事例に見るNDRの導入効果とは？

NDR（Network Detection and Response：ネットワークにおける検知と対応）は、クラウドやリモート接続を含むネットワークの状況を可視化し、従来のセキュリティ対策では把握できなかったエリアも照らし出す。そして、ルールベースと振る舞いベースを組み合わせた検知により、EDRやSIEMでは検知できなかった脅威をあぶり出すことがNDRの特徴だ。では、実際にどのような脅威を検知できるのだろうか。今回は、NDRの導入事例を紹介する。

バックドア「Sunburst」を防御

製造業のA社では、NDRの導入によりバックドア型マルウェア「Sunburst」を検知した。サイバー攻撃者は、SolarWindsが管理する配信サーバに不正アクセスを行い、OrionというソフトウェアにバックドアであるSunburstを仕込んだ。SolarWindsを利用している企業が、Orionをダウンロードした結果、バックドアを利用した外部の攻撃者によってシステムへの不正なアクセスが行われた。ソフトウェアのサプライチェーンを狙った悪質なサイバー攻撃である。

A社が導入したNDRは、Sunburst経由でのC&Cアクティビティを検知した。すぐに被害端末を特定、さらにC＆Cアクティビティ前後の関連する攻撃を時系列で確認した結果、該当期間に2度のC＆Cアクティビティを検知した。

ソフトウェアのサプライチェーン攻撃では、多くの場合セキュリティ対策が施されていないシステムが狙われるため、脅威を検知する上では広範なネットワークの可視化が有効である。さらに、このようなサプライチェーン攻撃は今後も増加すると考えられており、シグネチャやルールベースにより脅威の侵入を未然に防ぐ従来の境界防御だけではなく、侵害されることを前提にした対策が重要である。

• バックドア「Sunburst」を検知したNDRソリューションの画面

IoT機器を乗っ取ろうとする攻撃を防御

B社では、「Ripple20」の脆弱性を突いたIoTデバイスへの攻撃をNDRで検知した。Ripple20とは、IoT機器に存在する脆弱性群のことで、イスラエルのセキュリティ企業が公開した。脆弱性群は、米国Treckが1990年代後半に提供したソフトウェアに存在している。このソフトウェアはIoT機器にインターネット接続機能を提供するもので、プリンタやルータからIPカメラまで、広範な製品に搭載されている。

脆弱性群には、遠隔から任意のコードを実行できる脆弱性も含まれている。つまり、外部からインターネット経由で脆弱性を悪用することで、最終的にはIoT機器を乗っ取ることができる。これによりサイバー攻撃者は、IoT機器を踏み台にして企業のネットワークに侵入したり、IoT機器を誤作動させたりすることなどが可能になる。

B社のNDRは、ICMPを利用したRipple20に関連するスキャン（偵察行為）を検知した。サイバー攻撃者はスキャンによってB社のIoT機器にRipple20の脆弱性が存在することを把握し、約45分後に同機器へ攻撃コードを送信、乗っ取りを試行した。NDRはこれを怪しい挙動として検知した。NDRが機械学習により設定したベースラインを超える挙動だったためだ。

NDRはエージェントなどの導入が難しいIoTデバイスの挙動もネットワーク側から可視化させることが可能となるため、攻撃に利用されるIoTデバイスの増加にも有効なソリューションとなる。

ドメインコントローラへの攻撃を防御

金融機関であるC社は、Active Directoryのドメインコントローラの乗っ取りによるランサムウェアの一斉配布をNDRにより防いだ。サイバー攻撃者は、外部からクライアント端末を踏み台にしてドメインコントローラを乗っ取り、特権IDを取得した後にドメイン配下の端末にグループポリシーを使用して、ランサムウェアを一斉配布しようとしたのだ。

NDRは、ドメインコントローラへの攻撃と、疑似リクエスト送出による特権IDの取得の試行を、機械学習により怪しい挙動として検知した。なお、この事例はNDRの導入に向けたPoC（実証試験）で検知したものである。

攻撃者は特権IDを取得する目的で侵入後にドメインコントローラへのアクセスを行うことは頻繁に確認されている。ドメインコントローラへの怪しい挙動を検知する目的で、LDAPやKerberosなどの認証プロトコルに対する詳細な解析が可能となるNDRは有効なソリューションと言える。

内部不正によるデータ持ち出しを防御

同じく金融機関であるD社では、契約社員による機密データの持ち出しをNDRによって検知した。この契約社員は、データベースから機密データの抽出を行ったが、これをNDRは怪しい挙動として検知した。機械学習によって設定されたベースラインから逸脱する1.4GBに及ぶデータが短時間に抽出されたためだ。

こうした振る舞いを検知してアラートを発出する製品は多いが、検知した際に調査で利用できる詳細なデータを合わせて表示できる製品は少ない。NDRの中でも検知後の迅速な対応が可能となるこのような詳細情報を提供できる製品であれば、被害の発生を防ぐことができる。

• 内部不正を検知したNDRソリューションの画面

VPNを悪用する攻撃を防御

E社では、NDRをテレワーク・アクティビティの可視化に活用している。テレワークが急速に普及したことから、VPNがサイバー攻撃者の標的となっている。その攻撃は、フィッシングなどにより入手したアカウント情報で本人になりすましてログインするケースや、VPNに存在する脆弱性を悪用して社内システムに侵入するケースが多くなっている。

NDRでは、テレワークユーザーのログイン履歴、該当時間内でのVPNセッション数、ユーザーがVPNアクセスに利用したプログラムの一覧、プロトコルごとのアクティビティの詳細などの情報を取得できるため、不正ユーザーの怪しい挙動やVPNゲートウェイに関連する脅威を検知することができる。

NDRを選ぶ際にポイントとなる機能とは

NDRといっても複数の製品があり、それぞれに特徴がある。そこで、選定の基準となる有効な機能を紹介する。まず、ネットワーク・トラフィックを解析しワイヤデータを取得する際の対応プロトコルの多さ、ワイヤデータから抽出するメトリックの種類の多さがポイントとなる。広範なメトリックによってベースラインの精緻な機械学習を実現し、異常な振る舞いを正確に検知できるというわけだ。

さらに、検知する脅威はサイバー・キルチェーンのフェーズに対応して、検知状況を「MITRE ATT&CKフレームワーク」にマッピング表示できる機能を持つNDRを選びたい。

• MITRE ATT&CKフレームワークにマッピングした検知状況

NDRは「誤検知の少なさ」「運用の容易さ」「導入の容易さ」が特徴であるが、これに加えて「ハイブリッド環境への対応」「ヘルス・チェック（サイバーハイジーン）」「ネットワーク障害の調査・トラブルシューティング」といった機能を持つことも、NDRを選ぶ際の有効なポイントとなる。

本連載では、侵害されることを前提にしたセキュリティ対策の考え方が重要性を増す中、侵入された後の攻撃者のステルス活動をいち早く検知し、脅威を取り除くことで被害の発生を防ぐNDRの有効性について、さまざまな事例を交えて紹介した。