UEBA対応SIEMのユースケース：内部脅威が牙を向く前に阻止する

こんにちは ;)　技術本部のAIです。

今回はSumo Logic社のMITRE ATT&CKに関するブログを日本語化したものです。

原文はこちらをご参照ください。

内部脅威は、組織が直面する最も困難なセキュリティリスクの1つです。境界を突破しなければならない外部の攻撃者とは異なり、内部関係者はすでに重要なシステムやデータへの正当なアクセス権を持っています。彼らはセキュリティ管理を理解し、価値のある資産がどこにあるかを知っており、従来のルールベースの検知システムの監視をかいくぐって長期間活動することができます。

ユーザーおよびエンティティの行動分析（UEBA）は、内部脅威、認証情報の悪用、ハイブリッドおよびクラウド環境にわたるラテラルムーブメント（横展開）を検知できますが、それは行動のベースラインが包括的かつ正確で、即座に実行可能である場合に限られます。ここで、Sumo Logicの「ヒストリカルベースライン（historic baselining）」が、組織の内部脅威検知へのアプローチを根本から変えます。

従来のUEBAにおけるベースラインの問題点

UEBAは、各ユーザーやエンティティにとっての「正常」とは何かを確立し、侵害や悪意のある意図を示す可能性のある逸脱をフラグ立てすることで機能します。

UEBAは機械学習を使用して「正常」なベースラインを確立しますが、従来の実装には根本的な制限があります。それは「学習に時間が必要」という点です。

ほとんどのUEBAシステムは、自信を持って行動ベースラインを確立するまでに数週間、あるいは数ヶ月の観察期間を必要とします。この学習期間中、検知能力は制限されたままであり、組織は脆弱な状態に置かれます。また、学習期間が経過した後も、多くのシステムは直近数週間程度の短いローリングウィンドウ（移動窓）に依存しているため、以下のような問題が発生します。

• ビジネス活動の季節変動がベースラインを歪める。
• 正当ではあるが頻度の低い行動が誤検知（誤認）を誘発する。
• 巧妙な内部関係者が徐々に活動をエスカレートさせることで、ますますリスクの高い行動を「正常」としてシステムに学習させてしまう。

その結果、セキュリティチームは過剰な誤検知に悩まされるか、ベースラインが正常な行動の全範囲を捉えきれないために本物の脅威を見逃すリスクにさらされます。

Sumo Logicのヒストリカルベースラインが検知をどう変えるか

Sumo LogicのCloud SIEMは、最大90日間の既存ログデータを分析して包括的な行動プロファイルを即座に構築する「ヒストリカルベースライン」を通じて、これらの根本的な課題に対処します。行動モデルが成熟するまでセキュリティチームを何週間も待たせるのではなく、環境内にすでに保存されている過去の活動データを活用します。

このアプローチはUEBAの価値提案を一変させます。検知は数ヶ月ではなく数分で有効になります。ベースラインは季節的なパターンやビジネスサイクル、そして正当ではあるが頻度の低い行動の全範囲を捉えます。セキュリティチームは、長期間のチューニングを待つことなく、新しい行動検知ルールを導入できます。以下は、ヒストリカルベースラインによって疑わしい活動の検知と防止が容易になるいくつかのユースケースです。

アカウント侵害の検知

アカウント侵害は、UEBA対応SIEMの最も重要なユースケースの1つです。UEBAは、確立されたユーザー活動パターンからの逸脱をモデル化することでアカウント侵害を検知できますが、そのパターンの質はベースラインの深さに完全に依存します。

ヒストリカルベースラインは、以下の方法でアカウント侵害の検知に優れています。

• 行動ベースライン化: 90日間にわたるログイン時間、場所、アクセス方法の個別パターンを確立。
• 異常アクセス検知: 過去のパターンからの逸脱をリアルタイムでフラグ立て。
• ラテラルムーブメントの特定: アイデンティティ、エンドポイント、ネットワークのログを相関させ、侵害後の活動を検知。
• クロス・テレメトリ相関: 複数のデータソースにわたって異常を検証し、誤検知を削減。

ユーザーが過去90日間一度も触れたことのない管理ツールに突然アクセスした場合、たとえそのアクセスが正当な認証情報を使用して通常の業務時間中に行われたとしても、システムはそれを異常として認識します。

内部脅威と権限乱用の検知

最新のUEBA対応SIEMプラットフォームは、ファイルアクセスのパターン分析、大量ダウンロードの監視、権限昇格の追跡、ピアグループ（同僚グループ）との比較ベースラインを通じて内部脅威を検知します。ヒストリカルベースラインは長期間のコンテキストを維持するため、従来のシステムが見逃してしまうような微妙な権限昇格を検知できます。

内部脅威の可能性を示す例を挙げます。

• 従業員が、過去に一度も関わりのなかった部署のファイルタイプにアクセスし始める。
• 通常は週に10個のドキュメントをダウンロードするユーザーが、突然1日に15個ダウンロードする。
• 個々には無害に見えるが、合わせると懸念すべきパターンを形成する、段階的な権限昇格のリクエスト。
• 過去の使用パターンから外れた異常な管理者操作。

90日間のベースラインウィンドウは、正当な変動と真に疑わしい行動を区別するのに十分な履歴を捉え、検知の精度を高めながら誤検知を劇的に削減します。

新たな経路によるデータ持ち出し（エクスフィルトレーション）

内部関係者によるデータの持ち出しが、明らかな大量転送で行われることは稀です。代わりに、巧妙な内部関係者は、ファイルを個人のクラウドストレージにコピーしたり、ドキュメントを個人のメールに転送したり、自動しきい値アラートを下回る程度の少量のダウンロードを繰り返したりして、徐々にデータを持ち出します。

UEBAは、各ユーザーの長期間にわたる正常なデータアクセスと転送量を確立することで、このような「低速で目立たない（low-and-slow）」持ち出しパターンを検知できます。

高度な検知機能には以下が含まれます。

• クロスソース相関: メール、クラウドストレージ、エンドポイント、ネットワークトラフィックからのシグナルを統合。
• 異常ベースのスコアリング: 確立されたアクセスおよび転送パターンからの逸脱を特定。
• ナラティブ・タイムライン: データが環境内をどのように移動したかを示す包括的なインシデントストーリーを構築。
• 創造的な経路の検知: クラウド共有、未承認のSaaS、暗号化されたチャネルを介した持ち出しを特定。

ベースラインはユーザーが通常どのような種類のデータにアクセスしているかのコンテキストを捉えるため、偵察や窃取の準備信号となるデータの横断的アクセスを検知できます。

内部の認証情報共有と共謀の検知

UEBAは、特定のアカウントがどのように動作するか（何をアクセスするかだけでなく、いつ、どこから、どのシステムを経由するか）の詳細なパターンを確立することで、認証情報の共有やアカウントの悪用を検知します。

検知手法には以下が含まれます。

• クロスエンティティ相関: 複数のユーザーアカウントにわたる異常なパターンを関連付け。
• デバイスとアカウントの共有パターン: 複数のユーザーが同じデバイスからアクセスしている状況を特定。
• ピアグループ逸脱分析: 同様の役割を持つ他者と行動を比較して異常を特定。
• アクセスパターンのプロファイリング: 各アカウントが通常いつ、どのように運用されているかを確立。

システムは、共有された管理端末、単一のホストからの短時間での連続ログイン、アカウント間の急速な権限切り替え、既知のユーザー所在地と矛盾する地理的または時間的なアクセスパターンを特定できます。

SOC効率のためのリスクベースのアラート優先順位付け

動的なしきい値調整により、時間の経過とともに検知感度を適応させて誤検知を減らすことができますが、ヒストリカルベースラインを使用すれば、初日からリスクベースのスコアリングが可能になります。リスクベースのアラートは、90日間の行動ベースラインに基づくUEBAの異常シグナル、脅威インテリジェンスの相関、資産の重要度データ、および過去のインシデントのコンテキストを組み合わせます。

運用上の利点は以下の通りです。

• 誤検知の削減による調査までの平均時間の改善。
• 信頼性の高いアラートによるアナリストの疲労軽減。
• 自動化されたインシデントタイムラインによるエスカレーションの効率化。
• 高度な脅威に専門家を集中させるための適切なリソース配分。

自動応答とSOAR統合

UEBAは、エンドポイントの隔離や認証情報の取り消しなどの応答を自動化するために、SOAR（security orchestration, automation, and response）としばしば統合されます。ヒストリカルベースラインが高い信頼度で内部脅威シグナルを検知すると、自動化されたプレイブックが、侵害されたエンドポイントの隔離、疑わしい認証情報の取り消し、過去のコンテキストを含めたインシデントケースの作成、調査プレイブックの開始、および関連するすべてのコンテキストを事前集約した状態でのアナリストへのエスカレーションを実行できます。

ヒストリカルベースラインとSOAR統合の組み合わせは、インシデント対応のタイムラインを根本的に変え、セキュリティチームが内部脅威を数時間や数日ではなく、数分で封じ込めることを可能にします。

最後に

組織が従業員やパートナーに機密システムやデータへのアクセスを許可している限り、内部脅威は永続的な課題であり続けます。問題は、内部リスクに直面するかどうかではなく、甚大な被害が発生する前にそれを効果的に検知し、対応できるかどうかです。

UEBAはあなたに有利な状況をもたらします。既存の履歴データを活用して即座に豊かな行動ベースラインを構築することで、Sumo Logic Cloud SIEMは、セキュリティチームが長期間の学習期間を待つことなく、効果的な内部脅威検知を展開することを可能にします。エンティティごとのベースラインは個別の行動パターンを正確に捉え、パーセンタイルベースの異常検知は環境に自動的に適応します。そして「First Seen（初確認）」ルールは、調査に値する真に斬新な行動を特定します。

UEBA対応SIEMプラットフォームを検討しているセキュリティリーダーにとって、最新のハイブリッドクラウド環境において効果的な内部脅威検知を行うためには、履歴データから行動ベースラインを確立することが鍵となります。