2019年12月13日

はじめに

NECセキュリティ技術センターの中島です。
私は2019年9月30日から10月7日にかけて、ニューオーリンズで開催されたSANS Threat Hunting & Incident Response Summit 2019（以下、THIR Summit）と SANSトレーニングの1つであるSEC504 に参加してきました。
THIR Summitは前半2日間で開催され、組織における脅威ハンティングの運用やインシデントレスポンスの取り組み事例の紹介を通じて、脅威ハンティングとインシデントレスポンスのプロセスを改善する考え方を学ぶことができるサミットです。
後半6日間のトレーニングでは、デジタルフォレンジックやインシデントレスポンスに関連するセキュリティの専門スキルを学ぶことができます。

本記事では前半のTHIR Summitの中から、3つの講演を紹介いたします。

Evolving the Hunt: A Case Study in Improving a Mature Hunt Program

Target社のDavid J. Bianco氏とCat Self氏によるこの講演では、Target社での「組織における脅威ハンティングプログラムの改善」における取り組みの紹介がありました。彼らは、「脅威ハンティング」を「セキュリティインシデントの検出に使用される支援手法の総称」と定義し、脅威ハンティングプログラムを改善するためのサイクルは以下の3段階であると述べました。

それぞれの段階の内容を説明します。

1.レベルの設定

HMMのレベルは以下のように定義されています。

これにより、脅威ハンティングに適切な初期機能が何であるかを把握することができますね。
HMMレベルのうち、脅威ハンティングが可能な最低限のレベルはHMM1であり、まず目指すべき一般的なレベルはHMM2とのことです。

2.改善

目標レベルに向けた改善内容に優先順位をつける際には、以下の3つの視点が大事と述べています。

これらの視点を元に改善内容に優先度をつけることで、効率的な対策を行うことができると述べました。

3.評価

先ほど紹介したHMMに基づき、自組織の取り組みや状況を確認してレベルを把握します。その後、再び1で述べたレベルの設定に戻り、1->2->3のサイクルを繰り返して、脅威ハンティングプログラムを改善していくと述べました。

講演を通して、まず、組織としての現状を把握し、次に目指すべきステップがどこであるかを全員が同じ認識をもつことで、何が足りておらず、どこから手を付けたらいいのか、体系立てて考えられることが分かりました。このモデルをベースに私たちのチームとして必要な機能と目指すべきレベルを設定していきたいなと考えました。

My “Aha!” Moment

Splunk社のJohn Stoner氏によるこの講演では、今までに扱った脅威ハンティングの事例を挙げながら、脅威ハンティングの各フェーズの進め方やその結果の考え方が述べられました。

脅威ハンティングは以下のように進むと述べました。

特に本講演で焦点が当てられていた、3、4、5のフェーズについて紹介します。

フェーズ3.仮説を立てる

MITRE ATT&CKに照らして、以下に示す点に注意しながらどのようなアクティビティが発生しているか、という仮説を立てます。

次の実験のフェーズで仮説の反論、または確認ができるかを考えながら仮説を組み立てる必要があります。

フェーズ4.実験

仮説の反論、または確認ができるかどうかの調査を行います。本講演では、調査内容について事例を元に述べられました。具体的には、以下のような調査項目です。

フェーズ5.分析と結論

実験を通じて発見したデータのレポーティングと可視化を行います。このフェーズを行うことで、脅威ハンティングコミュニティ上に挙がったデータが運用可能になり、セキュリティ運用の支援に役立てることが可能になります。例えば、以下のような情報を活用することができますね。

また、本講演では、Stoner氏が経験上よく見るアクティビティとして以下のものが紹介されました。

サミット全体を通して感じたことでもありますが、「調査結果を上手に運用する」ことが今後のTHIRを改善する鍵であると感じました。脅威ハンティングで得た知見をセキュリティ運用にうまく伝えて連携することが重要ですね。
また、Splunk社では、BOTS(Boss of the SOC)と呼ばれるセキュリティアクティビティを導入しており、このようにゲーミングされたアクティビティは非常に興味深く感じました。

Hunting Is Sacred, But We Never Do It for Sport!

FireEye社のAshraf M. Abdalhalim氏によるこの講演では、キルチェーンを用いて脅威ハンティングとインシデントレスポンスをモデル化することで統合及び同期を図る取り組みが紹介されました。
キルチェーン（Kill Chain）とはもともと軍事で使用される言葉で、構造化された軍事行動を説明する際に用いられます。最近では、サイバーキルチェーンという言葉で、構造化されたサイバー攻撃が表現されます。
この講演では、脅威ハンティングとインシデントレスポンスをそれぞれ「調査」と「復旧」と捉えています。そしてシームレスにお互いの情報を使用しながら調査と復旧を改善していくサイクルを作るためF2T2EA（find、fix、track、target、engage、assess）モデルを取り入れたアイデアを提案しています。
F2T2EAモデルでは、脅威ハンティングとインシデントレスポンスを以下のように対応付けることができます。

脅威ハンティングとインシデントレスポンスのモデルやベストプラクティスは別個に捉えがちなところがありましたが、脅威ハンティングで得られた情報をどのようにインシデントレスポンスに反映させるのか、それらの連携をよりスムーズにしていくことでより素早く、質の高いサイクルをつくることが重要だなと考えさせられました。

余談

ニューオーリンズの街とトレーニングのお話を少しだけさせていただきたいと思います。
ニューオーリンズはジャズと美食の街で、夜は道端で演奏する人の周りには通りがかった人たちが歌ったり踊ったりと毎晩お祭りのような陽気さでした。私も、夜はジャズを聴いたり美味しいご飯を食べたりと満喫しました。ご飯はスパイシーな味付けが多く、とても美味しいです。

また、後半は、SEC504というインシデントレスポンスに関連するツールや技術を学ぶことができるトレーニングを受講しました。
受講者には普段、インシデントレスポンスやセキュリティにかかわる業務に従事している人が多く、あるインシデントが発生した際にどう復旧していくべきか、といった内容での議論を行うワークではいろいろな視点からの意見を聞くことができ、とても勉強になりました。

つたない英語力に不安を抱えながら降り立ったニューオーリンズも、帰るころには寂しくて帰りたくないなと思いながら後にしました。

おわりに

今回初めての単身海外出張であったり、行きのトランジットに失敗したりとドキドキの8日間でしたが、各組織の脅威ハンティングへの取り組みをはじめとして海外の技術者とたくさんお話しすることができ、とても良い経験になりました。
経験をつんで、ぜひいつか自身が登壇する側としてまたこのサミットに参加したいと思います。

（このレポートはSANS Instituteの掲載許可を得ています。）

執筆者の他の記事を読む