EDRの進化形として、新たにXDR製品が登場
サイバー攻撃が高度化する中で、多くの企業がエンドポイント対策として、EDRを導入しているが、十分に使いこなせていないのが実情だ。EDRは、端末のテレメトリーデータやアラートの提供を中心に、インシデント対応の支援をする。それだけでは不足するデータもあり、他のセキュリティデバイスのログを収集して、アラートへの対応を見極める必要があるが、アラートの数も多く、その対応に疲弊してしまうケースが多い。「インシデント対応では、様々な機器からのログを時系列で並べて突合させる煩雑な作業が必要になり、調査に時間がかかってしまうこともあります」とヴイエムウェア セキュリティ事業部 大久保 智氏は語る。
これらを解決するために、セキュリティ運用の現場では、エンドポイントやビジネスデータが保存、アクセスされる場所を中心に検出を行う【検出の有効性の向上】、調査機能を拡張、統合されたテレメトリーソースにおける根本原因分析の自動化による【調査スピードの迅速化】、そして、対処機能を拡張し、対処推奨事項の自動生成とすべての対処アクションのオーケストレーションを可能にする【対応速度と完全性の向上】が必要になる。
そのためのアプローチがEDRの進化形である「XDR(eXtended Detection and Response)」で、複数の情報をまとめて脅威の検知、調査、対応、ハンティングをリアルタイムで最適化する。XDRは、自社製品と他ベンダーのテレメトリーを収集して突き合わせるハイブリッドXDRと、自社製品の複数のテレメトリーを組み合わせてアクションするネイティブXDRに大別される。
EDRセンサーにネットワークセンサーを埋め込む
今回、ヴイエムウェアはネイティブXDRを採用し、VMware Carbon Black Cloudセンサーにネットワーク検知および可視化の機能を追加した「VMware Carbon Black XDR」(以下、Carbon Black XDR)をリリースした。Carbon Black XDRはネットワークセンサーを個々のEDRセンサーに埋め込んだ他社にはないユニークな方式で、エンドポイントのラテラル(水平展開)セキュリティの実現を強力にサポートする(図1)。
図1.VMware Carbon Black XDRの機能概要
「複数の製品を組み合わせて使う他のXDRとは異なり、ネットワークセンサーがEDRセンサーに内包されるので、ネットワーク構成の変更や機器の追加、およびそれらに伴う追加投資の必要がありません。今まで困難だった組織外のネットワークに接続された端末のネットワークアクティビティの監視も容易です」(大久保氏)。
Carbon Black XDRはネットワーク設計に依存しないXDRを実現し、3つのユースケースに対応する。【1つ目】がスプリットトンネルVPN環境におけるネットワークアクティビティの可視化だ。クラウドサービスのトラフィックが増えるにつれて、VPNを通過させる特定通信とそれ以外の通常通信に分割するスプリットトンネルを採用するケースが増えている。しかし、社内システム内だけを対象とするネットワークセキュリティサービスや製品では通常通信におけるネットワークアクティビティの可視化は困難だ。Carbon Black XDRでは、場所を問わず、どこにある端末でもネットワークアクティビティの可視化をすることが可能になる。
【2つ目】がクラウドセキュリティサービスを経由しないネットワークアクティビティの可視化だ。SASEなど新たな対策を導入したものの、ネットワーク構成の変更に伴う設定漏れや設定ミスなどで、ネットワークセキュリティを経由しないインターネット接続が発生する場合がある。本来起きてはならないことだが、この状態では不正な通信があっても、ネットワークセキュリティで気づくことは困難で、インシデント発生後の調査でも、原因究明がむずかしい。Carbon Black XDRを利用することで、インシデントへの対策や原因調査をエンドポイント側で行うことができる。
【3つ目】がNDR設置環境におけるネイティブXDRの必要性だ。攻撃者は、OS付属の正規プロセスを悪用し、水平展開・水平移動を実行する。ネットワークレイヤーでも通常の操作と攻撃者による識別もある程度は可能だ。ただ、そのためにはエンドポイントとネットワークでそれぞれ補完するセキュリティデザインが必要になる。「Carbon Black XDRは端末から発生するネットワーク活動を分析して対応、EDRとしてのログも収集しているので、個々のプロセスの不審な動作を同一画面で調査、不正アクセスを検知します」(大久保氏)。
制約のない可視性、ネイティブXDR、ワンストップサポートを実現
- これまでVMware Carbon Black Cloud がサイバー攻撃対策として提供してきた機能と合わさることで、サイバー攻撃プロセスの各工程で強力な可視性を実現(図2 太字)
- 初期アクセス段階で、ネットワークイベントの拡張による可視性向上
- 資格情報へのアクセス段階で認証イベントの収集による資格情報へのアクセス状況の可視化
- 水平展開・C&C通信・情報流出段階で侵入検知システム(IDS)によるC&Cサーバーなど外部不正サーバーとの通信に対するアラート検知を実行(図2)。
図2.侵入型サイバー攻撃の各段階における対策
まずIDSアラートの詳細ではシグネチャにより検知された不正な通信のアラートを抽出、そこから脅威やヒットしたシグネチャの内容が確認できる。「観測の詳細ではMITRE ATT&CKの戦術や技術の内容、ネットワーク接続(netconn)ではネットワーク通信の方向や通信先が確認できます。またアラートの詳細でシグネチャ名のリンクをクリックすると、検索ボックスにシグネチャ名が自動的に表示され、同じシグネチャで検知されたアラートが一覧に表示されます」(大久保氏)。
XDRアライアンスで他メーカーとの連携を目指す
ネットワークイベントの拡張による可視性向上では、HTTP通信イベントの詳細情報が確認でき、EDRのログと一緒に攻撃の流れが鮮明にとらえられる。HTTP メソッドやリターンコード、ヘッダーなども確認でき、端末が攻撃ツールに感染してしまった後のネットワーク上の挙動を追うとこも可能だ。また、TLS通信におけるTLSバージョン情報やJA3フィンガープリント情報も表示し、攻撃サーバー側から送る指令を特定、C2通信の兆候をつかむことができる。
ヴイエムウェア株式会社
セキュリティ事業部
大久保 智氏
さらに認証イベントの収集による資格情報へのアクセス情報の可視化では、Windows環境において、Carbon Black XDRが導入されたユーザー認証のイベントを収集。認証とのプロセスアクティビティの関連付けが容易になり、よりコンテキストに富んだ脅威ハンティング、調査、インシデント対応が可能になる。
このように、Carbon Black XDRは、システムの場所や構成にかかわらず、不審/不正な通信が可視化できるネットワーク可視性の大幅な向上、さらなるテレメトリーの収集及び提供による調査スピード向上による侵害調査の迅速化、ネットワーク構成の変更や機器の追加せずに導入が可能なネイティブXDRによる容易な導入を実現する。こうした点が評価され、2023年6月に開催されたInterop Tokyo 2023ではセキュリティ部門の準グランプリを受賞した。
ヴイエムウェアでは、今後、分析、対処の自動化を進め、さらにXDRアライアンスによる他のメーカーとの連携を通したエコシステムで、顧客の環境に即した柔軟なXDRを提供していく考えだ。