btzgrp
  • インテルとネグロポンテのエゴチェックの時が来た - TechRepublic
Headlines

CrowdStrikeのセキュリティソフトウェアはマルウェアではなく、犯罪者をターゲットにする - TechRepublic

05 mins
CrowdStrikeのセキュリティソフトウェアはマルウェアではなく、犯罪者をターゲットにする - TechRepublic

デジタルであろうとなかろうと、ステルス性は犯罪を成功させる鍵となるキーワードです。Verizonの2015年データ漏洩調査報告書によると、ネットワークへの侵入において最もステルス性の高い方法は、認証済みユーザーの認証情報を盗むか、あるいは作成することです。つまり、事実上、権限のある内部関係者になることです。CrowdStrikeのホワイトペーパー(PDF)の著者もこの点に同意しています。

「内部者の検知は、サイバーセキュリティにおいて常に最も解決が難しい問題の一つです。なぜなら、攻撃者は定義上、ネットワーク内に潜入し、概ね正当かつ想定通りの行動をとる人物のように見えるからです。したがって、攻撃者がこの行動を模倣できれば、ステルスという目的を達成できるのです。」

ステルスという言葉は、常に創造的な犯罪者にとって依然として重要な意味を持ちます。Verizon のレポートと CrowdStrike のホワイト ペーパーによると、犯罪者は認証されたユーザーの認証情報を取得するために、もはやマルウェアを使用して被害者のネットワーク境界に侵入することはなくなりました。

「マルウェアは、たとえアンチウイルスソフトにとって未知のものであっても、依然として非常に目立ちます」とCrowdStrikeの論文は説明しています。「環境内で未知でこれまで見たことのないバイナリが動作していること、システムのファイルやレジストリに変更を加えていること、そしてネットワークへの呼び出しなど、これらはすべて観察可能であり、プロアクティブなSOC(セキュリティオペレーションセンター)のアナリストやインシデント対応担当者が最終的に疑念を抱くきっかけとなります。」

マルウェアフリーの攻撃の例

CrowdStrike のホワイト ペーパーの著者は、「一般的な正規の Windows 管理ツールである WMI または Powershell スクリプトを利用するだけで、マルウェアを使用せずにデータの盗難を実行できます」と述べています。

この論文では、あるタイプのマルウェアフリー攻撃がどのように展開されるかを著者らが説明しています。

  • Web サーバーの侵害: 侵入は、外部に公開されている Web サーバー (多くの場合、SQL インジェクションまたは WebDAV エクスプロイトを使用した Windows IIS サーバー) の侵害から始まります。
  • Web シェルがインストールされる: 次に、攻撃者はサーバーに Web シェルをインストールします。最も一般的な選択肢は China Chopper です。
  • Windows 資格情報の盗難: 攻撃者は Web シェルを使用して資格情報盗難ツールをアップロードし、Windows のパスワードとハッシュを盗みます。
  • 横方向の移動: 資格情報を取得すると、攻撃者は WMI コマンドまたは RDP セッションを使用してネットワークを偵察します。
  • スティッキーキートリック: 悪意のある人物はこの方法を使用して、被害者のネットワーク上でマルウェアのない永続性を取得し、維持します。
  • データの流出: 関心のあるデータが見つかると、通常はデータ損失防止アプリケーションを回避するために暗号化され、標準の FTP コマンドを使用して攻撃者のコマンド アンド コントロール サーバーに送信されます。

CrowdStrikeとは何ですか?

CrowdStrikeは2011年に設立され、エンドポイント保護、脅威インテリジェンス、インシデント事前・事後対応サービスを提供する企業です。同社の主力サービスであるCrowdStrike as a Serviceは、サブスクリプション型のSaaS(Software as a Service)プラットフォームであり、「ネットワークから悪意ある人物を排除する」という同社のミッションを実現するために設計されています。

CrowdStrike as a Service の 2 つの主要コンポーネントは次のとおりです。

  • Falcon Host:すべてのエンドポイントに、検知と予防措置を講じるのに十分なインテリジェンスを備えた小型(10MB)センサーが搭載されています。センサーは関連データをCrowdStrikeのAdvanced Threat Intelligence Cloudに送信し、センサーネットワーク全体で共通するイベントを具体的に探している担当者が分析を行います。
  • CrowdStrike セキュリティ オペレーション センター(CSOC): CrowdStrike の侵入対応エキスパートで構成され、24 時間 365 日、敵対者や攻撃を積極的に追跡し、クライアントのネットワークですべての攻撃が検出されるようにします。

よくあることですが、仕組みに関する詳細は比較的不明です。しかし、ビジネスは好調なので、何か良いことが起こっているに違いありません。

投資家は感銘を受けている

成功企業の優秀な人材がCrowdStrikeに投資しています。Google Capitalは1億ドルを投資しました。また、別の投資家であるRackspaceも顧客です。「検知の分野では、世界クラスのホストベースの検知が必要です。カーネルレベルで動作し、最も高度な攻撃も検知できるものです」と、RackspaceのCSOであるブライアン・ケリー氏は述べています。「まさにCrowdStrikeが真価を発揮する分野です。」

マルウェアではなく、悪意のある行為者を狙う

CTO のドミトリ・アルペロビッチ氏とともに CrowdStrike を設立した社長兼 CEO のジョージ・カーツ氏は、同社の目標を次のように要約しています。

「私たちは人間の知性を打ち破るためのソフトウェアを開発しています。彼ら(攻撃者)は、地球上のあらゆる大企業に侵入するために、その狡猾さとスキルを駆使しています。私たちは、彼らが打ち破ろうとしていることを承知の上で、その技術を開発しなければなりません。最終的には、彼らの先を行く必要があるのです。」

Tagged:

Related News