Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スレットハンティングについて知っておきたいこと
Search
hackeT
July 21, 2024
Technology
0
280
スレットハンティングについて知っておきたいこと
ISACA名古屋支部_2024年07月SR分科会 資料
hackeT
July 21, 2024
Tweet
Share
More Decks by hackeT
See All by hackeT
ランサムウェア攻撃について知っておきたいこと
hacket
0
160
APIセキュリティについて 知っておきたいこと
hacket
2
170
日曜フォレンジック ~デジタルカメラの写真と動画を復旧せよ~
hacket
0
58
msticpyの実践活用: 高度な脅威ハンティングを実現すべくSIEMとの虹の懸け橋となる
hacket
1
56
Practical msticpy use ~ rainbow bridge to SIEM for advanced threat hunting ~
hacket
0
120
フィッシング詐欺について知っておきたいこと
hacket
1
86
知られざるLOADERマルウェアの世界
hacket
0
86
マルウェアの分類はどこまで必要とされているのか、いないのか
hacket
0
76
Other Decks in Technology
See All in Technology
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
190
Storage Browser for Amazon S3
miu_crescent
1
150
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
130
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
180
C++26 エラー性動作
faithandbrave
2
730
マルチプロダクト開発の現場でAWS Security Hubを1年以上運用して得た教訓
muziyoshiz
3
2.3k
どちらを使う?GitHub or Azure DevOps Ver. 24H2
kkamegawa
0
790
KnowledgeBaseDocuments APIでベクトルインデックス管理を自動化する
iidaxs
1
260
Snowflake女子会#3 Snowpipeの良さを5分で語るよ
lana2548
0
230
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
160
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
32k
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Docker and Python
trallard
42
3.1k
Writing Fast Ruby
sferik
628
61k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
Embracing the Ebb and Flow
colly
84
4.5k
Bash Introduction
62gerente
608
210k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
What's in a price? How to price your products and services
michaelherold
243
12k
Transcript
スレットハンティングについて 知っておきたいこと 2024年7⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 理事 ⻑⾕川達也 2024年7⽉20⽇(⼟) 14:00-14:50
はじめに • セキュリティリサーチ(SR)分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット&エンジニアリング •
ディスカッション(交流)で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
はじめに、スレットハンティングとその関連⽤語について • スレットハンティング vs 脅威ハンティング • 同じ概念を表す⽤語で、基本的に相違なし (Threat Huntingをどう⽇本語訳するかの問題) •
昨年末のGoogle検索のヒット数 「スレットハンティング」2万3000件 <<「脅威ハンティング」23万件 と約10倍の乖離 • 脅威を英訳すると、threat, menace, (danger) • 脅威インテリジェンス、脅威モニタリングとの違い • 脅威インテリジェンスは、スレットハンティングの仮説⽴案に⽤いる種となる • 脅威モニタリングは、持続的なスレットハンティングの⼿段の⼀つ • 特化型︓〇〇スレットハンティング • データソース、分析⼿法、⽬的ごとに派⽣が多数あり • APIスレットハンティング、IoTスレットハンティング、クラウドスレットハンティング、メールスレットハンティング、脆弱性ス レットハンティング • 検知 vs 検出 • 広辞苑より「検知」︓検査して知ること => 定期検査、異常があってもなくてもよい => モニタリング • 広辞苑より「検出」︓検査して⾒つけ出すこと => 異常を⾃分から探し出すアプローチ => ハンティング
スレットハンティングを理解する 背景 ~ サイバー攻撃・犯罪の⾼度化と攻撃対象領域の増加 ~ 既製品では検知できない、侵⼊・流出をすべて⽌められない 背景 ⽬的 ⼿段
IDS/IPS UTM スレットハンティングの背景 サイバー攻撃・犯罪の⾼度化 • 2010 ~ 情報窃取を⽬的とする標的型攻撃 • 2015
~ ⾝代⾦を⽬的とするランサムウェア攻撃 • 2020 ~ 両⽅を駆使する⼆重脅迫攻撃 • 攻撃者の役割分担、組織化、エコシステム • 内部不正 攻撃対象領域 (Attack Surface)の増加 • 企業のクラウドサービス利⽤とその脆弱性管理 • リモートワークによるVPN利⽤とその脆弱性管理 • グループ会社や取引先などを⾜がかりにするサプ ライチェーン攻撃 • IoT機器への攻撃 既製品では”すべて”を検知できない、侵⼊・流出を”すべて”⽌めることができない アンチウイ ルスソフト フィッシング 対策ソフト URLフィルタ リング製品 資産管理 ソフト 次世代アン チウイルス (NGAV) セキュア ゲート ウェイ CASB/CWPP/ SASE DLP ※既製品:本発表では、チューニングもカスタマイズもしておらず攻撃者にでも容易に検知設定を再現できる製品またはオープンソースソフトウェアを指します EDR
スレットハンティングを理解する ⽬的 ~ 検知できていないかもしれない脅威を探し、迅速に対応する ~ 結果的に、被害を最⼩限に抑えるため ⽬的 ⼿段
スレットハンティングの⽬的 既製品では”すべて”の脅威を検知できない 恐れ(可能性)があるから 積極的に脅威を探し出し、被害やリスクが広がる前に迅速に対応する 探しに⾏ったところで脅威なんてないかもしれない😊 特段報告すべきリスクが何も⾒つからないときもある😞 同じ分析視点でもタイミング(時期)が違えば、新たな発⾒があるため スレットハンティングは⽇々の運⽤に組み込むべき ワンショットや定期的なペネトレーションテストやセキュリティアセスメントとの違いであり、 被害を最⼩化するためには、脅威を発⾒したら迅速に対応する必要があるため
スレットハンティングをする役務者 • ⾃社の内部SOCのアナリスト(常時) • ⾃社のCSIRTメンバー(平時) • 外部SOCのアナリスト (常時?) • 外部のスレットハンター
(サービス契約や準委任契約) • 外部のフォレンジックアナリスト 何か脅威を”検知”してから、 「トリアージ」や「フォレンジック」として脅威を探し出すことは、 ⼀般的には、受動的なインシデント対応であり、 能動的なスレットハンティングではない。 という整理になってます。実際にやっていることは類似しています。
役務者の⽴ち位置によるスレットハンティング上のメリデメ ターゲットの環境を 把握しやすい (正常理解😊) 世の中の流⾏を把 握しずらい (攻撃理解😞) ⾃社内部メンバー 外部メンバー 世の中の流⾏を把握し
やすい (攻撃理解😊) ターゲットの環境 を把握しずらい (正常理解😞) 両⽅の知識が重要
スレットハンティングを理解する ⼿段 ~ 仮説と検証に基づいて検出ルールを作成し、データ分析する ~ なんだ、その⼿法は既に多くの組織でやってますぜ︕ ⼿段
スレットハンティングの⼿段 分析アプローチ (How) 1. 脅威インテリジェンスからの仮説 (Intelligence-Driven Hypotheses) • 既存の攻撃⼿法、悪性との類似 2.
ターゲット環境の変化による気づきの仮説 (Situational-Awareness Hypotheses) • ベースライン、正常からの逸脱 3. ドメイン専⾨家による仮説 (Domain Expertise Hypotheses) • ハンターの過去の経験に基づくもの。⽂書化して情報共有が難しい。認知バイアスもあるが貴重な資源。 SANS “Generating Hypotheses for Successful Threat Hunting” 2016 https://www.sans.org/white-papers/37172/ より 分析対象 (Where from) • 製品、サーバーや端末のイベントログ • 通信パケットのデータ ⼀般的にやっていることは、データマイニング寄りの「ログ分析」 SIEMなどに⼀箇所にデータが揃っていると⽐較的分析しやすいが、必須ではない
主要なスレットハンティングのフレームワーク • Sqrrl: 脅威ハンティング参照モデル (2015) • The Sqrrl Threat Hunting
Reference Model (by Sqrrl) • https://www.threathunting.net/sqrrl-archive • TaHiTI: 脅威インテリジェンスを統合した標的型狩猟 (2018) • Targeted Hunting Integrating Threat Intelligence (by Dutch Payments Association) • https://www.betaalvereniging.nl/en/safety/tahiti/ • PEAK: 知識を持って 準備、実⾏、⾏動 (2023) • Prepare, Execute, and Act with Knowledge (by Splunk) • https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting-framework.pdf 他、類似 SANS Institute: A Practical Model for Conducting Cyber Threat Hunting (2018) https://www.sans.org/white-papers/38710/ • 仮説ドリブン • ベースライン(別名︓探査的データ分析(EDA)) • モデル⽀援脅威ハンティング(M-ATH) M-ATHとは︖ 機械学習を使って、既知の正常な動作または既知の悪質な動作を表すモデルを作成し、 そのモデルと乖離または⼀致するアクティビティを検出。 仮説ドリブンとベースラインを組み合わせたものに近いが機械学習により⼤部分が⾃ 動化されるのがメリット︕
(参考) スレットハンティングとAI # SANS Threat Hunting Survey 2024 の Q&Aより
AI が⼈間のスレットハンターの必要性に取って代わると思いますか? -- デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) 私は常に、スレットハンティングを「⾃動検知システムが⾒逃したセキュリティインシデントを⾒つけるために使⽤される⼿動または半 ⾃動のプロセス」と定義してきました。 その基準によれば、スレットハンティングを⾃動化することは不可能です。なぜなら、それは単 なる「検知」だからです。 デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) もっと有益な話として、現時点の AI は実際に独⾃のアプローチを考え出すことも、新しい問題を創造的に解決することもできないため、 答えはまだ「ノー」であるとも⾔えます。 これはトレーニング データに束縛されているため、私たちがすでにやり⽅を知っていること を実⾏するのに⾮常に優れています (ただし、おそらく、より速く、より適切に、またはより少ない⼈間の⼊⼒で実⾏できるでしょう)。 しかし、スレットハンティングのイノベーションを推進する創造的な⽕花を提供してくれる⼈材は常に必要です。
スレットハンティングの課題と第⼀歩
スレットハンティングの課題 1. ハンティングスコープの設定の難しさ • 重点的に守りたい領域や侵⼊リスクの⾼い箇所を特定し、調査・分析の範囲を適切に絞る 2. 時間とリソースの消費についての許容の難しさ • 結果が伴わないかもしれない分析への稼働とシステムリソースの影響を嫌がってしまう 3.
誤検出を許容してくれる報告ラインを確⽴する難しさ • 誤検出は必然的に出るもので⾃社環境についての知⾒を蓄積できたとポジティブに考えられるかが重要 • ハンターがこの程度で報告するのはやめようと判断してしまうと取り組み価値が下がる可能性がある 4. プライバシーとコンプライアンスの問題 • 場合により詳細な調査を⾏う過程で、機密データにアクセスしてしまう可能性がある 5. 外部専⾨家への依存 • 組織内にスキルやナレッジが蓄積されにくく、また外部の専⾨家は必ずしも組織の内部事情やシステム 構成に精通しているとは限らないため、調査・分析の範囲に制約が出る可能性があること • 外部に丸投げではなく、⾃組織のアナリスト要員の教育を含めてカバーなどでナレッジを蓄積したい
スレットハンティングの第⼀歩 準備 • 既製品によるセキュリティ対策 • 各種ログの取得 • サーバーへのアクセスログやアプリログ • Webプロキシなどゲートウェイのログ
• エンドポイント端末のイベントログ • クラウドサービスの監査ログ • ログの中央管理 • ハンターの稼働確保 • ハンティングサービスの契約 第⼀歩 • OSINTで集めてきた攻撃の痕跡情報(IoC)にてログをスキャンしてみる など 組織の規模、リソース、セキュリティ成熟度に応じて、 段階的にスレットハンティングを導⼊していくことが重要 参考: Sqrrl社によるスレットハンティングの成熟度モデル (2015) Level 0 ~ Level4 https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model-6d506faa8ad5 (Sqrrl社: 2018年にAmazonに買収されたアメリカのセキュリティ企業)
参考資料リスト • ブログ/発表 – https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/d2-3-ishikawa-2.pdf – https://www.scientia-security.org/entry/2019/03/16/090936 – https://www.scientia-security.org/entry/2017/01/14/164633 –
https://www.scientia-security.org/entry/2017/01/15/112601 – https://mag.executive.itmedia.co.jp/executive/articles/2208/24/news007.html – https://scan.netsecurity.ne.jp/article/2019/02/06/41929.html – https://japan.zdnet.com/article/35205602/ – https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good- ual-hunting/ba-p/3718421 – https://insights.sei.cmu.edu/library/threat-hunting-for-lateral-movement/ – https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf – https://hodigital.blog.gov.uk/wp-content/uploads/sites/161/2020/03/Detecting- the-Unknown-A-Guide-to-Threat-Hunting-v2.0.pdf – https://www.itu.int/en/ITU-D/Cybersecurity/Documents/CyberDrill- 2020/Cyber%20Threat%20Hunting%20Workshop%20- %20ITU%2019112020.pdf – https://www.akamai.com/ja/glossary/what-is-api-threat-hunting – https://www.forbes.com/sites/forbestechcouncil/2023/06/29/vulnerability- hunting-threat-huntings-cybersecurity-cousin/ – https://www.threathunting.net/sqrrl-archive – https://www.betaalvereniging.nl/en/safety/tahiti/ – https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting- framework.pdf – https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model- 6d506faa8ad5 書籍 https://gihyo.jp/book/2022/978-4-297-12457-1 https://www.oreilly.com/library/view/threat-hunting/9781492028260/ https://www.packtpub.com/product/practical-threat-intelligence-and- data-driven-threat-hunting/9781838556372 ホワイトペーパー https://www.sans.org/white-papers/38710/ https://www.sans.org/white-papers/37172/ ハンティングルールのレポジトリ (⼀例) https://www.threathunting.net https://github.com/threat-hunting/awesome_Threat-Hunting
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
脅威検出ハンズオン 事前説明
「Threat Hunting Baby Steps 」の Webサービス外観
「Threat Hunting Baby Steps」のWebサービス環境 • 今回のハンズオン課題としてWebアクセスログ(Apache Access combined形式)が 1,000イベント⾏あります •
このうち、〇〇個のイベントが攻撃または通常ではないアクセスの可能性があります。 • この⽣成AI (主にChatGPT-4oとPerplexity)にてベース開発した「Apache Access Log Viewer」によって分析してスレットハンティングしてください • ハンティング結果の回答⼿順 1. これは怪しい︕という⾏を選択してください。複数選択も可能です。 2. Submitボタンを押して、回答を送信してください。 • お助けユーティリティ機能がいくつかあるので、次のスライドでご紹介します。 留意︓⼀部アプリケーションのバグが残っているかもしれません、⾒つけたら分科会Slackでご報告いただけますと幸いです。
お助けユーティリティ機能︓ 集約(stats)
お助けユーティリティ機能︓ 既に回答済の除外 • すでに回答して正解した⾏番号を[1,2,3]のようにリストで渡しておくと、再度チェッ クボックスを選択しなくてもよくなります。 • このリストを修正する場合は修正前にF5ページリロードをしてください。 • またブラウザーの「戻る」で戻ってきた場合は、再度「回答済み、表⽰除外」をクリッ クしてください。
お助けユーティリティ機能︓⽂字列検索と選択件数の表⽰ ☞ Search窓にて⽂字列検索 ができます。ヒットした⾏ のみにフィルターされます。 ☞ 選択すると⻩⾊にハイラ イトされます。またSubmit ボタンの横に現在の選択件 数が表⽰されます。
「Submit」ボタンを押すと正答率に応じて画像が表⽰されます︕ 100%🎉⽬指して頑張ってください︕ 末尾にヒントあり︕ 出典: (Bing AI) がんばってくださいと応援するかわいい猫のイラスト 講師が開発し た即興AIは 4秒で
正答率90%🎉 にゃん AIに勝てるか、勝負 👊︕
脅威検出ハンズオン 解説スライドございません 後ほど分科会Slack上でのみ解答を公開します。
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
ディスカッションテーマ ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackチャットに書き込む形で交流してみましょう。
例︓正答率 何パーセントまでできた など このイベント(⾏番号)の攻撃は〇〇ですよねー。など
次回のSR分科会は「2024年10⽉19⽇(⼟)」 SR分科会へのご参加ありがとうございました。 次回の詳細情報は、Slackで別途ご連絡します。 次回は、LT⼤会です。SR分科会を初めて1年経ちまして、 私も何か調べて話してみたいという⽅、セキュリティをテーマに⾃由に アウトプットしましょう︕ 現地会場は「名古屋市市⺠活動推進センター集会室@栄駅」で Zoomとのハイブリッド開催です
None