攻撃者の足跡はいたるところに

今回は「攻撃者の足跡」に関する話をさせて頂こうと思います。企業が必死に攻撃を防御する仕組みを作っても、攻撃者は小さな隙を見つけて企業のネットワークに潜り込みます。

攻撃者に侵入された場合にそれを素早く気づけるかが、その後に重大な事件に発展するかどうかの分かれ目になってきます。その攻撃者の足跡のことを専門的にはIOC（Indicator of Compromise）と言ったりします。

足跡には様々なものが存在しますが、以下にその一部をご紹介します。

• クラウドサービスへの大量のログイン試行
• 短時間での複数の国からのログイン
• 大量のネットワークトラフィック
• 権限の変更
• 不審なDNSリクエスト
• エンドポイントでの異常なプロセス起動
• エンドポイントのレジストリー変更

優れた攻撃者ほど足跡を残さずに目的を達成しますが、通常はどこかしらにその足跡を残してしまいます。膨大な数のセキュリティー製品が存在しますが、この足跡を発見するための製品だけでも相当数あります。それぞれどういった足跡を発見することができるかなど、特徴が異なるため守りたいものや環境に応じて適切に対策を施していく必要があります。

IOC（攻撃の足跡）を検知するためには以下のような製品・サービスがあります。

• EDR (Endpoint Detection & Response)
  エンドポイントで起きている事象をもとに異常を検知します。
• NBAD (Network Behavior Anomaly Deception)
  パケットキャプチャーやネットワーク機器のログなどを解析することにより、異常な通信を検知します。
• UEBA(User & Entity Behavior Analytics)
  機器のログからユーザーベースで普段の行動と違う動きを検知し、危険な行動に対してアラートを上げます。
• Deception
  おとりの仮想マシンやファイルを使うことで、攻撃者をおびき寄せ攻撃を検知します。
• CASB(Cloud Access Security Broker)
  クラウドサービスへの不審なログイン試行を検知します。
• MSSP(Managed Security Service Provider)
  既存のセキュリティー製品のログをMSSPへ送信することで、セキュリティー専門家に攻撃を検知してもらいます。

このように検知一つをとっても様々なソリューションが存在しますが、セキュリティー対策に完璧はありません。全てはセキュリティー侵害の確率を下げるか、もしくはセキュリティー侵害にあった場合に被害を小さく食い止めるために行っているものです。やみくもに対策を施すのではなく如何に効果的に対策を施せるかが勝負の分かれ目になっていきます。