サイバー異常の検知:BlackBerry の Threat Research チームが攻撃を発見する 2 つの方法
原文のブログはこちらからご覧いただけます。
BlackBerry のシニア脅威リサーチャー Jacob Faires は日々マイニングを行っています。マイニング(採掘)といっても、ダイヤモンドを求めて地球を採掘するのではなく、サイバー攻撃を検知するためにデータを採掘しています。すなわち、データマイニングです。これら 2 つの採掘活動には共通点があります。それは、いずれも専門的なツールと粘り強さ、そして目に見える「小さな」ディテールを見極める力が必要であるという点です。
Faires の場合は、10 億行規模のデータを調査してサイバー攻撃を発見し、それを解析することになります。
「私たちが探すのは、『静かに』行動する、つまりクライアントのマシンにひそかに侵入しようとする脅威アクターです」と Faires は説明します。「私たちはこうしたインシデントを発見し、関連する攻撃の検知手法を確立した上で、その種の攻撃を公表します。それによって、各組織が何に注意すべきかが明確になるのです。これが可能なのは、私たち BlackBerry がこうしたインシデントの発見と検知において最先端を行く企業だからです」
ダイヤモンドの原石を探す場合と同様、これは誰にでもできることではありません。では、BlackBerry が誇る世界トップクラスの脅威リサーチチームは、具体的にどうやってこの難題を成し遂げているのでしょうか?
サイバー脅威とサイバー攻撃の検知
Faires と彼のチームメイトは、高度に専門化されたツールと手法を駆使してサイバー攻撃を検知し、その防御のために BlackBerry® テクノロジーをアップデートしています。さらに、文脈に沿ったサイバー脅威インテリジェンス(CTI)レポートを作成して配布し、脅威アクターが採用している最新の戦術、技法、手順(TTP)を全世界に共有しています。
これらを成し遂げるための取り組みは、一見不可能と思われる量のデータを解析することから始まります。
「1 社のお客様だけでも、データベースの行数は 3 カ月で 10 億行近くになります。10 億行全体を調べるとなると、データ全体を処理するために大規模なクラスタを使用する必要があるでしょう。そのため、データをごく単純な要素に絞り込もうとする場合でさえ、データ全体をロードして処理し、実行中のコマンドラインから固有の要素を見つけ出さなくてはなりません」
Faires は、お客様を保護する BlackBerry のクラウド対応型エンドポイント検知/対処(EDR)ツール CylanceOPTICS® で脅威ハンティングを実施して、こうした膨大なデータを解析し、プロセスのライフサイクルを追跡します。「解析対象を一定期間内の特定のデバイスだけに絞り込み、攻撃がどのように行われたかを文脈に沿って理解できます。さらに、攻撃チェーン全体を見通すことも可能です。これを通常の検知の流れと比べてみてください。通常はただファイルを取得して、『このファイルが検知されたからには、そのシステム上に探るべきものが何かある。調査を進めよう』と言えるだけです。CylanceOPTICS があれば、『これが攻撃の全タイムラインで、今後はこうすれば攻撃を予防できる』と言うことができます」
(注:CylanceOPTICS は CylanceENDPOINT™ Pro および CylanceENDPOINT™ Advanced に含まれます)
脅威検知のための膨大なデータの管理
脅威ハンティングに必要な膨大なデータを手に入れたとして、どのようにそのデータを管理し、真の問題を見出せばよいのでしょうか。BlackBerry の Threat Research & Intelligence チームには、非常に強固な社内連携プロセスという強みがあります。同チームのメンバーは BlackBerry のデータアーキテクチャチームと緊密に連携し、成果を最大化します。
このアプローチを実施するため、同チームは当初、BlackBerry の既存のデータレイク(データを保管する中央リポジトリ)とシームレスに統合でき、また高性能かつ低遅延の読み出し/書き込み機能を提供できる統合データプラットフォームを必要としていました。サイバー攻撃の検知、データの拡充、および攻撃への対処では 1 秒 1 秒が結果を左右するため、この要件は重要です。
同チームはまた、バッチデータとストリーミングデータの両方について、社内のデータアナリスト、データサイエンティスト、脅威リサーチャーの連携を可能にする包括的なツールも必要としていました。ストリーミングデータがリアルタイムの意思決定と状況変化への対応を実現する一方、バッチデータは膨大な蓄積データに対して複雑なクエリを実行可能にします。
データウェアハウスを導入すれば、こうした要求により迅速かつ柔軟に応えられます。そこで弊社のチームは複数のクラウドデータウェアハウスベンダーを評価し、Databricks 社の Databricks Lakehouse Platform を採用しました。このプラットフォームなら、要件を満たすと同時にデータアーキテクチャを簡素化できるためです。
以前であれば、弊社の脅威リサーチャーが分散したシステムを調査する必要がありました。そこでは異なるアプリケーションプログラミングインターフェイス(API)や異なるデータベースにアクセスし、そのすべての情報を特定の場所に集約することが求められました。すべてを統合するためだけに、まったく新しいシステムを構築する必要があったのです。
「そうしたシステムには、専任チームによるサポートと管理が必要でした」と、BlackBerry の主席データアーキテクト Justin Lai は言います。「Databricks の下ではすべてが一元化されます。弊社の脅威リサーチャーはそのデータを容易に照会し、利用できます」。
また、サイバーセキュリティ脅威を検知するために膨大な顧客データを扱う場合、規制遵守の観点から、適切な人材だけにデータへのアクセスを許可し、データの出所と利用状況をエンドツーエンドで可視化することが不可欠です。これにより、データレイクの管理が容易になります。
「結果として、データ資産に対する統一的な視点が得られ、チーム間の連携が簡素化されました。現在では、アクセス権を管理し、データレイク内のファイルやテーブルを監査するための標準的なアプローチが確立できています。アクセス制御は行および列単位できめ細かく定義できます」と Lai は語ります。「自動化されたデータリネージは、データの出所を把握し、潜在的な脅威の原因を特定するのに役立ちました。また、どの研究プロジェクトやチームが当該データを脅威検知に活用しているかも理解しやすくなりました」。
チームはさらに、このアプローチを活かしてデータサイロを解消し、自社の EDR パイプライン(収集データの抽出、読み込み、変換のプロセスに関わるクラウドインフラ)を繰り返し改善しました。その結果、チームはデータの取り込みを高速化し、クエリの待ち時間を 20% 以上削減しました。この高速化の効果は、迅速な脅威検知という形で BlackBerry のお客様に還元されています。
データの管理に対するこのアプローチは、BlackBerry のデータアーキテクチャと脅威リサーチチームが、受賞歴のある弊社の人工知能(AI)駆動型製品からの Cylance® データテレメトリを活用している方法の 1 つに過ぎません。
最終的には、BlackBerry はお客様を保護し、サイバー脅威インテリジェンスを文脈に当てはめ、四半期ごとのグローバル脅威インテリジェンスレポートなどの公開レポートにフィードバックしています。
YARA ルールによる関連サイバー攻撃キャンペーンの特定
BlackBerry のリサーチチームが Cylance およびオープンソースインテリジェンス(OSINT)のデータからサイバー攻撃の兆候を見出すもう 1 つのアプローチは、脅威リサーチャーが大規模なデータセット全体に適用する「YARA ルール」に関連しています。このルールには、コードを共有しているものの必ずしも同一ではないマルウェア「ファミリー」を特定するための、マルウェア検知パターンを設定します。
一般的なアプローチでは、YARA ルールのセットを少なくとも 2 種類用意します。たとえば、片方のデータセットをハンティング用にすることが挙げられます。これは、リサーチャーがある程度の誤検知を許容する「粗い YARA ルール」を記述する場合があることを意味します。というのも、ここでの目的はディスク上の不審なファイルやオブジェクトを発見することだからです。リサーチャーは、タイムスタンプ、言語、ハッシュ、難読化などのあらかじめ定義した基準に従って、ファイルやオブジェクトが悪意のあるものである(またはその可能性がある)と推定します。
加えて、BlackBerry の脅威リサーチャーは一連の「精査された YARA ルール」も使用します。これらは必ずしもハンティング用ではなく、既知の脅威アクターによる悪意のあるキャンペーンを定期的にスキャンし、検知すること目的としています。この場合の目標は、同じ脅威アクターによるサンプルをシステム上で検知し続けることです。弊社のリサーチャーはこれらの検知結果をテストし、誤検知が生じていないことを確認します。このプロセスは、多くの場合、脅威リサーチャーが悪意のあるサンプルをさらに検知する上で十分な効果を発揮します。BlackBerry の Threat Research & Intelligence チームは、これは YARA で実現できることの一例であると説明しています。
YARA ルールについての詳細は、このテーマに関する弊社のライブ配信をご覧ください。
「1 つのキャンペーンを発見するたびに、各種のルールを容易に構築し、同種の攻撃が行われている他の事例をデータセット内から検索できます」と Faires は言います。
「ハンティングでは、何らかの固有の要素を発見するたびに自社独自のルールも作成します。多くの場合、ルール作成は CylanceOPTICS プラットフォーム内で実施します。これを行う理由は、私たちがファイルデータやファイルパスといったものよりも多くの情報を解析できるためです」。
YARA ルールの記載例は、最近のブログ「NOBELIUM Using Poland Ambassador’s U.S. Visit to Target EU Governments Assisting Ukraine(NOBELIUM がポーランド大使の米国訪問を悪用し、ウクライナを支援する EU 政府を標的に)」を含め、弊社の脅威リサーチブログの多くでご覧いただけます。
まとめ
今回のブログでは、BlackBerry の Threat Research & Intelligence チームが人材、プロセス、テクノロジーを世界のエンドポイント保護に活用している例を 2 つ取り上げ、その舞台裏を垣間見てきました。BlackBerry は現在、中小企業から世界 17 カ国の G20 政府まで、あらゆる組織を保護しています。
この取り組みの成果は明らかです。「私たちはすでに、新たなサイバー脅威アクターが実施しているキャンペーンに関する最先端の調査結果を公表しています。その上で、それらの検知結果を自社のプラットフォームに還元しています」。
シニア脅威リサーチャーの Jacob Faires にとって、この流れはポジティブなフィードバックループとなり、彼が継続的にデータを採掘し、新たなサイバー攻撃を発見する動機となっています。
.png)
