脅威インテリジェンスサービスの概要

Transcript

1. 脅威インテリジェンスサービス Threat Intelligence Service 2022年10⽉14⽇ ⽇本オラクル株式会社 クラウド・エンジニアリング統括 COE本部 セキュリティ&マネージメント・ソリューション部 1

   Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

2. Agenda 1. Threat Intelligence Service 2. Cloud Guard Threat Detector

   3. まとめ 2 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

3. Agenda 1. Threat Intelligence Service 2. Cloud Guard Threat Detector

   3. まとめ 3 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

4. 脅威インテリジェンスデータを⽤いて疑わしいアクティビティを検出 サービス概要/特徴 • さまざまな情報ソースより脅威インテリジェンスデータを集約し Cloud GuardやOCIリソースでの脅威の検知・防御に 関する情報提供 • オラクルのセキュリティ研究機関やオープンソースフィード （CROWDSTRIKE,

   abuse.ch, etc）から提供 • 侵⼊の痕跡となるIPアドレス、URL、ドメイン、ファイル ハッシュ、ユーザー名などより分析 • Cloud Guardと連携 ü 脅威インテリジェンスデータを基に監査ログなどを評価・分析し、 疑わしいアクティビティを検出（Cloud Guardへ問題を報告） ユース・ケース • セキュリティ担当者が⼿動で実施していた脅威データの⼊⼿ 検証、管理、保管などのワークロードを削減し、最適化され たセキュリティ・インシデント管理を実現 • 脅威インテリジェンスデータを⽤いて、不正なユーザーの アクティビティを分析 • セキュリティ・インシデントに繋がる不正なアクティビティの 早期検知・対応することでセキュリティリスクを抑⽌ サービス価格 • 無償 脅威インテリジェンスの概要 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 4

5. ü Cloud Guardとの統合によりシンプルな運⽤が可能 ü オラクルにて脅威インテリジェンスデータを管理をすることで、OCI上の分析における誤検出が少ない ü 追加費⽤なしで脅威インテリジェンス・データの利⽤が可能 Threat Intelligence Service

   Cloud Guard オラクルのテレメトリと調査 ハニーポットネットワーク オープンソースのフィード （Tor、abuse.chなど） クラウドストライクの情報 脅威インテリジェンスの概要 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 5

6. 脅威インテリジェンスの概要 モニタリングから対策の流れ Copyright © 2023, Oracle and/or its affiliates. All

   rights reserved. 6 修正⽅法 再発防⽌ 不要なアクセス・悪意のあるアクセス の試⾏をブロック 脆弱性の可視化と対応 脅威の状況を把握 アセット（資産）の回復 クラウドセキュリティの ベストプラクティスを遵守 設定変更の監視 リソースまたはユーザー を隔離/終了 調査範囲の把握 脅威の検知 相関イベント検出 機械学習 侵害の⼿掛かり（IOC） に基づく検出 ハクティヴィスト ランサムウェア 知的財産の窃盗 諜報活動 優先順位付け 暗号化マイナー フォルスポジティブ 何に対して 資格証明書のローテーション

7. 7 脅威インテリジェンスのサービスから何を得られるのか? Copyright © 2023, Oracle and/or its affiliates. All

   rights reserved. 情報ソースについて Managed open-source threat intelligence Partner threat intelligence security insights オラクルの洞察とセキュリティ専⾨家による 差別化された脅威インテリジェンス Crowdstrikeなどのパートナーからの サードパーティデータ “Abuse.ch” や “tor”などの信頼できる オープンソースデータ

8. 脅威のインジケータ・データベース 脅威のインジケータ・データベース 検索機能を使⽤すると、脅威インテリジェンス・データのデータ ベースにアクセスできます。情報ソースには、Oracleが毎⽇処理 する数⼗億のデータ・シグナルに基づくファーストパーティのイン サイトと所⾒、業界標準のオープン・ソース・フィードおよび CrowdStrikeのようなパートナーからのサードパーティ・インテリ ジェンスが含まれます。 脅威インテリジェンスのサービスから何を得られるのか? Copyright

   © 2023, Oracle and/or its affiliates. All rights reserved. 8 インジケータ・タイプ ドメイン名 MD5ハッシュ ファイル名 SH1ハッシュ IPアドレス SHA256ハッシュ マルウェア 脅威アクター URL 脅威のタイプ

9. 9 脅威インテリジェンスのサービスから何を得られるのか? インジケータの履歴は、該当のインジケータを 脅威インテリジェンスサービスに報告した情報ソース の概要を表⽰。 ユーザーテナントでの活動は反映されていません。 全体の信頼度スコアは、脅威インテリジェンスの確信度を 表す値を0から100で表⽰。インジケータが悪意のある 動作に関連付けられている可能性を⽰します。 Copyright

   © 2023, Oracle and/or its affiliates. All rights reserved. 脅威インテリジェンスデータであるインジケータの情報 （脅威タイプ、信頼度スコア、位置情報、等）を表⽰。 脅威のインジケータ・データベース - IPアドレス -

10. Agenda 1. Threat Intelligence Service 2. Cloud Guard Threat Detector

    3. まとめ 10 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

11. 脅威検知 Copyright © 2023, Oracle and/or its affiliates, Confidential: Restricted

    11 情報ソース Cloud Guard Threat Detector 機械学習プラットフォーム INITIAL ACCESS PERSISTENCE 問題 … … … IMPACT 相関分析＆スコアリング SCORE Rule-/Statistical-/ML-based Technique Models aligned with MITRE Att&ck® framework EVIDENCE VCN Flow Logs DNS Logs Identity Domain Logs Object Store Logs Application Logs … ` ⽬撃タイプ、テクニック、 戦術、重⼤度、信頼度、 地域、期間、リソース、 … データ ⽬撃情報 地域の ⽬撃情報 世界の ⽬撃情報 テクニック 戦術 分類 リスク スコア 問題 Threat Intel Feeds OCI Audit Logs OCI Config 脅威インテリジェンスを⽤いた脅威検知のロジック

12. グローバルな可視性 グローバルな推論とテナントレベルのフィードバックにより、複数のテナントや 地域にまたがる可能性のある攻撃を適切に検知することができます。 ターゲット⾏動モデル ⻑期間にわたって悪意のある⾏動を検知するようにチューニングされたモデル は、重⼤度や信頼度、影響を受けたリソースやIPアドレスなどの詳細を 報告します。 意図に基づく相関分析とスコアリング 攻撃の進⾏状況に応じてスコアリングされたさまざまな⾏動の⽬撃情報を 組み合わせて、適切な情報を余すことなく表⽰します。

    Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 12 脅威検知 脅威インテリジェンスを⽤いた脅威検知の特徴

13. 13 脅威インテリジェンスを⽤いて脅威を検知および可視化するには、Cloud Guardを有効化し、監視ターゲットに対して脅威ディテクタ を設定する必要があります。 Cloud Guardの有効化および監視ターゲットに対して脅威ディテクタの設定については、以下のURLよりご確認下さい。 【Cloud Guardとの統合】︓ https://docs.oracle.com/ja-jp/iaas/Content/threat-intel/using/overview.htm#overview 【ターゲットの管理】︓

    https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/targets.htm 脅威検知 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. Cloud Guardにおける脅威ディテクタレシピの設定

14. 14 脅威インテリジェンスを⽤いて脅威を検知および可視化するには、Cloud Guardを有効化し、監視ターゲットに対して脅威ディテクタ レシピを設定する必要があります。 以下は、脅威ディテクタレシピの内容となります。 脅威検知 Copyright © 2023, Oracle

    and/or its affiliates. All rights reserved. ※ https://attack.mitre.org/techniques/enterprise/ ディテクタ ルール ⼿法 ※ 説明 不正ユーザー 不可能旅⾏ Initial Access Valid Accounts: Cloud Accounts (T1078.004) 悪意のあるクラウド・アカウントの資格証明を取得して不正使⽤し、制限されたリソースへの アクセスを提供できます。正当な資格証明の不正な使⽤を検出する⽅法の1つは、アクセ ス間の期間が短すぎて物理的に不可能になった場合に、異なる地理的な場所から同じア カウントによるアクセスを識別することです。 パスワード推測 Credential Access Password Guessing (T1110.001) 1⼈のユーザーに対する総当たり攻撃。正当な資格証明に関する知識がなくても、パスワー ドによってアカウントへのアクセスが試⾏される可能性があります。アカウントのパスワードがわ からない場合は、反復的なメカニズム、または⼀般的なパスワードのリストを使⽤して、パス ワードを体系的に推測できます。攻撃者の⾃動プロセスに、失敗した認証試⾏間の⼗分な 組み込み待機時間がある場合、アカウントのロックアウトは発⽣しません。 パスワードのスプレー Credential Access Password Spraying (T1110.003) 複数のユーザーに対して、正当な資格証明に関する知識がなくても、複数のユーザーに対 するブルート・フォース攻撃では、パスワードを使⽤してアカウントにアクセスを試みる可能性 があります。逆仕訳では、多数の異なるアカウントに対して⼀般的に使⽤されるパスワードの 単⼀または少数のリストを使⽤して、有効なアカウント資格証明の取得を試みることができ ます。ログインは多くの異なるアカウントに対して試⾏され、多数のパスワードを持つ1つのア カウントを強制的に実⾏するときに通常発⽣するロックアウトを回避します。 事前認証済リクエスト(PAR)の昇格数 Exfiltration Exfiltration to Cloud Storage (T1567.002) 事前認証済リクエストの異常作成。事前認証済リクエストは、ユーザーが独⾃の資格証明 を持たないプライベート・バケットまたはオブジェクトにアクセスできるようにする⼿段を提供しま す。これにより、攻撃者はコマンドや制御チャネルを経由せずにデータを漏洩する可能性があ ります。 Cloud Guardにおける脅威ディテクタレシピ

15. 15 脅威インテリジェンスを⽤いて脅威を検知および可視化するには、Cloud Guardを有効化し、監視ターゲットに対して脅威ディテクタ レシピを設定する必要があります。 以下は、脅威ディテクタレシピの内容となります。 脅威検知 Copyright © 2023, Oracle

    and/or its affiliates. All rights reserved. ※ https://attack.mitre.org/techniques/enterprise/ ディテクタ ルール ⼿法 ※ 説明 不正ユーザー ⾼度なアクセス Privilege Escalation Valid Accounts: Cloud Accounts (T1078.004) 攻撃者は、初期アクセス、永続性、特権昇格または防御回避を利⽤して、クラウドアカウン トの資格情報を取得し、悪⽤する可能性があります。クラウドアカウントが悪⽤されると、攻 撃者はアカウント操作を実⾏して（例えば、追加のクラウドロールを追加することにより）、 永続性を維持し、特権にエスカレートする可能性があります。 防御回避 Defense Evasion (TA0005) Impair Defenses: Disable or Modify Tools (T1562.001) 攻撃者は、マルウェア/ツールおよびアクティビティの検出を回避するために、セキュリティツール を変更および/または無効にすることができます。 これには、セキュリティソフトウェアプロセスや サービスの強制終了、レジストリキーや構成ファイルの変更/削除によるツールの正常な動作 の停⽌、セキュリティツールのスキャンや情報の報告を妨げるその他の⽅法など、さまざまな 形態があります。 永続性 Persistence (TA0003) Account Manipulation: Additional Cloud Credentials (T1098.001) 攻撃者が制御するクレデンシャルをクラウドアカウントに追加して、環境内の被害者のアカウ ントとインスタンスへの永続的なアクセスを維持できます。例えば、Azure ADの既存の正当 なクレデンシャルに加えて、サービスプリンシパルとアプリケーションのクレデンシャルを追加でき ます。 これらの資格情報には、x509キーとパスワードの両⽅が含まれます。 ⼗分なアクセ ス許可があれば、Azureポータル、Azureコマンドラインインターフェイス、AzureまたはAz PowerShellモジュールなど、さまざまな⽅法で資格情報を追加できます。 Cloud Guardにおける脅威ディテクタレシピ

16. 16 OCIのリソースに対するアクセス権を得て、破壊⽬的でそれらリソースを使⽤する試みおよびその可能性を⽰しているアクティビティの パターンを検出します。 リスクスコアが “80” を超えると、Cloud Guardの問題として警告されます。 脅威検知イメージ Copyright ©

    2023, Oracle and/or its affiliates. All rights reserved. 監視対象となるコンパートメントにおいて、不正操作 の可能性があるOCIユーザーの⼀覧を表⽰。 該当のOCIユーザーにおける脅威モニタチング状況を 「観察」、「影響を受けるリソース」、「エンドポイント」 の観点で表⽰。 【観察】 ディテクタルールに基づいた操作 状況を分析およびスコアリングし た結果を表⽰します。 【影響を受けるリソース】 不正操作の可能性がある関連 リソースの情報が表⽰されます。 【エンドポイント】 リソースへのアクセス元と なるIP アドレスが表⽰されます。 Cloud Guardにおける脅威モニタリング

17. Agenda 1. Threat Intelligence Service 2. Cloud Guard Threat Detector

    3. まとめ 17 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

18. ORACLE CLOUD INFRASTRUCTURE Availability Domain Compartment/VCN Compartment/VCN VCN Service Gateway

    APサーバ APサーバ Database EMサーバ Cloud Guard Object Storage バックアップ Cloud Guard Threat Intelligence Vulnerability Scanning Vulnerability Scanning Security Zones 【対策概要】 n 潜在するセキュリティリスクを可視化し、情報漏洩などに 繋がるセキュリティインシデントを抑⽌ Ø 脆弱な設定状況の把握と改善 Ø OCIユーザーの不正アクティビティを検知・対応 n 精度の⾼いセキュリティリスク管理にて、運⽤・管理における ワークロードの最適化 Ø 脅威インテリジェンスデータを⽤いた精度の⾼い分析 Ø 脆弱な設定の⾃動修復 【サービス構成（例）】 n Cloud Guard ・・・ セキュリティリスクの検知・対応 n Vulnerability Scanning ・・・ インスタンスの脆弱性を調査・改善 n Threat Intelligence ・・・ 脅威インテリジェンスデータの提供 n Security Zones ・・・ 特定コンパートメントの要塞化 18 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 潜在的なセキュリティリスクの特定 想定ユースケース

19. Cloud Guard ü アカウントに対する権限が必要以上 に付与されていないかを把握 ü 意図しない操作（例︓VCNの更新 やインスタンスの停⽌）が実⾏されて いないかの把握 ü

    セキュリティリスクに繋がる設定や 操作などの⾒直し Threat Intelligence ü 脅威インテリジェンスデータがCloud Guardと連携され、より精度の⾼い 脅威分析を⽀援 ü 侵⼊痕跡となるIPアドレス、URL、 ドメイン、ファイルハッシュなどの情報を 基に分析 ü 不正操作の可能性があるユーザー を特定 Vulnerability Scanning ü 各インスタンスにおける脆弱性の有無 /パッチ適⽤状況を把握 ü 不要にオープンしているTCP/UDP ポートの把握 ü スキャン結果を基に脆弱性への早期 対策 Security Zones ü 定義したセキュリティ・ポリシーに違反 する操作（例︓パブリックバケットへ の変更や新規作成）が実⾏された 場合、強制的に拒否 ü Cloud Guardと連携により、OCIの 脅威を検知および防御 ü 脆弱なクラウド環境を作らせない 潜在的なセキュリティリスクの特定 〜 導⼊効果（例）〜 19 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 想定ユースケース

20. 参考情報 脅威インテリジェンス ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/threat-intel/home.htm 脅威インジケータの検索 https://docs.oracle.com/ja-jp/iaas/Content/threat-intel/using/database.htm 脅威インテリジェンス IAMポリシー https://docs.oracle.com/ja-jp/iaas/Content/threat-intel/using/policies.htm Cloud

    Guardの開始 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/part-start.htm Cloud Guard 脅威ディテクタレシピをターゲットに追加 https://docs.oracle.com/iaas/cloud-guard/using/targets.htm#targets-modify Cloud Guard 脅威のモニタリング https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/threats.htm 20 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

21. 21 Copyright © 2023, Oracle and/or its affiliates. All rights

    reserved.