Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スレットハンティングについて知っておきたいこと
Search
hackeT
July 21, 2024
Technology
0
410
スレットハンティングについて知っておきたいこと
ISACA名古屋支部_2024年07月SR分科会 資料
hackeT
July 21, 2024
Tweet
Share
More Decks by hackeT
See All by hackeT
ポートスキャナー入門: 正しく判断するために知っておきたいこと
hacket
0
5
OPSEC (Operations Security) について 知っておきたいこと
hacket
0
3
ランサムウェア攻撃について知っておきたいこと
hacket
0
190
APIセキュリティについて 知っておきたいこと
hacket
2
190
日曜フォレンジック ~デジタルカメラの写真と動画を復旧せよ~
hacket
0
65
msticpyの実践活用: 高度な脅威ハンティングを実現すべくSIEMとの虹の懸け橋となる
hacket
1
65
Practical msticpy use ~ rainbow bridge to SIEM for advanced threat hunting ~
hacket
0
140
フィッシング詐欺について知っておきたいこと
hacket
1
100
知られざるLOADERマルウェアの世界
hacket
0
100
Other Decks in Technology
See All in Technology
OpenLane-V2ベンチマークと代表的な手法
kzykmyzw
0
100
Running JavaScript within Ruby
hmsk
3
340
ドキュメント管理の理想と現実
kazuhe
1
210
技術者はかっこいいものだ!!~キルラキルから学んだエンジニアの生き方~
masakiokuda
2
270
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
6.3k
React ABC Questions
hirotomoyamada
0
490
「経験の点」の位置を意識したキャリア形成 / Career development with an awareness of the “point of experience” position
pauli
4
100
Spring Bootで実装とインフラをこれでもかと分離するための試み
shintanimoto
7
850
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
aeonpeople
1
320
C++26アップデート 2025-03
faithandbrave
0
630
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
1
270
MCPを活用した検索システムの作り方/How to implement search systems with MCP #catalks
quiver
12
6.8k
Featured
See All Featured
The Pragmatic Product Professional
lauravandoore
33
6.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
52
2.4k
Being A Developer After 40
akosma
91
590k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
119
51k
Making Projects Easy
brettharned
116
6.1k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
41
2.2k
Code Review Best Practice
trishagee
67
18k
How to train your dragon (web standard)
notwaldorf
90
6k
Gamification - CAS2011
davidbonilla
81
5.2k
Transcript
スレットハンティングについて 知っておきたいこと 2024年7⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 理事 ⻑⾕川達也 2024年7⽉20⽇(⼟) 14:00-14:50
はじめに • セキュリティリサーチ(SR)分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット&エンジニアリング •
ディスカッション(交流)で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
はじめに、スレットハンティングとその関連⽤語について • スレットハンティング vs 脅威ハンティング • 同じ概念を表す⽤語で、基本的に相違なし (Threat Huntingをどう⽇本語訳するかの問題) •
昨年末のGoogle検索のヒット数 「スレットハンティング」2万3000件 <<「脅威ハンティング」23万件 と約10倍の乖離 • 脅威を英訳すると、threat, menace, (danger) • 脅威インテリジェンス、脅威モニタリングとの違い • 脅威インテリジェンスは、スレットハンティングの仮説⽴案に⽤いる種となる • 脅威モニタリングは、持続的なスレットハンティングの⼿段の⼀つ • 特化型︓〇〇スレットハンティング • データソース、分析⼿法、⽬的ごとに派⽣が多数あり • APIスレットハンティング、IoTスレットハンティング、クラウドスレットハンティング、メールスレットハンティング、脆弱性ス レットハンティング • 検知 vs 検出 • 広辞苑より「検知」︓検査して知ること => 定期検査、異常があってもなくてもよい => モニタリング • 広辞苑より「検出」︓検査して⾒つけ出すこと => 異常を⾃分から探し出すアプローチ => ハンティング
スレットハンティングを理解する 背景 ~ サイバー攻撃・犯罪の⾼度化と攻撃対象領域の増加 ~ 既製品では検知できない、侵⼊・流出をすべて⽌められない 背景 ⽬的 ⼿段
IDS/IPS UTM スレットハンティングの背景 サイバー攻撃・犯罪の⾼度化 • 2010 ~ 情報窃取を⽬的とする標的型攻撃 • 2015
~ ⾝代⾦を⽬的とするランサムウェア攻撃 • 2020 ~ 両⽅を駆使する⼆重脅迫攻撃 • 攻撃者の役割分担、組織化、エコシステム • 内部不正 攻撃対象領域 (Attack Surface)の増加 • 企業のクラウドサービス利⽤とその脆弱性管理 • リモートワークによるVPN利⽤とその脆弱性管理 • グループ会社や取引先などを⾜がかりにするサプ ライチェーン攻撃 • IoT機器への攻撃 既製品では”すべて”を検知できない、侵⼊・流出を”すべて”⽌めることができない アンチウイ ルスソフト フィッシング 対策ソフト URLフィルタ リング製品 資産管理 ソフト 次世代アン チウイルス (NGAV) セキュア ゲート ウェイ CASB/CWPP/ SASE DLP ※既製品:本発表では、チューニングもカスタマイズもしておらず攻撃者にでも容易に検知設定を再現できる製品またはオープンソースソフトウェアを指します EDR
スレットハンティングを理解する ⽬的 ~ 検知できていないかもしれない脅威を探し、迅速に対応する ~ 結果的に、被害を最⼩限に抑えるため ⽬的 ⼿段
スレットハンティングの⽬的 既製品では”すべて”の脅威を検知できない 恐れ(可能性)があるから 積極的に脅威を探し出し、被害やリスクが広がる前に迅速に対応する 探しに⾏ったところで脅威なんてないかもしれない😊 特段報告すべきリスクが何も⾒つからないときもある😞 同じ分析視点でもタイミング(時期)が違えば、新たな発⾒があるため スレットハンティングは⽇々の運⽤に組み込むべき ワンショットや定期的なペネトレーションテストやセキュリティアセスメントとの違いであり、 被害を最⼩化するためには、脅威を発⾒したら迅速に対応する必要があるため
スレットハンティングをする役務者 • ⾃社の内部SOCのアナリスト(常時) • ⾃社のCSIRTメンバー(平時) • 外部SOCのアナリスト (常時?) • 外部のスレットハンター
(サービス契約や準委任契約) • 外部のフォレンジックアナリスト 何か脅威を”検知”してから、 「トリアージ」や「フォレンジック」として脅威を探し出すことは、 ⼀般的には、受動的なインシデント対応であり、 能動的なスレットハンティングではない。 という整理になってます。実際にやっていることは類似しています。
役務者の⽴ち位置によるスレットハンティング上のメリデメ ターゲットの環境を 把握しやすい (正常理解😊) 世の中の流⾏を把 握しずらい (攻撃理解😞) ⾃社内部メンバー 外部メンバー 世の中の流⾏を把握し
やすい (攻撃理解😊) ターゲットの環境 を把握しずらい (正常理解😞) 両⽅の知識が重要
スレットハンティングを理解する ⼿段 ~ 仮説と検証に基づいて検出ルールを作成し、データ分析する ~ なんだ、その⼿法は既に多くの組織でやってますぜ︕ ⼿段
スレットハンティングの⼿段 分析アプローチ (How) 1. 脅威インテリジェンスからの仮説 (Intelligence-Driven Hypotheses) • 既存の攻撃⼿法、悪性との類似 2.
ターゲット環境の変化による気づきの仮説 (Situational-Awareness Hypotheses) • ベースライン、正常からの逸脱 3. ドメイン専⾨家による仮説 (Domain Expertise Hypotheses) • ハンターの過去の経験に基づくもの。⽂書化して情報共有が難しい。認知バイアスもあるが貴重な資源。 SANS “Generating Hypotheses for Successful Threat Hunting” 2016 https://www.sans.org/white-papers/37172/ より 分析対象 (Where from) • 製品、サーバーや端末のイベントログ • 通信パケットのデータ ⼀般的にやっていることは、データマイニング寄りの「ログ分析」 SIEMなどに⼀箇所にデータが揃っていると⽐較的分析しやすいが、必須ではない
主要なスレットハンティングのフレームワーク • Sqrrl: 脅威ハンティング参照モデル (2015) • The Sqrrl Threat Hunting
Reference Model (by Sqrrl) • https://www.threathunting.net/sqrrl-archive • TaHiTI: 脅威インテリジェンスを統合した標的型狩猟 (2018) • Targeted Hunting Integrating Threat Intelligence (by Dutch Payments Association) • https://www.betaalvereniging.nl/en/safety/tahiti/ • PEAK: 知識を持って 準備、実⾏、⾏動 (2023) • Prepare, Execute, and Act with Knowledge (by Splunk) • https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting-framework.pdf 他、類似 SANS Institute: A Practical Model for Conducting Cyber Threat Hunting (2018) https://www.sans.org/white-papers/38710/ • 仮説ドリブン • ベースライン(別名︓探査的データ分析(EDA)) • モデル⽀援脅威ハンティング(M-ATH) M-ATHとは︖ 機械学習を使って、既知の正常な動作または既知の悪質な動作を表すモデルを作成し、 そのモデルと乖離または⼀致するアクティビティを検出。 仮説ドリブンとベースラインを組み合わせたものに近いが機械学習により⼤部分が⾃ 動化されるのがメリット︕
(参考) スレットハンティングとAI # SANS Threat Hunting Survey 2024 の Q&Aより
AI が⼈間のスレットハンターの必要性に取って代わると思いますか? -- デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) 私は常に、スレットハンティングを「⾃動検知システムが⾒逃したセキュリティインシデントを⾒つけるために使⽤される⼿動または半 ⾃動のプロセス」と定義してきました。 その基準によれば、スレットハンティングを⾃動化することは不可能です。なぜなら、それは単 なる「検知」だからです。 デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) もっと有益な話として、現時点の AI は実際に独⾃のアプローチを考え出すことも、新しい問題を創造的に解決することもできないため、 答えはまだ「ノー」であるとも⾔えます。 これはトレーニング データに束縛されているため、私たちがすでにやり⽅を知っていること を実⾏するのに⾮常に優れています (ただし、おそらく、より速く、より適切に、またはより少ない⼈間の⼊⼒で実⾏できるでしょう)。 しかし、スレットハンティングのイノベーションを推進する創造的な⽕花を提供してくれる⼈材は常に必要です。
スレットハンティングの課題と第⼀歩
スレットハンティングの課題 1. ハンティングスコープの設定の難しさ • 重点的に守りたい領域や侵⼊リスクの⾼い箇所を特定し、調査・分析の範囲を適切に絞る 2. 時間とリソースの消費についての許容の難しさ • 結果が伴わないかもしれない分析への稼働とシステムリソースの影響を嫌がってしまう 3.
誤検出を許容してくれる報告ラインを確⽴する難しさ • 誤検出は必然的に出るもので⾃社環境についての知⾒を蓄積できたとポジティブに考えられるかが重要 • ハンターがこの程度で報告するのはやめようと判断してしまうと取り組み価値が下がる可能性がある 4. プライバシーとコンプライアンスの問題 • 場合により詳細な調査を⾏う過程で、機密データにアクセスしてしまう可能性がある 5. 外部専⾨家への依存 • 組織内にスキルやナレッジが蓄積されにくく、また外部の専⾨家は必ずしも組織の内部事情やシステム 構成に精通しているとは限らないため、調査・分析の範囲に制約が出る可能性があること • 外部に丸投げではなく、⾃組織のアナリスト要員の教育を含めてカバーなどでナレッジを蓄積したい
スレットハンティングの第⼀歩 準備 • 既製品によるセキュリティ対策 • 各種ログの取得 • サーバーへのアクセスログやアプリログ • Webプロキシなどゲートウェイのログ
• エンドポイント端末のイベントログ • クラウドサービスの監査ログ • ログの中央管理 • ハンターの稼働確保 • ハンティングサービスの契約 第⼀歩 • OSINTで集めてきた攻撃の痕跡情報(IoC)にてログをスキャンしてみる など 組織の規模、リソース、セキュリティ成熟度に応じて、 段階的にスレットハンティングを導⼊していくことが重要 参考: Sqrrl社によるスレットハンティングの成熟度モデル (2015) Level 0 ~ Level4 https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model-6d506faa8ad5 (Sqrrl社: 2018年にAmazonに買収されたアメリカのセキュリティ企業)
参考資料リスト • ブログ/発表 – https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/d2-3-ishikawa-2.pdf – https://www.scientia-security.org/entry/2019/03/16/090936 – https://www.scientia-security.org/entry/2017/01/14/164633 –
https://www.scientia-security.org/entry/2017/01/15/112601 – https://mag.executive.itmedia.co.jp/executive/articles/2208/24/news007.html – https://scan.netsecurity.ne.jp/article/2019/02/06/41929.html – https://japan.zdnet.com/article/35205602/ – https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good- ual-hunting/ba-p/3718421 – https://insights.sei.cmu.edu/library/threat-hunting-for-lateral-movement/ – https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf – https://hodigital.blog.gov.uk/wp-content/uploads/sites/161/2020/03/Detecting- the-Unknown-A-Guide-to-Threat-Hunting-v2.0.pdf – https://www.itu.int/en/ITU-D/Cybersecurity/Documents/CyberDrill- 2020/Cyber%20Threat%20Hunting%20Workshop%20- %20ITU%2019112020.pdf – https://www.akamai.com/ja/glossary/what-is-api-threat-hunting – https://www.forbes.com/sites/forbestechcouncil/2023/06/29/vulnerability- hunting-threat-huntings-cybersecurity-cousin/ – https://www.threathunting.net/sqrrl-archive – https://www.betaalvereniging.nl/en/safety/tahiti/ – https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting- framework.pdf – https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model- 6d506faa8ad5 書籍 https://gihyo.jp/book/2022/978-4-297-12457-1 https://www.oreilly.com/library/view/threat-hunting/9781492028260/ https://www.packtpub.com/product/practical-threat-intelligence-and- data-driven-threat-hunting/9781838556372 ホワイトペーパー https://www.sans.org/white-papers/38710/ https://www.sans.org/white-papers/37172/ ハンティングルールのレポジトリ (⼀例) https://www.threathunting.net https://github.com/threat-hunting/awesome_Threat-Hunting
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
脅威検出ハンズオン 事前説明
「Threat Hunting Baby Steps 」の Webサービス外観
「Threat Hunting Baby Steps」のWebサービス環境 • 今回のハンズオン課題としてWebアクセスログ(Apache Access combined形式)が 1,000イベント⾏あります •
このうち、〇〇個のイベントが攻撃または通常ではないアクセスの可能性があります。 • この⽣成AI (主にChatGPT-4oとPerplexity)にてベース開発した「Apache Access Log Viewer」によって分析してスレットハンティングしてください • ハンティング結果の回答⼿順 1. これは怪しい︕という⾏を選択してください。複数選択も可能です。 2. Submitボタンを押して、回答を送信してください。 • お助けユーティリティ機能がいくつかあるので、次のスライドでご紹介します。 留意︓⼀部アプリケーションのバグが残っているかもしれません、⾒つけたら分科会Slackでご報告いただけますと幸いです。
お助けユーティリティ機能︓ 集約(stats)
お助けユーティリティ機能︓ 既に回答済の除外 • すでに回答して正解した⾏番号を[1,2,3]のようにリストで渡しておくと、再度チェッ クボックスを選択しなくてもよくなります。 • このリストを修正する場合は修正前にF5ページリロードをしてください。 • またブラウザーの「戻る」で戻ってきた場合は、再度「回答済み、表⽰除外」をクリッ クしてください。
お助けユーティリティ機能︓⽂字列検索と選択件数の表⽰ ☞ Search窓にて⽂字列検索 ができます。ヒットした⾏ のみにフィルターされます。 ☞ 選択すると⻩⾊にハイラ イトされます。またSubmit ボタンの横に現在の選択件 数が表⽰されます。
「Submit」ボタンを押すと正答率に応じて画像が表⽰されます︕ 100%🎉⽬指して頑張ってください︕ 末尾にヒントあり︕ 出典: (Bing AI) がんばってくださいと応援するかわいい猫のイラスト 講師が開発し た即興AIは 4秒で
正答率90%🎉 にゃん AIに勝てるか、勝負 👊︕
脅威検出ハンズオン 解説スライドございません 後ほど分科会Slack上でのみ解答を公開します。
アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する(背景 → ⽬的 → ⼿段)
• スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ」
ディスカッションテーマ ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿײ 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackチャットに書き込む形で交流してみましょう。
例︓正答率 何パーセントまでできた など このイベント(⾏番号)の攻撃は〇〇ですよねー。など
次回のSR分科会は「2024年10⽉19⽇(⼟)」 SR分科会へのご参加ありがとうございました。 次回の詳細情報は、Slackで別途ご連絡します。 次回は、LT⼤会です。SR分科会を初めて1年経ちまして、 私も何か調べて話してみたいという⽅、セキュリティをテーマに⾃由に アウトプットしましょう︕ 現地会場は「名古屋市市⺠活動推進センター集会室@栄駅」で Zoomとのハイブリッド開催です
None