脅威ハンティングとはなんですか?

脅威ハンティングとは、悪意のあるアクティビティを発見して阻止するために、プロアクティブな方法論、革新的なテクノロジー、脅威インテリジェンスを組み合わせたセキュリティ機能です。

サイバーセキュリティに対してよりプロアクティブなアプローチを採用する備えがある企業(攻撃が深部に及ぶ前に阻止することに努めている企業)にとって、セキュリティ プログラムに脅威ハンティングを加えることは、次にとるべきステップとして理にかなっています。

エンドポイント セキュリティ戦略やインシデント レスポンス戦略を固め、今や当然のものとなった既知のマルウェア攻撃を軽減することで、組織は攻勢に転じることができます。それらの組織は、調査を細密化することで、まだ検知されていないものを見つけられるようになります。それこそが、脅威ハンティングの目的です。

脅威ハンティングは、攻撃者がすでに組織のネットワークに侵入しており、密かに監視を行いながらネットワーク内を移動しているという「侵入を前提」とする積極的な戦術です。これは極端な仮定に思えるかもしれませんが、実際のところ攻撃者は、何日も、何週間も、場合によっては何か月もネットワーク内に延々と潜んで、自動化された防御機能にその存在を検知されることなく標的型攻撃などの攻撃を準備し、実行することがあります。脅威ハンティングは、隠れたセキュリティ侵害インジケーター(IOC)を探し出すことで、このような攻撃を阻止します。このため、攻撃が目的を達成する前に、それらを軽減することができます。

データセンターに対する脅威:リモート アクセスの悪用による攻撃の収益化

VMware が SE Labs から業界初となる NDR の AAA 評価を獲得

脅威ハンティングの重要な要素

脅威ハンティングの目的は、ネットワーク全体で毎日のアクティビティやトラフィックを監視し、異常の可能性があるものを調査することで、本格的な侵入につながる可能性があり、まだ発見されていない悪意のあるアクティビティを見つけることです。このような早期の検知を実現するため、脅威ハンティングには以下の 4 つの要素が組み込まれており、いずれも等しく重要なものです。

方法。企業が脅威ハンティングを成功させるには、プロアクティブな常時稼働の体制を維持し、継続的に進化を止めることなく取り組む必要があります。事後対応型でその場しのぎの「時間があるときに」という考え方は、最小限の効果しか得られず、脅威に対抗することができなくなります。

テクノロジー。ほとんどの企業では、すでに自動検知機能を備えた包括的なエンドポイント セキュリティ ソリューションが導入されています。脅威ハンティングは、そうしたソリューションの付加的な機能として、システムやファイルにあってはならない異常や通常では見られないパターンなど、さまざまな攻撃者の痕跡を発見する高度なテクノロジーを提供します。ビッグデータ分析を活用する新しいクラウドネイティブ エンドポイント保護プラットフォーム(EPP)は、フィルタリングされていない大量のエンドポイント データを取得して分析するとともに、振る舞い分析や人工知能により、一見正常に見える悪意のある動作も広範囲かつ高速に可視化することができます。

高度なスキルを備えた専任の担当者。脅威ハンター(サイバーセキュリティ脅威アナリスト)は、高度な専門家です。このようなエキスパートは、前述のセキュリティ テクノロジーの使い方を把握しているだけでなく、飽くなき情熱を持って攻勢をかけ、直感的な問題解決フォレンジック機能を通じて隠れた脅威を発見し、軽減します。

脅威インテリジェンス。世界中のエキスパートから収集された、根拠に基づくグローバルなインテリジェンスを利用することで、既存の IOC をより的確かつ迅速に発見することができます。ハンターは、マルウェアの攻撃分類や脅威グループの特徴などの情報を活用し、高度な脅威インジケーターによって悪意のある IOC を特定しています。

Crowd Research Partners による調査、『2018 Threat Hunting Report』は、こうした脅威ハンティング機能の重要性を裏付けています。もっとも重要な機能を順位付けする質問では、以下のような結果となりました。

69% が脅威インテリジェンスを選択

57% が振る舞い分析を選択

56% が自動検知機能を選択

54% が機械学習と自動分析を選択

有能な脅威ハンターの定義

脅威ハンターは、企業が把握できていない脆弱性を利用して知らないうちに侵入している攻撃者を探します。これらの攻撃者は、計画や偵察にかなりの時間を費やし、見つかることなくネットワークに侵入できると判断した場合にしか行動しません。攻撃者は、まだ認識されていないマルウェアを作成して埋め込んだり、マルウェアにまったく頼らない手法を用いたりすることによって攻撃の長期的な拠点を構築し、準備を整えます。

では、非常に巧妙な攻撃者にも対抗するにはなにが必要なのでしょうか。

サイバー脅威ハンターは徹底した姿勢で、サイバー攻撃者が残したもっとも小さな痕跡さえも見つけ出すことができます。

脅威ハンターは、高度に調整されたスキルを用いて、攻撃者がシステムやファイル内を移動する際に発生するわずかな変化を見定めます。

優秀な脅威ハンターは、直感的にもっとも悪辣な攻撃者の密かな動きを見つけ出すことができます。

関連するソリューションおよび製品

NSX Sandbox

NSX Sandbox

包括的なマルウェア分析

Carbon Black Workload

ワークロード保護に特化した高度なセキュリティ

VMware Carbon Black Endpoint

クラウドネイティブなエンドポイント保護プラットフォームです。