ソリューションの概要：

• IBM Security^® QRadar® EDR は NanoOS を使用します。NanoOS は、検出不可能であるように設計されており、エンドポイントとインフラストラクチャー全体にわたって優れたレベルの可視性を提供します。
  
  
• ラテラルムーブメントと異常なログイン試行をネイティブに追跡します
  
  
• ランサムウェア攻撃に対するネイティブ保護を提供します
  
  
• 非常に複雑なインシデントのトラッキングと再構築を可能にする強力な脅威ハンティング・インターフェイスを提供します。 

この水道管理施設では、施設内のすべてのサーバー、デスクトップ、ラップトップで IBM Security QRadar EDR ソフトウェアを実行し、すべての資産を継続的に監視し、潜在的なセキュリティー侵害を迅速に追跡および調査しました。このソリューションに標準装備のデュアルAIエンジンと詳細な行動分析により、クライアントはインフラストラクチャーを完全に可視化できるようになり、エンドポイントへのリアルタイムのクエリや、侵害の指標（IOC）と行動の指標（IOB）の両方の拡張検索、さらに高度なデータ・マイニングによって休止中の脅威を発見できるようになりました。

デプロイメントから半年後、QRadar EDRエージェントは初期の変則的なアクティビティーを検知し、攻撃者が特定のデータ・セットにアクセスするまでの道のりを追跡しました。 クライアントの既存のアンチウイルス・ソフトウェアと侵入検知システム（IDS）は、攻撃の最後の段階までアクティビティーを検知しませんでした。 もしクライアントがQRadar EDRを導入していなければ、攻撃者はデータの取得と流出に成功していたでしょう。

サプライチェーン攻撃

最初の侵害が発生した日に、QRadar EDRは、VPNサーバーから権限のないネットワーク・セグメントのエンドポイントへの不審なログインを報告しました。 セキュリティー・チームは、ログインは外部のセキュリティー・プロバイダーによるメンテナンス作業によるものであると想定し、インシデントには低い優先度を割り当てました。 攻撃者は、主にネットワーク・セグメントをマッピングして特権ネットワークへの直接経路を探すために使用される初期マルウェアをデプロイしました。 そのような経路が見つからなかったため、攻撃者は認証情報を収集してその後のラテラルムーブメントで再利用するための2つ目のインメモリー・マルウェアをデプロイしました。 認証情報を取得すると、攻撃者はドメイン・コントローラーに移動し、その後すぐに内部文書が含まれるファイル・サーバーに移動しました。

根本原因分析

最初の変則的なログインは、シフト時間外に、通常はサーバーと通信するがワークステーションとは通信しないエンドポイントから発生しました。VPN チャネルは、VPN 自体に加えてメール・サーバーとファイアウォールの保守も担当する外部プロバイダーによって管理されていました。アクセスの性質上、アラートはすべての操作を追跡するためにアクティブに維持されましたが、その時点で、社内のセキュリティ・チームは、プロバイダーがインフラストラクチャーのメンテナンスを行っているとして、このイベントの優先度を低く設定しました。

翌日、QRadar EDRは2つ目のアラートを発し、内部ネットワークのスキャンに使用される軽量のマルウェアのアクティビティーを示し、すぐにキーロギングとクレデンシャル・ハーベスティング機能を持つインメモリー内のベクターの存在を示す別のアラートが続きました。 その時点で、セキュリティー・チームはこれらのイベントに焦点を当て、脅威ハンティング・セッションを開始し、一方、攻撃者は一連のラテラル・ムーブメントを通じて、最終的にドメイン・コントローラーの 1 つにアクセスすることに成功しました。チームは、NanoOS テクノロジーの不可視性を利用して、可能な限り長期間アタッカーを追跡し続け、手口とその目的を理解することにしました。

アタッカーが機密情報を含むファイル・サーバーにアクセスしようとしたため、チームは攻撃を阻止し、根絶計画を開始することを決定しました。さまざまなデバイスが修復されている間に、アタッカー達は、高レベルのアクセスにもかかわらず、探している情報にアクセスできないことに気づきました。彼らは発見されたと判断し、インフラストラクチャー全体にランサムウェアをデプロイして、その痕跡を隠蔽しました。

攻撃と再構築

攻撃の動機が明確になったら、オペレーターはインフラストラクチャーの弱点を補強するために攻撃全体を理解する必要がありました。この攻撃には、ランサムウェアの展開段階（フェーズ 1）の前には 12 台のデバイスが関与し、その後（フェーズ 2）には数千台のデバイスが関与しました。

攻撃者は、VPN およびメール・サーバー・プロバイダーへのアクセスを取得し、内部ネットワークへの最初のエントリー・ポイントとして使用しました。アタッカー達はプロバイダーの資格情報を再利用して別のマシンに移動し、最終的に特定のワークステーションに落ち着きました。その時点で、彼らは一連のツールを使用して内部ネットワークをスキャンし、ラテラル・ムーブメントのターゲットを特定しました。最終ステージでは、ドメイン・コントローラー自体を使用して、すべてのデバイスにランサムウェアを拡散させました。 

ウォーター管理施設は VPN アクセスを確保し、アタッカーがアクセスできたすべてのマシンを特定する脅威ハンティング・セッションを実施しました。QRadar EDR 修復モジュールによってクリーンアップ・プロセスが自動化され、セグメントは数秒でクリーンアップされました。この施設は、偵察とラテラル・ムーブメントの段階で使用されたすべてのツールを取得し、IOC と行動を含むポリシーをインフラストラクチャー全体に即座に広めました。ポリシーのデプロイメント後に、追加の侵害されたホストは特定されませんでした。すべてのユーザーの資格情報がリセットされ、このランサムウェア攻撃は、クライアントがすべてのデバイスに対してQRadar EDRによるランサムウェア対策を有効にしていたため、それ以上の介入は必要ありませんでした。それにより重要な情報の損失と通常アクティビティーの中断を防ぐことができました。

この施設は、データの損失、重要なサービスの中断、エンドポイントへの損傷を発生させることなく、2 日目に機能不良を正常にクローズ済みました。

もしこの施設がQRadar EDRを採用していなかったら、アタッカーは確実に機密情報を流出させていただろうし、長期間にわたって活動を続け、最終的にはランサムウェア攻撃によってインフラ全体が使用不能になっていたかもしれません。 このようなアタックは、地域の住民に不可欠なサービスを提供し続ける施設の能力に多大な影響を及ぼし、サービスを完全に遮断する可能性がありました。サプライチェーン攻撃を特定するのが難しいことを考えると、侵害の根本原因を特定するためのフォレンジック情報が入手できなかった場合、同じチャネルを通じて施設が再び侵害された可能性があります。 

ヨーロッパにあるこのウォーター管理施設は、約 100 万人に水を処理し配水する責任を負っています。この施設は、重要なインフラストラクチャーと不可欠なサービスに分類されます。