情報セキュリティの世界で日々の作業負荷の高い職務といえば、何といってもセキュリティオペレーションセンター(SOC)のアナリストでしょう。それを肌身に感じる当社としては、アナリストの作業を自動化または円滑化できるツールの開発に特に注力しています。このたび、Kaspersky CyberTraceが、本格的な脅威インテリジェンスプラットフォームにアップグレードされました。そこで、サイバーキルチェーンの調査にKaspersky CyberTraceをどのように活用することができるか、とあるインシデントシナリオを仮定して活用法をご説明します。
シナリオ:ある企業ネットワーク上のワークステーションを何者かが使い、悪意あるものとして警告されているWebサイトにアクセスした。この企業で使用しているセキュリティソリューションがこのインシデントを検知、同じくSIEM(Security Information and Event Management)システムがイベントを記録。最終的にはSOCアナリストが、何が起きているのかをKaspersky CyberTraceを通じて確認する。
サイバーキルチェーンの特定
SOCアナリストは、発見された異常の中に「Malicious URL(悪意あるURL)」フィードのデータに基づいて検知されたものを見つけ、詳しく調べることにします。フィードからは、コンテキスト情報(IPアドレス、そのアドレスに関連する悪意あるファイルのハッシュ、セキュリティソリューションの判定、WHOIS情報など)を直接入手できます。しかし、キルチェーン解析の一番便利な方法は、グラフを使用することです([View on Graph]ボタン)。
この時点では、あまり情報がありません。判明しているのは、検知されたという事実、検知された悪意あるURL、そのURLを開いたコンピューターの内部IPアドレス、そして検知された脅威の完全なコンテキスト情報をサイドバーで見ることが可能だということです。
悪意あるURLのアイコンをクリックすることで、そのアドレスに関連付けられた既知のインジケーター(IPアドレス、追加のURL、そのWebサイトからダウンロードされた悪意あるファイルのハッシュ)を要求できます。
次のステップは、インジケーターを使用して、それ以外にインフラ内で検知されたものを確認することです。任意のオブジェクト(例えば悪意あるIPアドレス)をクリックし、[Related CyberTrace Detects]を選択すると、追加の検知結果がグラフで表示されます。どのユーザーが悪意あるIPアドレスにアクセスしたか(または、DNSサーバーへのURLクエリでどのコンピューターのIPアドレスが返されたか)をワンクリックで知ることができます。同様に、インジケーターにハッシュが存在するファイルをどのユーザーがダウンロードしたのかを確認できます。
上のスクリーンショットに表示されているインジケーターは、かなり小規模なインシデントを例示するテストデータです。実際には検知データが何千件にも達する可能性があり、グラフィカルインターフェイスを使わずに手動で選別するのは非常に困難です。グラフィカルインターフェイスがあれば、グラフの各ポイントで、脅威データフィードから全コンテキストを引き出すことができます。オブジェクトのグループ化や非表示は、手動または自動で行うことができます。追加の情報源にアクセス可能な場合は、インジケーターを追加し、相互関係を示すことができます。
これで、インジケーターの相互関係を詳しく調べると同時に、攻撃チェーン全体を再構築し、このユーザーが悪意あるWebサイトのURLを入力し、このDNSサーバーがIPアドレスを返し、既知のハッシュを持つファイルがこのWebサイトからダウンロードされた、といった状況を把握できます。
Kaspersky Threat Intelligence Portalとの統合
検知されたものと脅威データフィードの照合は、独立した一つのインシデントの解析に役立ちます。しかし、そのインシデントが、複数日にわたる継続的な大規模攻撃の一部である場合はどうでしょうか。その場合、過去の背景や文脈を知ることが不可欠です。そこで、Kaspersky CyberTraceは、当社のまた別の分析ツールであるKaspersky Threat Intelligence Portalとの連携が実現しました。
Kaspersky Threat Intelligence Portalは、創業当時から当社のアンチマルウェアエキスパートが積み上げてきたサイバー脅威データベースを利用します。[Related External Indicators]メニューを通じ、当社が蓄積してきた情報のすべてにワンクリックでアクセス可能です。悪意あるIPアドレスに関連するドメインとゾーン、過去にそのIPアドレスに関連付けられていたその他URL、そのURLへのアクセスを試みたファイルのハッシュ、そのURLからダウンロードされたファイルのハッシュ、そのIPアドレスにホストされているサイトがリンクしているURL(およびそのURLからリンクされているURL)などの情報を得ることができます。
また、この統合により、特定のURLまたはファイルのハッシュ値に関連付けられるAPT攻撃について書かれたレポートを検索可能になりました。Kaspersky Threat Intelligence Portalに登録していれば、そのようなURLやファイルハッシュに言及しているレポートをすぐに見つけてダウンロードすることができます。
こうした情報はこれまでも入手可能でしたが、適切なハッシュやアドレスを探しだし、コピーし、Kaspersky Threat Intelligence Portalに移動するといった作業が必要でした。情報に素早く簡単にアクセスできるようになったことで、攻撃を検知した際に適切な対策をタイムリーに講じることができるようになり、インシデント調査もしやすくなりました。
Kaspersky CyberTraceのその他用途
Kaspersky CyberTraceは、当社が提供する脅威データフィードだけでなく、サードパーティのソースとも連携可能です。[Supplier Intersections]セクションでは、各フィードに含まれる情報を比較可能です。より多くのデータを含むフィードをここで確認できますし、独自のデータを持たないフィードがあれば、そのフィードの購読を停止することも可能です。
Kaspersky CyberTraceはまた、マルチユーザーモードでチームワークをサポートします。他のユーザーにアクセス権を与え、調査に対してコメントをもらったり、調査に協力してもらうことができます。
必要であれば、CyberTrace からインジケーターをアンロードし、URL からアクセスできるようにすることができます。例えば、インジケーターをファイアウォールレベルで自動的にブロックするルールを追加する際に、こうしたアクションが必要となります。
Retrospective scanning(Retroscan)という機能を使用すると、SIEMシステムからの古いログを保存し、後で新しいフィードと照合することができます。インシデントを検知した時点で適切な調査を行うためのデータが不足していたとしても、さかのぼって調査を実施可能です。
Kaspersky CyberTraceについては、こちらのページをご覧ください。