セキュリティー・インテリジェンス

ランサムウェアの脅威に備える!セキュリティー・アナリストの頼もしい味方

記事をシェアする:

新たなサイバー攻撃に目を光らせる企業、組織、グループは、その攻撃をより速く識別して除去するため、高度な予防検知システムを作成しています。これらの制御、監視、アラート・メカニズムは、それぞれ単体での使用も可能ですが、さまざまなデータソースと連携してこそ真価が発揮されます。そのために重要になってくるのが、セキュリティー情報イベント管理(SIEM)ソリューションです。

SIEMプラットフォームは、複数のドメインやIPと正常に通信可能なファイアウォールから、データを収集します。これらのドメインと関連しているマルウェアも検出するほか、内部ネットワークに有害なファイルを識別するためのアンチスパム・ソフトウェアも内蔵しています。これらの処理はすべてリアルタイムで同時に実行され、1つのセキュリティー・アラートに要約されます。担当者はこの情報と侵入した痕跡(IoC)を相互に参照することで、悪意のあるネットワーク・アクティビティー、特にランサムウェアを迅速かつ正確に発見して対処することができます。

SIEMを最大限に利用するための4つのプロセス

ランサムウェアを検出するための戦略は、次の4つのプロセスに分類できます。

  1. 前提条件
  2. ソリューションの開発
  3. 調査
  4. 報告

次に、各プロセスをさらに細かく検討し、SIEMを最大限に活用する方法を考えてみましょう。

1. 前提条件
アラートや調査後のフェーズの作成に取りかかる前に、組織の産業、公共性、業種、利用ユーザーなどの違いから、直面する脅威による損害レベルを考察する必要があります。ランサムウェアは無差別攻撃の場合もありますが、一部の産業では感染の影響が拡大する場合があるほか、ファイアウォール、ウイルス検出システム、侵入防御システム(IPS)など、脅威を検知する基本的な手段が組織に備わっているかどうかも確認する必要があります。
筆者は個人的に「IBM X-Force Exchange」を使用しています。このプラットフォームは、研究者による社内チームや、IP、ハッシュ、URL、ファイル名などのIoCコレクションを作成する登録ユーザーによって、継続的にアップデートされています。

2. ソリューションの開発
IBM QRadar SIEMをモデルとして使用すれば、次のコンポーネントを作成して完全なソリューションが開発できます。

  • 参照セット(情報コンテナ)
  • ルール(論理パラメータと検証)
  • 検索(QRadarに割り振られるデータの表示)
  • レポート(QRadarが要約するアラート文書)

このデータをQRadarに送信するネットワーク図を以下に示します。

ここに示されているように、インターネットへのアクセスを制御するファイアウォールが少なくとも1つあります。このシナリオでは、(許可か不許可に関わらず)着信と発信のすべてのイベントをファイアウォールで登録し、ユーザーがアクセスするWebサイトのすべてのアクティビティーを表示できるWebプロキシ・コンテンツ・フィルターが設定されていると仮定しています。

このシナリオを念頭に置いて、SIEMソリューションの準備を始めます。まず、目的のソースからIoC情報を取得します。ここでは、X-Force ExchangeのJAFFランサムウェア・コレクションと無料オンラインツールのRansomware Trackerを使用します。この情報を使用して、ソースごとに1つずつ、合計2つの参照セットを作成します。

両方のコレクションからデータのCSVファイルをダウンロードして、それぞれの参照セットにインポートします。このタスクは、少なくとも週に1回手動で実行する必要があります。このプロセスを自動化する場合は、QRadarのThreat Intelligenceプラグインを使用してTAXIIサーバーから情報を取得し、指定した頻度でデータを移行するか、情報を取り出してCSVに変換するスクリプトを作成する必要があります。

参照セットにデータが正常にロードされると、次のようになります。

ルールを作成する前に、イベントを取得できる場所を決めておく必要があります。ここでは、「Log Activity」>「Search」>「New Search」とし、24時間などの比較的短い期間を含めます。列と行のオプションをデフォルトのままにして、「Filters」の「Reference Set」を選択します。次に、宛先IPを指定します。

最初に検索を実行して、ネットワークが感染しているか、悪意のある外部IPからのランサムウェア・アクティビティーがあるかどうかを確かめます。「Destination IP」を選択して、使用する参照セットを指定します。必要であれば、「Custom Rule」フィルターにカテゴリー定義を追加し、許可された通信のみを表示させることもできます。

「Search」をクリックすると、通信が有効であることが確認できます。次にイベントの出所を特定する必要がありますが、この情報をルール作成プロセスに反映して、より効率的で効果的なルールにしてください。

さらに、イベントを分類して、許可された通信または拒否された通信のどちらから発生しているかを特定します。この例では、許可された通信のイベントのみを表示していますが、拒否されたイベントも追跡して、デバイスによるブロックの効果性を評価することもできます。

これで、参照セット・フィルターのソースIPプロパティーの検索を繰り返せば、リモート・ツー・ローカル通信を検出できるようになりました。要約すると、検索によって次の情報を取得することになります。

  • QRadarに情報を送信するソースの名前またはグループ
  • 検出するイベントの名前またはカテゴリー(許可された通信)
  • 方向(ローカル・ツー・リモートまたはリモート・ツー・ローカル)
  • 参照セットのデータの検証

ルールを作成するには、以下に示すように左パネルの「Offenses」から「Rules」にナビゲートします。

 

次に、新しいページの中央にある「Action」に移動して、「New Event Rule」を選択します。

ルールを作成する際には、次のパラメーターを使用します。

  • イベント・コンテキスト(リモート・ツー・ローカル。内部IPと通信しようとしているすべての外部IPを検索)
  • ログ・ソース・タイプ
  • 宛先IP

さらに、次のいずれかのルールがイベントと一致するかどうかも判断します。

その後、目的のプロパティーを使用して、通知、重大度、アクションなど、現在の必要性に応じた攻撃(offences)とアスペクトを作成します。これでルールが完成するので、次に示すように左パネルの「All Offenses」、「Search」、「New Search」の順に選択します。

ここでは、期間を24時間に設定します。次に、「Contributing Rule」に移動して、最近作成したルールを選択します。

「Search」をクリックします。結果が表示されなくても、「Save Criteria」に移動し、新しいページのフィールドに詳細を必要に応じて入力します。これらの検索基準は、後でレポートを作成するために使用します。

3. 調査
ルールを作成すると、すぐにQRadarコンソールに結果が表示されますが、SIEMでは誤検出が生成される場合があります。たとえば、ランサムウェアのアクティビティーと必ずしも関係がないIPがブラックリストに載せられている場合があります。その場合、宛先IPおよび他の外部IPを調査して、カテゴリーおよび潜在的リスクを他のソースから検証します。アンチウイルス・ログのソース、IPS、最初のステージで特定された他のデバイスなど、さらに多くのデータをルールに追加することもできます。

4. レポート
レポートを生成するには、「Reports」>「Actions」>「Create」にナビゲートします。必要なレイアウト、およびレポートをスケジュールするタイミングを選択します。次に、レポートに名前を付けて、チャート・タイプとして「Top Offenses」を選択します。新しいページが表示されたらチャート名とタイプを選択し、攻撃を上位10件に制限します。保存済みの「Ransomware Offenses」検索を選択し、コンテナ詳細を保存してから、ウィザードを続行して他の詳細とパラメーターをカスタマイズします。

レポートが実行されて結果が表示されるまで待ちます。これらの結果を使用してルールを微調整し、統計情報を生成して、ランサムウェアや他の高度な脅威に対して実装した対策の有効性を評価できます。

セキュリティー・アナリストの頼れる味方

SIEMソリューションは、すべてのサイバー・セキュリティーの苦痛を癒やす特効薬ではありません。しかし、複数のソースから利用できる膨大なセキュリティー・インテリジェンスをアナリストがより効果的に使いこなすため、非常に重要なツールです。SIEMプラットフォームは、質的に異なるさまざまなソリューションのギャップを埋め、使いやすい1つのセキュリティー・プログラムにまとめることにより、アナリストが問題の除去や対処に注力できるようにします。現在のサイバー脅威の過酷な現状を考えれば、セキュリティー専門家にはできる限りの支援が必要です。

 

(出典:Security Intelligence より訳出 “Using SIEM Solutions to Connect the Security Dots and Detect Ransomware” By Kenneth Gonzalez 2017年7月6日)

More セキュリティー・インテリジェンス stories
2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む