原文のブログはこちらからご覧いただけます。
AI (人工知能)駆動型サイバーセキュリティのパイオニアである BlackBerry は、MITRE Engenuity のテストでもその能力を発揮し、キルチェーンの初期フェーズで悪意ある行動を阻止し、Turla 脅威グループの目論見を挫くことができました。
MITRE Engenuity は2023年9月、MITRE ATT&CK® 評価の第 5 ラウンドの結果を公開しました。今回は31 のベンダーが参加し、現在最も悪名高い高度標的型攻撃(APT)グループの一つである Turla が用いる戦術、技法、手順(TTP)に対する防御能力を評価されました。
評価は 4 日間にわたって行われ、うち 3 日は検出能力、残りの 1 日は防御能力が試されました。検出能力に関しては、Turla が使うとされる悪意ある技法を用いた 19 のテストを実行し、防御能力に関しては13 のテストが実施されました。
この評価において BlackBerry の Cylance® AI が挙げた成果のいくつかを紹介しましょう。
遅くとも 2000 年代初頭には活動を始めていた Turla は、ロシアを拠点に暗躍しているとされる高度な APT グループです。感染させた被害者は 45 か国以上にわたり、政府機関、外交団、軍事機関のほか、研究機関やメディア関連企業を標的とすることが知られています。Turla は、自身の運用セキュリティを維持するために最新の高度な技法を導入しており、特徴的なコマンドアンドコントロール(C2)ネットワークと様々なオープンソースや自家製のツールを併用しています。
Turla は、Linux や Windows のインフラストラクチャから機密情報を抜き出すことを目的として、極めて標的を絞ったキャンペーンを実行することで知られています。標的のネットワークに密かに侵入するため、各種の革新的なステルス技法を駆使します。標的内に足場を築き、システム情報の列挙が完了すると、インメモリまたはカーネルへのインプラントを通じ最小限のフットプリントで攻撃を継続します。
MITRE 評価は、アラート疲れの軽減とシステムの可視化という点で BlackBerry 製品が他社に抜きんでていることを示す、よい機会です。
敵の攻撃にさらされたエンドポイントにとって最も重要な要素は、攻撃チェーン内で経過する時間です。ネットワーク侵害は、検出されずに放置される時間が長くなるほど、セキュリティ被害が深刻化する恐れがあります。特にTurlaのように、戦術として標的への初期感染後に活動を開始し、被害者のネットワークへのバックドアを確立する、いわゆる「第 2 段階」マルウェアの投下などを用いるグループでは尚更です。
その後、グループは盗み出す機密情報の探索や、他のシステムへのアクセスを得るためネットワーク内で水平移動します。BlackBerry Cylance AI は、キルチェーンの最も初期段階で感染を阻止し、マルウェアの実行を未然に防ぐ、独自の予防的ソリューションによって、サイバー攻撃を無力化します。BlackBerry は Cylance AI を駆使し、企業全体にわたる可視化を実現する予防第一の予測的セキュリティを提供して、最も悪名高い最先端のサイバー攻撃に立ち向かいます。
MITRE が評価の一部として順位付けや採点を行っていないことには留意する必要があります。セキュリティ担当者の観点では自社製品の実力を示すために数字が役立つ可能性がありますが、MITRE のテストでは、コンテキストとタイミングに関する情報を明らかにすることが最も重視されます。
BlackBerry 製品は、セキュリティ運用センター(SOC)のアナリストが、悪意ある活動や潜在的リスクをより正確に把握できるように、詳細なコンテキストに基づく正確なアラートを生成します。こうした特長が、BlackBerry のポートフォリオの有効性を証明する今回のテスト結果につながりました。
MITRE 評価の初日、BlackBerry は攻撃チェーンの重要なあらゆるステップにわたり、信頼性の高い可視化の実現に成功しました。上掲のグラフが示すとおり、初期の侵害に加え、被害者システムへの密かな侵入を目的とした DLL インジェクションを漏れなく検出しました。
CylanceENDPOINT は、権限昇格の試みを検出する能力で特に秀でた性能を示しました。権限昇格の試みは、偽装した悪意あるサービスの実行によってレジストリを改変し、攻撃の永続性を強化するもので、CylanceENDPOINT はこうした一連のプロセス全体に対してアラートを生成しました。
攻撃チェーンの次の段階で、BlackBerry製品によってエミュレートされた Turla の侵入は、パスワードスプレー攻撃によってドメインコントローラへと移動します。この試みに対しても、コンテキスト情報を収集するテレメトリによって補完されたアラートが生成され、水平移動の試みが完全に可視化されました。テスト初日の終了間近に、CylanceENDPOINT は Linux サーバーへの水平移動の試みに対してアラートを生成するとともに、ドライブバイ攻撃の試みである水飲み場攻撃の設置に関する新たなコンテキスト情報を明らかにしました。
MITRE 評価の第 2 日、CylanceENDPOINT は、攻撃チェーンの主要部分を完全に可視化しました。上掲のグラフからわかるように、初期アクセスから水飲み場の設置に至るエミュレートされた Turla の手順に加え、ルートキットのインストールとその後の実行も同様に、高精度のアラートによって検出されました。このアラートは、シミュレートされた攻撃を明確に把握できるようにすることを目的としています。初期コンテキストが詳細に示されることで、SOC アナリストは、これらの脅威をそれぞれ迅速かつ正確に特定できます。
CylanceENDPOINT のコンポーネントである CylanceOPTICS® は、BlackBerry のエンドポイント検知/対処(EDR)ソリューションです。デバイスからのフォレンジックデータを収集、分析し、組織に影響が及ぶ前に脅威を特定し解消します。攻撃に関連する探索活動も容易に検出できることから、フォレンジックデータにさらに豊富なコンテキスト情報も追加されます。このソリューションは、API(アプリケーションプログラミングインターフェイス)の呼び出しなど、隠れた悪意ある行動や、その他のあまり一般的でない探索手法に対してタイムリーにアラートを生成します。
第 2 日のテストのもう一つのハイライトは、窃取されたパスワードハッシュの検出です。パスワードハッシュの窃取は、攻撃者がネットワーク内での水平移動を容易にすることを目的に行われます。現実の攻撃ではこの行動はCylanceENDPOINT のアラートによってSOC のアナリストにいち早く検出され、SOC チームは即座に、攻撃者によるネットワーク内の水平移動を予防する措置を適用できるでしょう。
シミュレートされた攻撃のフィナーレを飾ったのはTurla の LightNeuron インプラントで、これはユーザーのメールを抜き出すことを目的に、Microsoft Exchange のトランスポートエージェントとして密かにインストールされています。LightNeuron は C2 通信を目立たなくするためにステガノグラフィを使用します。熟練した人間の観測者でも検出に苦労する技法ですが、CylanceENDPOINT は素早い可視化とコンテキスト情報を提供し、それによってアナリストは、この悪意ある活動を阻止する手順が実行できます。
特定の疑わしい活動または悪意ある活動の背後にあるストーリーまたはフローに関するコンテキスト情報を手に入れるには、環境内で発生している活動を十分に可視化することが重要です。アクティビティのすべてを検出する必要はありませんが(単純な探索コマンドなど)、セキュリティチームが意味のある検出の周辺情報の詳細を完全に把握するには、適切な可視性またはテレメトリが利用できることが重要です。
様々な情報源を組み合わせれば、ネットワーク内で発生しているいかなる活動についても、必要な詳細情報が得られます。これらのデータソースは、ネットワークおよび個々のエンドポイントの両方で発生しているイベントに関して貴重な情報をもたらし、SOC アナリストがより良い意思決定を行い、侵入の企ての原因特定と、予防手段の適用による会社資産の保護を可能にします。
Turla のエミュレーションに際して、イベントに対する BlackBerry の可視性は、一連の独自データソースに基づいて得られたものでした。次のグラフが示すのは、侵入シミュレーションに関するコンテキスト情報を人間のアナリストに示すため用いられた、データソースのトップ 10 です。
タイムベースセキュリティとは、攻撃に対する組織のセキュリティ体制改善を後押しする重要な概念です。アナリストの即応性を高めることに役立ち、それにより攻撃の影響範囲を狭める効果があります。
MITRE による評価では、攻撃チェーンのごく初期の段階で 11 のステップをブロックすることにより、BlackBerry のポートフォリオ全体で優れた保護効率が実証されました。
両方の例から明らかなように、Cylance AI は最も影響の大きいエミュレートされた攻撃を初期段階で阻止しました。例えば、テスト 10 では、ルートキットのインストールを阻止し、Turla の典型的な攻撃の土台となる柱の一つを効果的に排除しました。
Cylance AI は、悪意あるインジェクションの試みをブロックすることで、テスト 2 の攻撃チェーンの主要部も阻止しました。テスト 13 では、水平移動の試みを予防したことがわかります。
テストの全体を通して、BlackBerry はエミュレートされた攻撃の重要なフェーズを予備段階で的確に識別することに成功しました。こうしたタイムリーな検出と、それを補完するコンテキストテレメトリによって、セキュリティチームは目の前にある情報をしっかりと見極め、把握したうえで、その後の進め方を判断できます。
毎年の評価に備え、MITRE 対策チームによる主導のもと、弊社の様々な部署のメンバーが連携して推進する取り組みがあります。
そこでは、有効なセキュリティ成果の実現に重点を置き、お客様による組織の保護をお手伝いすることを目的に設計された方法論を使用します。この方法論は、月例のパープルチーム演習に基づいて確立されます。演習では、多彩なシナリオを設定して BlackBerry 製品の機能を検証しており、来る MITRE 評価に対して準備を整える機会となっています。
これは従来の「レッドチームのように考え、ブルーチームのように行動する(Think Red, Act Blue)」スタイルの演習で、BlackBerry では次の 4 つのチームを編成しています。
インフラストラクチャチーム:各製品チームのエキスパートから成り、能力を最大限発揮できるよう製品インストールや全機能の設定を行います。
高価なセキュリティ製品とテクノロジーを導入したことにより、データは安全だと考えたくなるかも知れません。しかしこうした期待は、テクノロジーが未成熟な場合、また攻撃チェーンに対する可視性を欠いている場合に裏切られる可能性があります。一般的なスパムキャンペーンから国家主導の標的型攻撃まで、様々なレベルの脅威アクターによる攻撃チェーンの高度化に対応できる、可視化が必要です。
BlackBerry が終わりのない製品開発にあたり、可能な限り厳格な方法論を適用しているのは、そうした理由からです。BlackBerry の社内チームは昼夜兼行で製品群の防御力強化に努め、最も重要な資産を保護し、損害を被る前に攻撃を阻止できるようお客様の組織を強化しています。
BlackBerry は、MITRE Engenuity チーム、特に ATT&CK 評価チームの継続的な支援に対して謝意を表明します。MITRE のチームの取り組みは、あらゆるベンダーの製品およびサービスのレベル向上に役立ち、セキュリティ業界全体に共通のメリットをもたらしています。
.png)
