本ブログ記事は、2021年5月27日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
脅威検知におけるネットワークテレメトリーの役割
内部および外部のネットワークリソースへのアクセスは、今日のマルウェアの活動に欠かせないものであり、偵察、初期感染から、それに続くコマンドアンドコントロール(C2)、水平移動、データ収集、データ流出まで、攻撃ライフサイクルのほぼすべての段階で利用されています。
テレメトリーとは、遠隔地の測定値などのデータを in situ(その場)で収集することを意味し、ギリシャ語の tele(遠く離れた)と metron(測定する)を起源とする言葉です。したがって、 ネットワークテレメトリー の収集と解析により、ネットワーク感染を早期に検知して迅速に対処することが可能になり、初期の感染場所を越えてマルウェアが拡散するのを未然に防ぐという重要な役割を果たしているという事実は何ら驚くに値することではありません。
純粋に シグネチャベース のマルウェア解析は従来型のアプローチであり、アンチウイルス(AV)製品がマルウェアのサンプルを得てシグネチャを作成するには、少なくとも「生贄」として1 人のユーザーが感染する必要があります。その後、更新による配布でさらに時間を要します。一方、より強力で隙のない脅威検知の方法は、組織とそのエンドユーザー、そしてエンドユーザーが正規のアクセスで使用するエンドポイントの「正常な」ネットワークの使用動作をモデル化し、マルウェアが引き起こした異常な動作を検知可能にすることです。特定の攻撃モードが斬新で既知のシグネチャがまだ存在しない場合や、意図的に柔軟性のある C2サーバーを使用して、明確で永続的なシグネチャが特定されないように意図する場合、更には、後続の検知と脅威根絶の基盤として使用される可能性を最小化するように工夫されているような場合でも、このようにモデル化した方法はマルウェアの検知を可能にします。
脅威検知における AI/ML の役割
人工知能(AI)と機械学習(ML)は、組織とそのユーザーの「正常な」行動をモデル化する機能に基づく脅威検知で重要な役割を果たします。このモデル化では、組織内のどのユーザーの行動とも一致しない例外の検知や、特定のネットワーク動作が特定のユーザーと関連している可能性が高いか低いかの予測が行われます。
更に、全体的なモデルベースの異常検知とユーザー固有の予測を併用すれば、誤検知と検知漏れの両方を減らすことにも役立ちます。
たとえば、組織全体では比較的珍しい特定のパターンの場合でも(高度に専門化した役割で、その役割に固有のアプリケーションとサービスを使用するなど)、特定のユーザーや小規模のユーザーグループと強い関連性を持つことがあります。このような場合は、特定のユーザーまたはユーザーグループの高い予測確率に基づいてリスクスコアを減らすことで、かなり変則的な行動でも誤検知を避けることができます。それとは逆に、組織内の多くのユーザーにとって比較的正常と思われる行動パターンでも(組織のグラフィックデザイナーの使用事例で、ファイルサイズが大きいメディア資産を特定のサーバーからダウンロードするなど)、特定のユーザーや小規模のユーザーグループ(HR や会計など)では、ほとんどまたはまったく見られないことがあります。このような場合は、低いまたはゼロの予測確率に基づいてリスクスコアを増やすことになります。
組織の「正常な」行動を学習することに加えて、マルウェアとそれに関連付けられている C2 のネットワーク動作のモデル化に AI/ML を使用することもできます。その場合は、組織のモデル化と併用することでリスク評価はさらに最適化されます。たとえば、組織やユーザーに関して異常性と低い可能性が同時に判定されるか、そのいずれかが判定され、マルウェアと C2 では正常と判定されるパターンの場合、リスクスコアは最も高くなります(例:企業の DL リストを使用したユーザーの社内メールによる大量の フィッシングメールや、対象を絞った大規模なデータ流出など)。
ネットワーク脅威のモデル化における BlackBerry のアプローチ
ネットワーク脅威のモデル化における BlackBerry のアプローチは、異常なアクセスの検知、予測行動のモデル化、統計解析、マルウェア/C2 検知の全体的な効果に基づきます。
このアプローチは、以下に示す3種類の悪意のあるアクターを迅速に検知して対処したいという私たちの願いに基づいています。
<悪意のある内部関係者>
悪意のある内部関係者の場合、異常なアクセスの検知と予測行動のモデル化それ自体では効果が低いと思われます。というのも、多くの場合、悪意のある内部関係者は過去の自身の行動と一致し、多くの特性を他の正常なアクセス(悪意のある内部関係者と組織全体の両方)と共有しているからです。さらに、異常なアクセス検知に対応して使用される認証チャレンジは、悪意のある部外者のアクセスを防ぐ効果は高いのですが、悪意のある内部関係者への対処では効果が低下します。
内部関係者に対処するために、BlackBerry の数理モデルはメタデータを収集するように設計されています。このメタデータは、特定のアクセスが異常であるかどうかの評価だけでなく、多数のアクセスイベントにわたって長期的なデータ流出のパターンが見られるかどうかの評価にも使用されます。
このモデルが対処する事例は、組織や特定の悪意のある内部関係者において、個々のアクセスは特に異常とは見なされないにもかかわらず、時間とともに確立された検知可能な異常パターンがある事例、特に悪意のある内部関係者を他の悪意のない内部関係者と比較したときに検知可能な事例です。たとえば、組織を去るつもりの恨みを抱いた営業の人間が、CRM データを長期間にわたって計画的に流出させるかもしれません。それぞれのアクセスイベントに伴うデータ量は不自然なものではなくても、その総データ量や継続的なアクセスパターンを他の営業のグループと比較すれば不自然であることがわかります。
<悪意のある部外者>
ロック解除されているデバイスへのアクセス権限を盗難や策略によって得ている悪意のある部外者や、正規の内部関係者の資格情報へのアクセス権限を得ている悪意のある部外者の場合、異常なアクセスの検知と予測行動のモデル化は非常に効果的です。「通常の」勤務時間帯にログインするなど、組織全体でユーザーの行動と一致することはあるとしても、侵害されたユーザーのモデル化された行動と悪意のある部外者の行動が継続的に一致する可能性ははるかに低いからです。
異常なアクセス行動や低い可能性のアクセス行動に対応して認証チャレンジを発行すれば、こうした攻撃をただちに停止させることができます。これが特に顕著なのは、チャレンジが生体認証の場合です(たとえば、リンクされたモバイルデバイスにチャレンジを「プッシュ」して、指紋ベースの認証や顔認識ベースの認証を実行するようにユーザーに要求します)。
さらに、生体認証に基づくチャレンジも侵害される 例外的な事例 を防ぐために、悪意のある内部関係者の事例に適用される「経時」解析も実行されます。
<マルウェア>
悪意のある部外者の事例と同様に、マルウェアによる異常なエンドポイントアクセスや低い可能性のエンドポイントアクセスが発生すると、チャレンジをトリガーして、正規のユーザーに疑わしいアクティビティへの注意を促し、エンドユーザーにアクセスを停止させてSOC(セキュリティオペレーションチーム)に通報する機会を提供できます。さらに、マルウェアとそれに関連付けられている C2 は、正規のユーザー主導型の行動と一致しないネットワークパターンを示します。正規のユーザーが疑わしいアクセスの試みを拒否していない場合でも、さらなる保護を提供できるように、マルウェアと C2 はモデル化および検知を別途実行します。
BlackBerry の異常検知モデルは、DNS クエリ/レスポンス、TLS 証明書、HTTP の使用状況などに基づく関連メタデータを収集するように明示的に設計されています。こうしたメタデータは、マルウェア/C2 の明確な検知の基盤として使用されます。
リスクスコアリング
前述のとおり、BlackBerry のリスク評価は全体的な効果のアプローチに基づいており、以下に示すリスクスコアリングに反映されます。
1) 全体のリスクスコアが計算される。
2) スコアに寄与するリスク因子が特定される。
3) 補足的なコンテキストがスコアとともに提供されるため、SOC の担当者はより適切に対処できる。
最後の項目は特に重要です。AI/ML モデルの多くは、特定の入力情報に応じてスコアや可能性を提供できますが、入力情報の「何が」その結果をもたらし、「なぜ」そのスコアになったのかに関する補足的なコンテキストを 有意義かつ透過的に 提供することはできません。
このような特性は、「説明可能性」としばしば称されます。BlackBerry のネットワーク異常検知モデルと関連メタデータ収集は、有意義な「コンテキスト」をできるだけ多く提供することで、スコアリングの結果ができるだけ「説明可能」になるように明示的に設計されています。
適応型のリスクポリシー
リスクポリシーは、リスクスコア、関与する特定のリスク因子、発行された認証チャレンジの結果(該当する場合)の組み合わせに基づいて適応的に適用されます。ポリシー適応のすべてがリスク因子に適合するとは限らず、リスク因子によっては認証チャレンジがふさわしくない可能性もあるため、適応型のリスクポリシーは重要です。
たとえば、悪意のある内部関係者を示唆する、「長い時間をかけて」機密データを流出させるパターンを検知したときは、認証チャレンジを発行しても意味をなしません。代わりに、SOC はすべてのアクセスをブロックするか、調査の結果が出るまで、さらなる措置を講じて検知について単に「警告する」ことを選ぶと思われます。
XDR による検知/対処の拡張
これまで述べてきたように、BlackBerry の初期実装ではスコアリングを重視し、ネットワークのリスク因子に適応的に対処できるようにします。私たちは BlackBerry® Gateway や BlackBerry® Optics 3.0 などの製品を通じて ソリューションを発展させており、ネットワークのリスク因子を他のリスク因子と関連付けて検知/対処をさらに最適化することで、XDR (eXtended Detection and Response)機能の拡張を図っていきます。
たとえば、BlackBerry は適応型ポリシーをドキュメントのアクセスと共有に適用できる、AI/ML ベースのデータ損失防止(DLP)をまもなく提供する予定です。ネットワークとドキュメントのリスクイベントを関連付けることで、さらにきめ細かい対処が可能になります。たとえば、全体のデータ量は特に多くなくても、アクセスされたドキュメントの機密性が異常に高く、他のものよりもリスクスコアが高いデータ流出の相関パターンを検知することができます。それとは逆に、特定のユーザーとしては通常より多くても、機密データのアクセスとは相関がない流出データの量を確認することもできます。
事例ごとにリスク評価の引き上げや引き下げを行い、理にかなった方法で取るべき措置を適切に変えていくことができます。
BlackBerry XDR ソリューションなどの最新の BlackBerry® テクノロジーを迅速に運用化したいとお考えですか? BlackBerry は、当社の製品について熟知している世界有数のプロフェッショナルサービスチームを擁しています。BlackBerry のセキュリティソリューションを実装して最適化する、パーソナライズされたきめ細かいサービスについて、ThreatZERO® のエキスパートに お問い合わせください。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・BlackBerry Japan:https://www.blackberry.com/ja/jp
