サイト内の現在位置

SANS Threat Hunting & Incident Response Summit 2019 参加記

NECセキュリティブログ

2019年12月13日

はじめに

NECセキュリティ技術センターの中島です。
私は2019年9月30日から10月7日にかけて、ニューオーリンズで開催されたSANS Threat Hunting & Incident Response Summit 2019(以下、THIR Summit)と SANSトレーニングの1つであるSEC504 に参加してきました。
THIR Summitは前半2日間で開催され、組織における脅威ハンティングの運用やインシデントレスポンスの取り組み事例の紹介を通じて、脅威ハンティングとインシデントレスポンスのプロセスを改善する考え方を学ぶことができるサミットです。
後半6日間のトレーニングでは、デジタルフォレンジックやインシデントレスポンスに関連するセキュリティの専門スキルを学ぶことができます。

会場にはレッドチームやインシデントレスポンスなどの業務に従事する人をはじめ、200名程度が集まっていました。

本記事では前半のTHIR Summitの中から、3つの講演を紹介いたします。

  • Evolving the Hunt: A Case Study in Improving a Mature Hunt Program
  • My “Aha!” Moment
  • Hunting Is Sacred, But We Never Do It for Sport!

Evolving the Hunt: A Case Study in Improving a Mature Hunt Program

Target社のDavid J. Bianco氏とCat Self氏によるこの講演では、Target社での「組織における脅威ハンティングプログラムの改善」における取り組みの紹介がありました。彼らは、「脅威ハンティング」を「セキュリティインシデントの検出に使用される支援手法の総称」と定義し、脅威ハンティングプログラムを改善するためのサイクルは以下の3段階であると述べました。

  1. レベルの設定:ハンティング成熟度モデル(Hunting Maturity Model、以下、HMM)による評価を行うことで、現在のレベル把握と目標レベルを設定する
  2. 改善:目標レベルに向けて改善すべき部分の優先付けを行い、優先順位に沿って改善を行う
  3. 評価:HMMを用いて改善した結果の評価を行う

それぞれの段階の内容を説明します。

1.レベルの設定

HMMのレベルは以下のように定義されています。

HMM レベル 機能
0(Initial)
  • IDSやSIEMによる自動アラートに依存
  • 日常的なデータ収集はほぼなし
1(Minimal)
  • 脅威インテリジェンスインジケーター検索による脅威の追跡
  • 日常的なデータ収集(中or高)
2(Procedural)
  • 他者の作成したデータ分析手順を採用したハンティング
  • 日常的なデータ収集(中 or 高)
3(Innovative)
  • 新しいデータ分析手順を作成、手順の文書化
  • 日常的なデータ収集(高 or 非常に高)
4(Leading)
  • 成功するデータ分析手順の大部分を自動化
  • 日常的なデータ収集(高 or 非常に高)

これにより、脅威ハンティングに適切な初期機能が何であるかを把握することができますね。
HMMレベルのうち、脅威ハンティングが可能な最低限のレベルはHMM1であり、まず目指すべき一般的なレベルはHMM2とのことです。

2.改善

目標レベルに向けた改善内容に優先順位をつける際には、以下の3つの視点が大事と述べています。

  • 脅威アクターにより使用される可能性
  • 影響範囲と被攻撃可能性を踏まえたリスク
  • 既存の検出力

これらの視点を元に改善内容に優先度をつけることで、効率的な対策を行うことができると述べました。

3.評価

先ほど紹介したHMMに基づき、自組織の取り組みや状況を確認してレベルを把握します。その後、再び1で述べたレベルの設定に戻り、1->2->3のサイクルを繰り返して、脅威ハンティングプログラムを改善していくと述べました。

講演を通して、まず、組織としての現状を把握し、次に目指すべきステップがどこであるかを全員が同じ認識をもつことで、何が足りておらず、どこから手を付けたらいいのか、体系立てて考えられることが分かりました。このモデルをベースに私たちのチームとして必要な機能と目指すべきレベルを設定していきたいなと考えました。

My “Aha!” Moment

Splunk社のJohn Stoner氏によるこの講演では、今までに扱った脅威ハンティングの事例を挙げながら、脅威ハンティングの各フェーズの進め方やその結果の考え方が述べられました。

脅威ハンティングは以下のように進むと述べました。

  1. 問題発見
  2. 背景調査
  3. 仮説を立てる
  4. 実験(仮説の反論または確認ができるか)
  5. 分析と結論

特に本講演で焦点が当てられていた、3、4、5のフェーズについて紹介します。

フェーズ3.仮説を立てる

MITRE ATT&CKに照らして、以下に示す点に注意しながらどのようなアクティビティが発生しているか、という仮説を立てます。

  • 関連するコマンド履歴や実行アカウントを特定できるか
  • それらのイベントがいつ発生したか
  • 関連するオブジェクトがどう移動したのか

次の実験のフェーズで仮説の反論、または確認ができるかを考えながら仮説を組み立てる必要があります。

フェーズ4.実験

仮説の反論、または確認ができるかどうかの調査を行います。本講演では、調査内容について事例を元に述べられました。具体的には、以下のような調査項目です。

  • src / destペアの時系列分析
  • FTPセッションの検出
  • 時系列データを使用したイベントクラスターの表示
  • ファイル名のスタッキング
  • 実行されたコマンドの検出
  • 親プロセスの発見

フェーズ5.分析と結論

実験を通じて発見したデータのレポーティングと可視化を行います。このフェーズを行うことで、脅威ハンティングコミュニティ上に挙がったデータが運用可能になり、セキュリティ運用の支援に役立てることが可能になります。例えば、以下のような情報を活用することができますね。

  • ブラックリストドメインとIPを監視する
  • 外部システムと内部システム間の通信のベースラインを確立する
  • 重要なファイルとその場所を監視する
  • コマンドで不審な引数を監視する

また、本講演では、Stoner氏が経験上よく見るアクティビティとして以下のものが紹介されました。

  • クレデンシャルアクセス(最も目立つとのこと)
  • Mimikatzを使用したクレデンシャルダンプ(MITRE-ID: T1003)
  • 権限昇格
  • ユーザーアカウント制御のバイパス(MITRE-ID: T1088)

サミット全体を通して感じたことでもありますが、「調査結果を上手に運用する」ことが今後のTHIRを改善する鍵であると感じました。脅威ハンティングで得た知見をセキュリティ運用にうまく伝えて連携することが重要ですね。
また、Splunk社では、BOTS(Boss of the SOC)と呼ばれるセキュリティアクティビティを導入しており、このようにゲーミングされたアクティビティは非常に興味深く感じました。

夜はSANS DFIRのパーティがあり、海外のセキュリティエンジニアたちと交流して楽しみました。

Hunting Is Sacred, But We Never Do It for Sport!

FireEye社のAshraf M. Abdalhalim氏によるこの講演では、キルチェーンを用いて脅威ハンティングとインシデントレスポンスをモデル化することで統合及び同期を図る取り組みが紹介されました。
キルチェーン(Kill Chain)とはもともと軍事で使用される言葉で、構造化された軍事行動を説明する際に用いられます。最近では、サイバーキルチェーンという言葉で、構造化されたサイバー攻撃が表現されます。
この講演では、脅威ハンティングとインシデントレスポンスをそれぞれ「調査」と「復旧」と捉えています。そしてシームレスにお互いの情報を使用しながら調査と復旧を改善していくサイクルを作るためF2T2EA(find、fix、track、target、engage、assess)モデルを取り入れたアイデアを提案しています。
F2T2EAモデルでは、脅威ハンティングとインシデントレスポンスを以下のように対応付けることができます。

フェーズ 内容
Find 脅威や環境の状況認識
Fix ターゲットの場所の特定
Track ターゲットによるアクティビティの監視
Target 適切なIRをターゲットにマッチングさせる
THによる情報に合わせてIRの選択を更新する
Engage ターゲットに対してアクションを実行する
Assess 評価を行い、目的の効果を確認する

脅威ハンティングとインシデントレスポンスのモデルやベストプラクティスは別個に捉えがちなところがありましたが、脅威ハンティングで得られた情報をどのようにインシデントレスポンスに反映させるのか、それらの連携をよりスムーズにしていくことでより素早く、質の高いサイクルをつくることが重要だなと考えさせられました。

余談

ニューオーリンズの街とトレーニングのお話を少しだけさせていただきたいと思います。
ニューオーリンズはジャズと美食の街で、夜は道端で演奏する人の周りには通りがかった人たちが歌ったり踊ったりと毎晩お祭りのような陽気さでした。私も、夜はジャズを聴いたり美味しいご飯を食べたりと満喫しました。ご飯はスパイシーな味付けが多く、とても美味しいです。

また、後半は、SEC504というインシデントレスポンスに関連するツールや技術を学ぶことができるトレーニングを受講しました。
受講者には普段、インシデントレスポンスやセキュリティにかかわる業務に従事している人が多く、あるインシデントが発生した際にどう復旧していくべきか、といった内容での議論を行うワークではいろいろな視点からの意見を聞くことができ、とても勉強になりました。

最終日のCTFでは優勝することができ、インストラクターからは「デンジャラスガール」という素敵な称号(?)をいただきました。

つたない英語力に不安を抱えながら降り立ったニューオーリンズも、帰るころには寂しくて帰りたくないなと思いながら後にしました。

おわりに

今回初めての単身海外出張であったり、行きのトランジットに失敗したりとドキドキの8日間でしたが、各組織の脅威ハンティングへの取り組みをはじめとして海外の技術者とたくさんお話しすることができ、とても良い経験になりました。
経験をつんで、ぜひいつか自身が登壇する側としてまたこのサミットに参加したいと思います。

(このレポートはSANS Instituteの掲載許可を得ています。)

執筆者プロフィール

中島 春香(なかしま はるか)
セキュリティ技術センター リスクハンティングチーム

リスクハンティングチームにて、ペネトレーションテストを通じて安全なシステムの構築支援の業務に従事。
社外ではCTF for GIRLSの副代表として主にWeb分野の問題作成やワークショップ企画設計を担当。「Hardening II SU」にてMVV(Most Valuable vendor)賞受賞。SANS SEC504メダルを保持。
趣味は美味しいものやワクワクすることを探し歩くこと。