ラテラルムーブメント対策してますか?

 2020.01.21  株式会社テリロジー 技術統括部

エンジニア部隊へのお問い合わせはこちらまで

どうも、C&Sの石田です。

珍しく取り扱い商材の紹介をします。

皆さんは今世間で話題となっているラテラルムーブメント対策してますか?

ラテラルムーブメント(Lateral Movement)とは?

直訳すると「横方向への移動」などですが、サイバーセキュリティとしての意味は

「組織内部での攻撃/感染拡大」を指します。

システム構成
システム構成

語源ですが、システム構成図を書くと外部との通信が上下、内部の通信が左右に見えるのでこれをラテラルムーブメントと呼ぶようになりました。

また、構成図を地図に見立てて上下を南北(North-South)、左右を東西(East-West)と言う場合もあります。

※英語の文献だとこちらの方が多いかも 

実際の攻撃で例えると(1)と(2)がラテラルムーブメントに該当します。

ラテラルムーブメント

こうすることで、直接機密情報が保存されているシステムにアクセスできなくても、セキュリティ的に最も弱い部分から機密情報にアクセスすることが可能となります。

これは、サイバーキルチェーンで言うところの、ベース構築と侵入拡大にあたります。

サイバーキルチェーン
サイバーキルチェーン

ホワイトハッカー養成講座(3)より借用

重要なことなので大きく書きますが、ピンポイントで強固なセキュリティ対策をしたところで

システム全体のセキュリティ強度は最も弱い部分に引きずられます。

※家のドアに鍵かけても窓が開いていたら意味ないのと同じです。

一般的な対策

防止対策として

  • NWのマイクロセグメンテーション化(最近はZeroTrustとか言いますね)
  • サーバセグメントへのアクセス制限

などを行い、NWレベルでラテラルムーブメントを難しくすることで防止します。

弊社の取り扱いで言えば、TEMPERED NETWOKS社製品が該当します。

検知方法として

  • サーバのアクセスログやトラフィックパターンの異常検知
  • EDRのアラート

などを行い、攻撃の有無を調査する形になります。

こちらも弊社の扱いで言えば、Sumo logic社のサービスCarbon Black(現VMware)社のサービスが該当します。

とは言え、やろうとすると結構大変です。

  • マイクロセグメンテーション
    ⇒膨大なVLAN、ACL、FWポリシーの設定
     ※TEMPERED NETWOKS製品を使えば簡単です
  • アクセス制限
    ⇒最小限のアクセスとは何か?の定義が必要
  • 異常検知
    ⇒ログはともかくラテラルムーブメントトラフィックをどうやってプローブに集めるか?
    (各VLANにミラーポートを作成してプローブまでつなぐ必要があります、RSPAN?)
  • EDRのアラート
    ⇒EDRの情報は端末内部の調査という観点では非常に有効ですが、”面”で調査する必要があるラテラルムーブメントの視点で見ると”点”の情報を人間が面に紐づけながら解析するので結構な時間が必要です。

Terilogyがオススメするラテラルムーブメント対策

NW機器が各種Flow情報(NetFlowやsFlow、IPFIX等)に対応していることが前提になってしまいますが、LastlineのNTA(Network traffic analysis)機能を使えば面でラテラルムーブメント対策が簡単に可能です。

構成例

Lastlineの構成
Lastlineの構成

ポイントはFlow情報による内部通信とパケットキャプチャによるインターネット通信の監視を併用することです。

これにより

  1. サンドボックス機能によるメールやWebからのマルウェアダウンロード
  2. インターネットとの通信に含まれる各種攻撃やC&C通信の情報
    ※サンドボックスで発見した未知のC&Cサイトの情報を加味できるのがポイント
  3. Flow情報を基にしたふるまい検知や異常検知の情報
    ※異常検知はトラフィックおよび認証情報の増加やアクセス先の変化を見ています。

これら情報を紐づけることが可能となり、侵入からラテラルムーブメント、情報窃取までそれぞれの攻撃手法をサイバーキルチェーンに照らし合わせて1つの攻撃として関連付けとアラートが可能となります。

実際にLastlineが検知すると以下のように攻撃を可視化できます。

検知時の表示例
検知時の表示例

これ以外にも下記の様に対象機器の情報やサイバーキルチェーンの進捗状況なども表示してくれますし、この情報を踏まえて危険度を自動的にスコアリング化するので対処すべきインシデントの優先順位付けも行えます。

攻撃状況
攻撃状況

実は貼り付けている画像はAWS上で構築しているハニーポットをLastlineで検査した結果です。

つまり、FlowとしてVPC Flowログにも対応してますのでIaaS上のサーバやVDIに対しても利用可能です。

他にも便利な機能がたくさんありますが、今日はこれくらいで。
もし、興味があればこちらからお問い合わせください。


RECENT POST「技術情報」の最新記事


技術情報

Sumo Logic ダッシュボードやフォルダ共有について

技術情報

Insight Trainerの活用方法 ~Sumo Logic CSEチューニングをより簡単に~

技術情報

Sumo LogicのCloud SIEM機能について

技術情報

Sumo Logicを使用した行動分析

ラテラルムーブメント対策してますか?