自動攻撃調査:サイバーセキュリティ対応の強化
サイバー脅威や侵害の効率的な調査のための自動化システムを探る。
― 1 分で読む
企業は、熟練の攻撃者からの絶え間ない脅威に直面していて、彼らはさまざまな手段を使ってシステムに侵入し、見えないところを移動し、データを盗んだり身代金を要求したりするんだ。従来、企業はデバイスやネットワークを監視して脅威を発見し報告するために、いろいろなシステムに頼ってきた。しかし、これらのシステムはしばしば膨大な数のアラートを生成し、アナリストがそれらを効果的に管理して対処するのが難しくなる。アラートが多すぎることで、実際の脅威を見逃す可能性が高まってしまう。
この問題に対処するために、研究者たちは攻撃をより効率的に調査する自動化システムを提案している。これらのシステムは情報を収集し、関連するイベントを追跡し、アナリストに状況の明確な要約を提供する。この論文では、さまざまな自動攻撃調査システムを見て、それらの設計や目標を比較し、直面する困難について議論する。レビューの最後には、この分野の未解決の問題に目を向ける。
サイバー攻撃はしばしば複数のステップから構成され、それぞれの段階で異なる技術を利用する。最近のいくつかの有名な攻撃がこの点を示している。例えば、2020年のSolarWinds攻撃は、多くの組織が使用するソフトウェアを侵害した。別のケースでは、2022年のCash Appの侵害に関与したのは元社員で、機密の財務報告書にアクセスした。もっと最近では、2023年のCitrixBleed攻撃が脆弱性を利用して、Citrix製品を使用している企業から敏感な情報を収集した。これらの攻撃の規模と洗練度は、過去の年と比べて大幅に増加した。
攻撃者がネットワークにアクセスすると、さまざまな手法を用いて内部で移動し、高価値のアカウントやデータを制御する。彼らは正当なユーザーに溶け込むために、許可されたツールを使って活動を偽装し、システムに断続的にアクセスする。これには数週間または数ヶ月かかることがあり、その間に攻撃者は気づかれずにいることができる。報告によれば、2023年には、組織がデータ侵害を検出し封じ込めるのに平均で204日かかった。
こうした脅威に対抗するために、企業はネットワークやユーザーの活動のさまざまな側面を監視するシステムを使用している。一部のシステムはエンドポイントに焦点を当てているが、他のシステムはネットワークトラフィックやユーザーの振る舞いを監視している。これらのシステムは脅威を受動的に監視し、アラートを生成したチームのアナリストに通知する。しかし、このステップは時間がかかり、人為的なミスが起きやすいため、しばしばアナリストがすべてのノイズの中で本物の脅威を見逃す結果になる。
そのため、調査プロセスを楽にするためのさまざまなシステムが提案されている。これらのシステムは脅威に関連するイベントを追跡し、因果分析を実施し、攻撃の範囲を特定することを目指している。彼らは誤報を減らし、調査プロセスを迅速化しようと努力している。
効果的な自動調査システムを作るのは、いくつかの要因から難しい。まず、分析する必要がある膨大なデータ量が圧倒的であること。次に、このデータがしばしば混乱していて、無害な日常活動に偏っていること。さらに、データが異なるシステムに散らばっているため、出来事の明確な因果関係を形成するのが難しい。その結果、これらのシステムは誤アラートを最小限に抑え、調査作業を効率化するために多くの戦略を採用している。
例えば、システムは無関係な接続を除外し、攻撃に最も関係するものに焦点を合わせたり、脅威の深刻度に基づいてアラートの優先順位を決めたりすることがある。また、アラート調査の数を減らすために、アラートネットワークの特性を調べたり、珍しさスコアを割り当てたりするなどのさまざまな技術を使用することもある。
ただし、自動システムはしばしば完璧な世界に存在するという前提で動作することが多い。実際には、アナリストはすべてのデータに完全にアクセスできないかもしれないし、脅威の調査にかかる時間は膨大になることもある。そのため、この論文では、攻撃調査のこれらの課題に対処する最先端のシステムを調査する。こうしたシステムを構築する際の問題を概説し、提案されたさまざまなタイプのシステムについて論じる。
クラシックEDRとSIEMシステム
エンドポイント検出と応答(EDR)ツールは、現代の企業で最も広く使用されるソフトウェアの一つで、コンピュータやその他のデバイスの活動を継続的に監視している。これらのツールは、システムイベントをあらかじめ定義されたルールのセットと比較し、既知の脅威に一致するアクションを特定する。一致が見つかった場合、EDRツールはデバイスから追加のコンテキストを収集し、そのデータを中央サーバーに送って詳細な分析を行う。
多くの組織は、EDRツールとともにセキュリティ情報およびイベント管理(SIEM)システムを利用している。これらのシステムは、アナリストがデータを照会し、関連するイベントを統合し、警告を分析するのを助ける。EDRとSIEMシステムは低レベルのシステム活動を効果的に追跡できるが、攻撃のコンテキストを解釈するための重い負担をアナリストにかけてしまう。
残念ながら、これらのシステムで使用されるルールは完璧ではなく、攻撃者はそれをかろうじて回避するために方法を変更することができる。EDRシステムの急速な普及により、多くの企業が契約要件やサイバーセキュリティ保険コストを下げる必要から、ネットワーク全体に導入することが多くなっている。しかし、多くの組織はこれらのシステムが生成するアラートの量に追いつくのに苦労している。
その結果、最近の文献では脅威調査の負担を軽減するためのさまざまな自動攻撃調査システムが提案されている。
自動調査の起源
自動攻撃調査の概念は、BackTrackerのような初期の解決策に遡ることができ、これはシステムコールログを使用してグラフを形成し、インシデントを分析していた。攻撃を調査するためのロギングのアイデアは、システムイベントを仮想環境で再生して侵害を調べるReVirtのようなシステムから発展した。他のシステム、たとえばTaserやBack-to-the-Futureも、以前のシステム状態を復元するためにロギングを利用していた。
最近のアプローチは、調査を助けるために因果グラフを取り入れている。異なる監視システムからの情報を組み合わせることで、過去の技術であるSitaramanのシステムは分析のためにロギングを利用し、危険検出は悪意のあるイベントを追跡するために設計された現代のツールに繋がっている。
現代の調査システム
今日の自動攻撃調査システムは、その能力、データソース、および調査で使用される技術において非常に異なる。オンラインで操作するかオフラインで操作するかに基づいて分類でき、オンラインシステムはリアルタイムで脅威を検出し、オフラインシステムは既に収集されたログやイベントを分析する。
システムは、出所を利用するものやその他の種類のデータに依存するものなど、データソースに基づいて整理されることもある。さらに、あるシステムは単一ホストの調査に焦点を当てているが、他のシステムは複数のホストを考慮し、ネットワークを横断する脅威を追跡するのがより得意だ。
攻撃キルチェーンの全体像
利用可能なツールとその機能を理解するためには、典型的な攻撃シナリオを見てみると良い。例えば、攻撃者が侵害された認証情報を通じてアクセスを得ることを考えてみて。内部に入った後、彼らは情報を収集し、新しいユーザーアカウントを作成してアクセスを維持しながら、システムの脆弱性を利用し続けるかもしれない。最終的には、検出される前に敏感なデータを流出させるかもしれない。
EDRやSIEMシステムが脅威を監視し報告しているにもかかわらず、アナリストはアラートの膨大な量に苦しむことが多い。この状況は、アナリストが数多くの警告をトラブルシュートしようとする中で「アラート疲れ」を引き起こす。各アラートを調査するのは労力を要し時間がかかるため、本物の脅威を見逃すリスクがある。
したがって、自動攻撃調査システムの主要な目標は、誤報を減らしながら正確な検出を保証することだ。それでも、これらのシステムが調査中により多くの依存関係を追跡すると、アラートの量が指数関数的に増加する可能性がある。さらに、ログの保存や性能維持に関する課題にも直面することがある。
攻撃調査のアプローチ
調査プロセスは通常、攻撃の原因と範囲を分析することから始まる。これは因果分析を通じて達成でき、依存しているイベントを結びつけることができる。収集されたデータに基づいて因果グラフを構築することで、システムは攻撃に至るさまざまなアクション間の関係をより良く理解できる。
グラフが構築されると、システムは脅威の根本的な原因と範囲を特定できる。これには、知られた悪意のある活動からその出所を辿るか、将来のリンクを調べてイベントの影響を理解することが含まれる。
異常検出
この分析の間、システムは悪意のある行動を示す可能性のある異常なパスを検出するためにさまざまな手法を使用する。これらの方法は、グラフの特性、機械学習モデル、またはイベント間の関係を活用して、有害である可能性に基づいてスコアを割り当てることがある。
議論された各システムには、アラート疲れやストレージの制限といった従来のEDRツールがもたらす課題に対処するための独自の戦略がある。それでも、これらのツールの効果を改善し、アナリストの作業負荷を考慮することが急務である。
アラートの優先順位付け
自動システムがあまりにも多くのアラートを生成する問題に直面する中で、どのアラートを調査するかを優先順位付けすることが重要だ。PrioTrackerのようなシステムは、アラートの緊急性や本物の脅威である可能性の評価に基づいてアラートを評価するアルゴリズムを使用する。
同様に、他のツールはアナリストの時間制約を考慮して、どのアラートをフラグするかを決定する。最も重大なアラートに焦点を当てることで、システムは調査プロセスを合理化し、重要な脅威を見逃す可能性を減少させることができる。
ストレージの軽減
ログやイベントの保存は、特に調査が長時間にわたって広範なデータを追跡する場合、圧倒的になることがある。そのため、古くなったり無関係なデータを削除する方法がしばしば必要とされる。例えば、グラフベースのアプローチは、不必要なノードや接続を削除することでストレージニーズを減少させることができる。
こういった戦略は、重要な情報がアクセス可能なままでありながら、ストレージ要件を最小化するのに役立つ。しかし、このバランスは、将来の調査に役立つ貴重なコンテキストを失わないように維持する必要がある。
解釈可能な結果
最終的に、自動調査のすべての努力は、最終的な解釈のために人間のアナリストに戻る。したがって、結果を理解しやすい方法で提示することは重要で、アナリストが脅威を検証するための十分なコンテキストを提供する必要がある。
自動システムは、アラートの数を減らすことだけでなく、アナリストが結果を簡単に解釈し、潜在的な問題についての洞察を得られるようにすることを優先する必要がある。
未解決の問題
この論文では、自動攻撃調査システムの進展をレビューしているが、まだ対処すべきいくつかの課題が存在する。重要な分野の一つは、脅威が発生する際にリアルタイム分析を推進することだ。現在の多くのシステムはオフラインで動作しているため、攻撃が発生する速度を考慮すると、最良のアプローチではないかもしれない。
さらに、アナリストの作業負荷を軽減することに焦点を当て、システムがアラートを生成する際に彼らの時間制約や情報要件を考慮する必要がある。
システムが進化し続ける中で、データの完全性や整合性について非現実的な仮定を避けることが重要だ。セキュリティソリューションは、組織環境の実際の現実の中で機能し、存在する制限を考慮しなければならない。
さらに、実際の攻撃シナリオを正確に反映する高品質のデータセットを見つけることは、依然として重要なハードルである。ほとんどのシステムは評価のためにシミュレーションされた攻撃に依存しており、実際の侵害でのシステムのパフォーマンスを完全には表現しきれないかもしれない。
結論として、この論文では企業のセキュリティを強化することを目的としたさまざまな自動攻撃調査システムを評価している。依存関係の爆発、アラート疲れ、データストレージなどの主要な課題に対処するために進展が見られる一方で、普遍的な解決策はまだ開発されていないことは明らかだ。今後、研究者たちはリアルタイムの能力、アナリストの作業軽減、現実的な評価、サイバーセキュリティ分野での組織が直面する課題への理解を深めることに焦点を当てる必要がある。
タイトル: After the Breach: Incident Response within Enterprises
概要: Enterprises are constantly under attack from sophisticated adversaries. These adversaries use a variety of techniques to first gain access to the enterprise, then spread laterally inside its networks, establish persistence, and finally exfiltrate sensitive data, or hold it for ransom. While historically, enterprises have used different Incident Response systems that monitor hosts, servers, or network devices to detect and report threats, these systems often need many analysts to triage and respond to alerts. However, the immense quantity of alerts to sift through, combined with the potential risk of missing a valid threat makes the task of the analyst challenging. To ease this manual and laborious process, researchers have proposed a variety of systems that perform automated attack investigations. These systems collect data, track causally related events, and present the analyst with an interpretable summary of the attack. In this paper, we present a survey of systems that perform automated attack investigation, and compare them based on their designs, goals, and heuristics. We discuss the challenges faced by these systems, and present a comparison in terms of their effectiveness, practicality, and ability to address these challenges. We conclude by discussing the future of these systems, and the open problems in this area.
著者: Sumanth Rao
最終更新: 2024-06-13 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2406.07559
ソースPDF: https://arxiv.org/pdf/2406.07559
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.csoonline.com/article/566243/threat-detection-it-s-about-time.html
- https://www.apple.com/newsroom/pdfs/The-Continued-Threat-to-Personal-Data-Key-Factors-Behind-the-2023-Increase.pdf
- https://securityintelligence.com/articles/cost-of-a-data-breach-10-years-in-review/
- https://www.ibm.com/reports/data-breach
- https://www.ibm.com/topics/edr