横方向の動きとそれを検出する方法|LogRhythm

セキュリティ操作の文脈の中で横方向の動きの概念を聞いたことがあり、脅威アクターがこの戦術を活用してデータにアクセスする方法の一般的な考え方を持っているかもしれません。 しかし、横方向の動きは正確には何ですか? また、それは組織のセキュリティ運用にどのように影響しますか?

横方向の動きとは何ですか?

マイター ATT&CK™が横方向の動きを提供する定義から始めましょう:

横方向の動きは、敵がネットワーク上のリモートシステムに入り、制御するために使用する技術で構成されています。 彼らの主な目的に従うことは、多くの場合、彼らのターゲットを見つけるためにネットワークを探索し、その後、それへのアクセ 彼らの目的を達成するには、多くの場合、複数のシステムをピボットし、アカウントへのアクセ 敵は、横方向の動きを達成するために、独自のリモートアクセスツールをインストールしたり、ネイティブのネットワークおよびオペレーティングシステムツールで正当な資格情報を使用したりする可能性があります。

横方向の動きの技術

MITREの定義の中で焦点を当てるべき重要なことは、横方向の動きは単一の技術ではなく、高度な永続的な脅威(APTs)と、脅威アクターが意図されたターゲットへのアクセスを得るために使用される搾取の領域を含む一連の技術であるということです。

これらの手法は、資格情報を盗み、リモートサービスを悪用するために使用されるさまざまな脆弱性と方法を強調表示します。 あなたはMITREのウェブサイト上で、各技術を軽減するための横方向の動きの技術と手順の完全なリストを見つけることができます。 横方向の動きの例は次のとおりです:

  • ハッシュを渡す(Pth)
  • チケットを渡す(PtT)
  • リモートサービスの悪用
  • 内部spearphishing
  • SSHハイジャック
  • Windows管理者共有

横方向の動きを検出

検出する鍵横方向の動きを示す技術は、このタイプの活動を識別するための複数のアプローチがあることを認識しています。 多くの場合、脅威アクターが環境全体にいつ移動しているかを識別するためのアプローチの組み合わせが必要になる場合があります。

環境内の横方向の動きを検出することは簡単な作業ではありませんが、横方向の動きのテクニックに関連する疑わしい活動を警告し、調査プロセ

リアルタイム監視と行動分析の両方を使用することで、悪意のある可能性のある活動をすぐに特定し、文脈上の証拠を使用してそのような活動を調査することができます。 これら2つの機能がどのように連携するかをよりよく理解するために、これら2つの機能が何であるかを正確に分解しましょう。

リアルタイム監視(アラート)

環境全体でデータを効果的に収集、正規化、および相関させることで、さらなる調査が必要な不審なアクティビティを識別できるリアルタイムアラートが提供されます。 アラートを集約することで、この技術はリアルタイムで脅威の進行を観察し、真の脅威をさらに指摘する複合活動を表示するのに役立ちます。

リアルタイム監視を使用する場合は、MITRE ATT&CKフレームワークにマッピングするルール、特に横方向の動きのテクニックを適用することもできます。 フレームワークの下ですべての技術のためのルールを提供することは、搾取のすべての潜在的な領域をカバーしていることを保証することができます。

行動分析(調査)

行動分析は、通常の行動から有意な偏差を示す活動に優先順位を付け、対処するために、ユーザーとネットワークエンティティの活動

ユーザーとエンティティの行動分析(UEBA)ソリューションは、機械学習(ML)を使用して、各ユーザーとエンティティのベースライン(通常の行動)と、そのベースラインから逸脱 これらの偏差を理解することは、疑わしい活動に関するアラートの調査をサポートする文脈上の証拠を提供することができます。

各検出方法が独自の視点を提供し、リソースとタイミングの要件が異なるため、すべてのシナリオに適したアプローチであるかどうかにかかわらず、単一の方法のみに依存しないことが重要です。 一部のシナリオでは、横方向の動きを効率的に検出するためにリアルタイムのアラートのみが必要な場合がありますが、より洗練された攻撃では、悪意のあるアクターを自信を持って識別するためにアラートと行動分析による調査の両方が必要な場合があります。

横方向の動きのユースケース

以下は、横方向の動きの攻撃と検出シーケンスの例です。

攻撃者:偵察

  • 攻撃者は、OpenVAS、Nmap、Shodanなどのツールの組み合わせを使用して偵察とインテルの収集を開始します。

: Exploit

  • 攻撃者は偵察中に特定された脆弱性を悪用して初期アクセスを取得します。

攻撃者:資格情報の盗難

  • 攻撃者は内部のスピアフィッシング手法を使用して、同じ組織内の他のユーザーを悪用し、より大きなアクセスを得ます。

SecOps:最初のアラート

  • フィッシング指標とアラートが生成されたため、相関ルールが直ちにトリガーされました
  • 新しいケースが作成されました
  • 調査が開始されました

攻撃者: 特権の昇格

  • スピアフィッシングの悪用が成功した後、攻撃者は意図したターゲットへのアクセスを得るために特権を昇格しようとします。

SecOps:追加のアラートがトリガーされました

  • 権限が変更されたためにアラートがトリガーされました。
  • 既存のケースに新しいアラートが追加されます。
  • SecOpsは、異常な活動を特定し、既存のアラートにコンテキストを追加するために、行動分析を使用した調査を継続します。

: データ流出

  • 攻撃者はRDPセッションを開始して、対象のサーバーにリモートでアクセスします。
  • 攻撃者はターゲットサーバー上の機密データを表示します。
  • 攻撃者がサーバーからファイルのコピーを開始します。

SecOps:追加のアラートがトリガーされ、応答

  • 機密ファイルアクセスが原因でアラートがトリガーされます。
  • ファイルのコピーによりアラートがトリガーされます。
  • 既存のケースに新しいアラートが追加され、修復を開始するのに十分な証拠が得られました。
  • SecOpsは、ユーザーのRDPセッションを切断し、ユーザーをサーバーからロックアウトする自動アクションを開始します。

横方向の動きを防ぐ

横方向の動きを検出して対応するのにかかる時間を短縮すると、脅威アクターがネットワークを介して移動し、最終的に機密データ セキュリティオーケストレーション、自動化、および応答(SOAR)機能を統合するUEBAソリューションは、チームが関連するすべての悪意のある活動を迅速に特定し、迅速な検出と対応を支援するのに役立ちます。

オンデマンドウェビナーをご覧になり、UEBA市場とそれがどのようにチームにインサイダーの脅威を可視化できるかについての詳細をご覧ください。



+