしますこれにより永続的なアクセスを取得します
サイバーキルチェーン インストールフェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
リモートコントロールの確立:接続先外部サーバーはハッカーと通信します。ターゲットのネットワーク内でリモートでのキーボードアクセスを提供します。
• DGA(ドメイン生成アルゴリズム)コンピューター生成ドメイン名へのドメイン名クエリが存在します。コンピューター生成のドメイン名クエリは、感染したホストを示しています。
• コマンド&コントロールのレピュテーション既知のコマンド&コントロールサーバーとの間の異常な接続が存在します。
• サーバーコマンドこれまでに見たことがないか、異常な量のサーバーコマンドが実行されました。
• ファイルアクションファイルに対して、移動、コピー、削除などのファイルアクションが実行されました。または、以前または異常な速度で見られたことのない属性の変更。
• SQLシェルコマンドSQL接続を介してシェルコマンドが検知されました。これは、ハッカーが脆弱なSQLアプリケーションを介してシェルアクセスを取得しようとする一般的な方法です。
• PowershellリモートアクセスPowershellを使用して、リモートサーバーへの接続を開くことができます。
• エンコードされたPowershellスクリプト特別なパラメーターで難読化されたPowerShellスクリプトを検知しました。
Command & Controlコマンドアンドコントロール
リモートコントロール確立外部サーバーは仕掛けた脅威ツールと通信しますターゲットのネットワーク内のコントロールを提供します
サイバーキルチェーン コマンド&コントロールフェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
データ盗難リモートコントロールの確立:接続先外部サーバーはハッカーと通信します。ターゲットのネットワーク内でリモートでのキーボードアクセスを提供します。
• DNSトンネリングDNSを介してトラフィックをトンネリングする異常な量の接続が行われましたこれは通常、隠されたデータの流出の試みを示しています。
• SYNフラッド攻撃攻撃者は、サーバーリソースを消費しようとして、標的のシステムに大量のSYNリクエストを送信しますこれによりシステムが正当なトラフィックに応答しなくなるようにします。
• PIIリーク社会保障番号やクレジットカードなど、個人を特定できる情報が明確に検知されています。
• 成功したユーザーログイン場所正常なユーザーログインでも、標準外の場所からのログインが検知されました。
• ブルートフォースユーザーログイン以前に大量のログイン失敗が見られたIPアドレスから、ログインの成功が検知されました。
Actions & Exfiltrationアクションと流出
データ盗難の発見攻撃者は侵入の目的を達成(情報漏洩)しますさらに、別のターゲットの情報の流出、破壊または侵入をします
サイバーキルチェーン アクションフェーズ
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved.
アクションと流出(続き)
• SQLダンプファイルの実行DUMPFILEコマンドの存在が検知されました。このコマンドは、一般的にデータベースの内容をダンプしたり、ディスク上のファイルに出力を照会したりするために使用されます。
• クリプトジャッキング暗号通貨をマイニングするためのコンピューターの不正使用。
• Mimikatzクレデンシャルダンプ特権操作を使用して資格情報を抽出できるように、セキュリティ権限ポリシーを変更するMalwar /悪意のあるコード。
• 異常な親/子プロセスこの親プロセスによってめったに起動されない子プロセスが検知されました。
サイバーキルチェーン アクションフェーズ
Actions & Exfiltrationアクションと流出
データ盗難の発見攻撃者は侵入の目的を達成(情報漏洩)しますさらに、別のターゲットの情報の流出、破壊または侵入をします
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 23
COLLECT 包括的なデータ収集
仮想プラットフォーム対応
サポートパブリッククラウド
Network Sensor
収集
IDS/Sandbox
Data Processor
Security Sensor
Agent
精査・検知
センサー/エージェントを組み合わせて包括的にデータを収集仮想ネットワークにも対応しネットワークの盲点をなくす
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 24
Detect 重大なリスクを効果的に検出
キルチェーン1ページビュー
視認性アップ
ホストをベースにした時系列表示
作業効率化
キルチェーンのステージごとにタイムライン表示不審なホストを可視化
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 25
Investigate 死角のないログ調査
検出タイプでカテゴライズ
視認性アップ
KIBANAプラグイン
作業効率化
フィルターに加え検出タイプでカテゴライズKIBANAプラグインを実装
Confidential 🄫 2019 DIGITAL HEARTS All rights reserved. 26
Respond 自動化による効率化
自動化向けツールボックス
オートメーション
Firewall連携
自動遮断
緊急対応が必要な作業を自動化セキュリティ担当者の作業時間を低減