Kaspersky のエキスパートは、SOC担当者や情報セキュリティ担当者から助けを求められることがしばしばです。私たちは、どういった理由からのリクエストが多いのかを分析し、お客様が必要とする分野の専門家に直接質問できる専門サービスを立ち上げました。
専門家の支援が必要な理由
サイバー攻撃の脅威は高まり続けています。サイバー犯罪者は目的達成の方法をこれまで以上に模索するようになり、アプリケーション、サーバー、VPNゲートウェイ、OSなどに新たなハードウェアおよびソフトウェアの脆弱性を発見すれば、直ちにこれを武器として使用します。日々何十万ものマルウェア検体が新たに出現し、大手企業や政府機関を含むさまざまな組織がランサムウェア攻撃の被害を受けています。また、新たな高度な脅威やAPTキャンペーンも、定期的に発見されています。
こうした状況では、脅威インテリジェンスが重要な役割を果たします。攻撃者のツールや戦術に関するタイムリーな情報があってこそ、適切な保護システムを構築することができ、インシデントが発生した際に効果的な調査を行い、ネットワーク内の侵入者を検知して追い出し、最初の攻撃経路を特定して攻撃の繰り返しを防ぐことができます。
脅威インテリジェンスを組織に適用するには、提供された脅威インテリジェンスデータを実際に活用できる、適格な社内スペシャリストが必要です。それ故に、こうしたスペシャリストは脅威の調査において最も貴重な人材であるのですが、サイバーセキュリティアナリストの雇用、トレーニング、維持には費用がかかるため、すべての企業が専門家チームを維持できるわけではありません。
よくある質問
Kasperskyには、お客様のサイバーインシデント対応を支援する部署がいくつかあります。具体的には、グローバル調査分析チーム(Global Research and Analysis Team:GReAT)、グローバル緊急対応チーム(Global Emergency Response Team:GERT)、脅威調査チーム(Threat Research Team)が対応に当たります。併せて250人以上の世界的なアナリストや専門家から成る集団です。彼らの元には、サイバー脅威に関するリクエストがお客様から数多く寄せられます。最近の依頼内容を分析したところ、以下のようなカテゴリーがあることが分かりました。
マルウェアまたは疑わしいソフトウェアの解析
頻度が高いのは、エンドポイントセキュリティの検知ロジックまたは脅威ハンティングのルールがトリガーされるシナリオです。企業のセキュリティサービスまたはSOCがアラートを調査し、悪意あるオブジェクトまたは疑わしいオブジェクトを発見しますが、詳細な調査を行うためのリソースが不足しています。そこで、検知されたオブジェクトの機能と危険性の見極めや、オブジェクトを除去した後にインシデントを確実に解消する方法について、当社エキスパートへ問い合わせが来ます。
当社のエキスパートは、お客様から提供されたものをすぐに特定できれば(当社では一般的な攻撃ツールに関する巨大なナレッジベースと、ユニーク数にして億単位のマルウェア検体を所持しています)、直ちに回答します。そうでない場合は、当社アナリストによる調査が必要であり、複雑な事例では時間がかかる可能性があります。
侵害の痕跡に関する追加情報
ほとんどの企業は、侵害の痕跡(IoC)としてさまざまな情報源を活用します。IoCの価値は、背景情報(痕跡とその重要性に関する追加情報)が得られるかどうかに大きく左右されます。しかし、背景情報が常に得られるとはかぎりません。例えば、SIEMシステム内で特定のIoCを見つけたSOCアナリストは、トリガーの存在を見つけてインシデントの可能性に気付くかもしれませんが、さらに調査を進めるための情報がなかったりします。
このような場合、検知されたIoCに関する情報のリクエストが当社に対して行われるのですが、こういったIoCは多くのケースで興味深いものと判明します。例えば、ある会社のトラフィックフィード(企業ネットワーク内からのアクセス)内に見つかったIPアドレスを受け取ったことがあります。そのアドレスにホストされていたものの中に、「Cobalt Strike」と呼ばれるソフトウェア管理サーバーがありました。Cobalt Strikeは、さまざまなサイバー犯罪に利用される強力なリモート管理ツール(シンプルな言い方をすると「バックドア」)です。これが見つかったということは、その企業がすでに攻撃を受けていること(現実の攻撃か訓練かは別として)はほぼ確実です。当社エキスパートは、このツールに関する追加情報を提供し、インシデント対応を直ちに開始して脅威の無害化とセキュリティ侵害の根本原因の追求を行うことを推奨しました。
戦術、技術、手順(TTP)に関するデータのリクエスト
攻撃の阻止またはインシデントの調査に必要なのは、IoCだけではありません。攻撃の背後にいるサイバー犯罪者グループを特定した後、SOCアナリストは、そのグループの戦術、技術、手順(Tactics, Techniques and Procedures:TTP)に関するデータを必要とします。攻撃者がどこからどのようにインフラ内へ侵入したのかを特定するには、攻撃グループの手口の詳細や攻撃者がネットワーク内に定着するためによく使う手法、データを密かに取り出す方法などの情報が必要です。こうした情報は、当社の脅威インテリジェンスレポートの一環として提供しています。
サイバー犯罪者の手法は、同一グループ内でも非常に多様であり、非常に詳細な報告書であっても、考え得るすべての手法を説明することは不可能です。したがって、当社のAPTレポートおよびクライムウェア脅威レポートを活用いただいているお客様からは、お客様に関連する特定の文脈における攻撃手法の特定の側面について、追加情報を求められることがあります。
当社ではこれまで、特別なサービスを通じて、またはテクニカルサポートの限られた枠組みの中で、そうした回答を提供してきました。しかし、リクエストの数が増えてきたことと、調査ユニットの専門技能および知識の価値を鑑み、専用のサービス「Kaspersky Ask the Analyst」を立ち上げることにしました。
Kaspersky Ask the Analyst
お客様(主にSOCアナリストや情報セキュリティ担当者)は、この新サービスを通じて当社エキスパートからアドバイスを受けることで、調査コストを大幅に削減可能となります。当社はタイムリーな脅威情報の重要性を理解しており、あらゆるタイプのリクエストに対してSLAを設けています。Kaspersky Ask the Analystを通じて受けられるサービスは以下のとおりです。
- 詳細なIoCや解析の背景情報など、当社の脅威インテリジェンスレポートの追加データを受け取ることができます。お客様の状況に応じ、お客様の会社で検知されたIoCとレポートに記載された活動との関連性を、当社のグローバル調査分析チーム(GReAT)および脅威調査チームが検討します。
- 特定された検体のふるまいに関する詳細な解析、検体の目的の特定、攻撃の影響を緩和するための推奨事項を得ることができます。当社のグローバル緊急対応チーム(GERT)が対応します。
- 特定のマルウェアファミリー(例えば、特定のランサムウェア)の情報、防御に関するアドバイスのほか、特定のIoC(ハッシュ、URL、IPアドレス)の背景情報を入手し、それらに関するアラートやインシデントの優先順位付けに役立てることができます。当社の脅威調査チームが対応します。
- 具体的な脆弱性とその深刻度、カスペルスキー製品が脆弱性の悪用を防ぐ方法について、情報を得ることができます。当社の脅威調査チームが対応します。
- ダークWebデータの調査(検索)を依頼できます。該当の脅威に関する貴重な情報が得られるだけでなく、サイバー攻撃を防止または軽減するための効果的な対策の提案を受けることができます。当社のセキュリティサービスチームが対応します。
日本における当サービスの詳細は、カスペルスキー エンタープライズ営業本部にお問い合わせください。データシートはこちらからご覧いただくことができます(リンク先は英語)。