サイバー攻撃は「流れ」を捉えろ - Azure Security Centerによる可視化

Azure Security Centerの検出機能

Azure Security Centerでは、Azureリソースにおけるセキュリティ アラートを集積しつつ、世界中の脅威情報を集約したデータベースに照らし合わせて分析し、実際に発生している脅威を検出して表示します。クライアント端末上の不審なアプリケーションが、よくある攻撃パターンに合致する挙動だった場合はアラートが表示されます。

この機能はAzureやOffice 365といったクラウドサービスはもちろん、outlook.comやBing検索エンジンから収集したデータ、犯罪対策部門などその他さまざまな種類のデータを集約しています。また、セキュリティパートナーやリサーチャーともパートナシップを通じ、お互いに脅威情報の交換や幅広い脅威を集めています。こうして集められたデータと同じ脅威がAzure 環境で発生していないかということを参照・比較して分析しているのです。

また、ブラックリストとの比較以外に、膨大な脅威データを機械学習にかけて評価する仕組みを持っているため、手作業や攻撃の進化を予測する手法だけでは特定できない脅威も検出できます。

行動分析

複雑な機械学習アルゴリズムによって、ユーザーやシステムが普段動作している状況を踏まえた上で異常行動を検知します。ユーザーやシステムの動作には相関関係があり、そこから逸脱した攻撃の兆候を見つけ出すことができるのです。例えば、マルウェアに対して正規のシステム ファイルと同じ名前を付けて本来とは異なる場所に配置したり、メモリに潜むマルウェアのコードの痕跡、リモート コマンド実行、PowerShell スクリプトの実行、送信方向の通信などをもとに、既知の攻撃と一致している異常行動を検出するのです。

異常検出

ユーザーやシステムが普段動作している統計から基準値を定め、逸脱した動作がある場合に警告します。こちらの例では、「通常稼働率が低い仮想マシンのリソース使用率が急騰している」「通常はスクリプトを実行しない仮想マシンが、多くのスクリプトを実行している」といったケースが挙げられます。

こうした脅威情報を検知するためには、常日頃からチューニングを行うことが必要です。これまでできなかったような脅威の検出が毎日のように改善されて検出の精度が向上していますが、こうした即応性もクラウドサービスのメリットと言えるでしょう。

サイバーキルチェーン

攻撃者は、組織への攻撃にさまざまな仕掛けを行います。一つのアラートが上がったからといって、それがどういった攻撃なのか、それが小規模なものなのか、大きな攻撃の一部なのかという全体像はなかなか見えません。実際に起きているセキュリティ侵害を正確に把握するためには、いくつかのログを重ね合わせて分析する必要があり、専門的な知識と時間が必要です。

特に組織を狙ったサイバー攻撃では、偵察から武器化、デリバリ、エクスプロイト、感染、C2通信、目的の実行といったように、一連の攻撃の「流れ」が存在します。米ロッキード・マーティンが提唱した「サイバーキルチェーン」と呼ばれるこの一連の攻撃を、どこかで切断できるように多層防御することが、実際の攻撃に沿ったより現実的な効率の良い対策とされています。

Azure Security Centerは、こうしたサイバーキル チェーンのパターンに一致するアラートを、インシデントとして集約し表示する機能が新しく備わり、現在プレビューとして提供しています。

ダッシュボードにある「セキュリティの警告」では、セキュリティ イベントにあわせてインシデントが表示されます。インシデントをクリックすると、「一連の攻撃の流れ」と疑わしい各アラートが表示されます。

この例では仮想マシン「VM1」に対し、リモートデスクトップ接続を総当たりで試行している様子が検出されています。最初の接続はブロックされて失敗していますが、Azure Security Centerでは行動分析や脅威からの機械学習を通じて、今回の接続試行が「通常動作」ではなく「攻撃の前段階」と判断しています。

その後、リモートデスクトップ接続への試行は、同じIPアドレスからの接続が成功していると確認できます。これは、実際に隠れやすい「SVCHOSTプロセス」として攻撃コードを実行し、外部へ通信している流れで攻撃が行われていることが分かります。

ログ

セキュリティのアラートは収集するだけでなく、正しく分析して緊急度を判断する必要があり、具体的な対策の検討には専門知識が必要となります。

特にセキュリティ面では、業界全体で専門人材の不足が取り沙汰されていますし、経営層の認識不足から、セキュリティに対する追加投資がすぐに行えないといった状況もあります。米国国立標準技術研究所(NIST)の「Computer Security Incident Handling Guide (コンピューター セキュリティ インシデント対応ガイド)」などで提唱されているようなインシデント対応の枠組みは、Azure Security Centerの検出機能を活用することで対応可能になります。

今回はAzure Security Center管理ポータルで確認する方法を紹介しましたが、Power BIやMicrosoft Operations Management Suite、他ベンダーのSIEMとも簡単に連携できますので、より効率の良いアラートやセキュリティインシデントへの対応を検討してみてください。