組織内で攻撃者から守るべきあらゆるものについて考えてみると、影響を受ける可能性のあるサーバー、PC、ファイルストア、ユーザーなどのリストを簡単に思いつくでしょう。しかし、攻撃者はそれらをすべて接続されたリソースのグラフとして捉えています。そのうちの1つに侵入すると、インフラストラクチャの他の部分にも侵入が広がります。攻撃者は、自動化ツールキット、スクリプト、クラウドリソースなどを使って、接続されたツール間を移動するケースが増えています。
今では、セキュリティ チームも同じことができるようになりました。Microsoft 365 Defender は、攻撃がシステムに及ぼす影響を把握し、それに基づいて自動的にリアルタイムでシステムをシャットダウンします。
ジャンプ先:
- ディフェンダーは自動的に攻撃を阻止する
- 攻撃の洪水は文脈的な防御力の低下を意味する
- すべてのエンドポイントの防御:管理されていないエンドポイントも含む
- 誤検知を避ける
- より多くのデバイスを防御
ディフェンダーは自動的に攻撃を阻止する
Microsoft 365 Defender は、セキュリティ管理者に介入を委ねるのではなく、検知した攻撃を自動的に阻止しようとします。AI を活用してシグナルを検知し、既に影響を受けている資産を隔離することで、攻撃の進行中に攻撃を封じ込めることを目指します。
それは、攻撃者にアカウントが使用されている侵害を受けたユーザーを停止したり、アクセスを制限するためにパスワードをリセットしたり、電子メール内の URL をブロックしたり、メッセージを削除して添付ファイルを隔離したり、感染したデバイスを自動的に隔離したり、完全にオフボードしたりすることを意味します。
疑わしいデバイスを隔離すると、Defender サービスへの接続を除くすべての接続が切断されます。これにより、後で自動クリーンアップにその接続を使用したり、誤検知であることが判明した場合にデバイスを再接続したりできるようになります (図 A )。
攻撃の洪水は文脈的な防御の低下を意味する
従業員がフィッシングリンクをクリックさせられてから、攻撃者が受信トレイに完全にアクセスできるようになるまで、わずか2時間しかかかりません。そこから攻撃者は転送ルールを設定し、正当な従業員から送信されたように見せかけた金銭や機密情報を要求するメールを送信します。
その後、攻撃者は他の社内システムへの攻撃へと移ります。ランサムウェアのオペレーターが数百台のデバイスを暗号化するのにかかる時間はわずか数分です。
防御側が大量のアラートに手動で対応していては、到底追いつくことはできません。ほとんどの組織は、侵害に気付くのがずっと後になってからです。たとえセキュリティツールから不審な行動に関するアラートを受け取ったとしても、多くのセキュリティツールがサイロ化されていることを考えると、すべての攻撃を検知し、すべての脆弱な部分をブロックできたと確信できるでしょうか?
「多くの場合、私たちは攻撃者とモグラ叩きをしているようなものです」と、Microsoft 365 Defender担当バイスプレジデントのラビブ・タミールは述べています。「エンドポイントに座っていて、何か怪しいものを見つけたら、ハンマーで叩いて阻止しようとします。そして、実際に阻止できたとして、別のエンドポイントで何か怪しいものを見つけたら、それを叩きます。すると、また別の何かが見つかります。これらすべてを阻止できたとしても、攻撃を阻止できたと言えるでしょうか?答えは分かりません。なぜなら、私たちはブロックレベルで遊んでいるのに、相手はレゴセット一式を持っているからです。」
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
DefenderはXDR機能を超える
拡張検知・対応の背後にある考え方は、複数のセキュリティツールやその他の情報源を単に情報共有するだけでなく、どの情報源が信頼できるのかを判断できるようにすることです。ノートパソコンを保護しているマルウェア対策ソフトウェアは、デバイスが侵害されたことを検知する可能性があります。これは、IDサービスがそのノートパソコンのアカウントに問題がないと報告するよりも重要な意味を持つはずです。
「セキュリティツールは、単に互いにチャットするのではなく、全員が参照できる信頼できる情報源を持つ必要がある」とタミールは言う。
Defender には現在、デバイス、ID、ファイル、URL の状態に関する信頼できる中央ソースがあり、機械学習モデルはこれを使用して、アラートと疑わしいイベントを、攻撃が発生したときにそれに対応するインシデントに関連付けることができます。
「さて、いよいよ本当に難しい質問をしてみよう。どこから来たんだ?」とタミールは尋ねた。「根本的な原因は何だったんだ?設定ミスか?脆弱性か?ユーザーがソーシャルエンジニアリングで何かを仕組まれたのか?我々はそれを阻止できたのか?介入できたのか?もっと重要なのは、私がそれを阻止できたのか?それとも介入後も事態は悪化し、モグラ叩きを続けているだけなのか?ここがゲームの本当に面白いところだ。なぜなら、今や我々は攻撃者と同じレベルで戦っているからだ。」
Defender の機能を使用すると、さまざまなリソースに対する攻撃の個々の結果だけでなく、攻撃自体を理解して対処することができます。
すべてのエンドポイントの防御:管理されていないエンドポイントも含む
すべてのデバイスが Defender によって直接管理されるわけではないため、デバイスが侵害された場合に Defender が直接デバイスをロックダウンできるとは限りません。
「もちろん、センサーがオンになっているエンドポイントはすべて制御できます」とタミールは言います。「Microsoft Defender for Endpoint を導入していれば、制御できます。では、導入していないエンドポイントはどうでしょうか? BYOD デバイスや企業の IoT デバイスかもしれません。あるいは、オンボードされずにネットワーク上に放置されているデバイスかもしれません。攻撃者が狙うのは明らかです。」
Defender はまた、リバース アイソレーションと呼ばれる手法を使用して、侵害されたデバイスを封じ込めようとします。
「ファイアウォールには隔離機能があります」とタミール氏は述べた。「基本的に、すべてのデバイスに特定のデバイスとの通信を禁止する指示を出しています。つまり、そのデバイスを信頼できないということです。そのデバイスからのリクエストは一切受け付けず、そのリクエストに一切応答しないでください。ネットワークから遮断してください。」
Defender は攻撃を阻止するだけでなく、Microsoft が「自己修復」と呼ぶ機能によって、あらゆる損害を元に戻そうとします。
「もし介入して攻撃を阻止できたとしたら、起こった悪いことを元に戻せるでしょうか?」とタミールは問いかけた。「マシンが侵害されたと思ったら、正常な状態に戻すことはできるでしょうか? 悪意のあるファイルやレジストリの変更など、潜在的に悪影響のあるアーティファクトのうち、どれだけ元に戻せるでしょうか?」
ビジネスメール詐欺攻撃では、攻撃者がユーザーに代わって返信し、送金を要求できるメール転送ルールを作成することがよくあります。
誤検知を避ける
自動化は強力なツールですが、使い方を間違えると実際の攻撃と同じくらい混乱を招く可能性があるため、Microsoft はこれを慎重に展開しています。
「ランサムウェアを実行する場所には注意が必要です。なぜなら、ランサムウェアによるデバイス暗号化を阻止し、人間が操作するランサムウェアを阻止できれば、それは素晴らしいことだからです」とタミールは指摘する。「もし私の考えが正しく、ランサムウェアを阻止できれば、その企業に多額の損害を与えずに済んだので、皆が拍手喝采するでしょう。しかし、もし私が間違って、ランサムウェアだと思ってこれらのマシンを隔離したのに、実際にはそうでなかったとしたら、業務に大きな混乱を招いてしまうことになります。」
まさにこの理由から、主要システムはDefenderの自動妨害の対象外となっています。そのため、自動攻撃妨害は現在、Microsoftが最も阻止すべき重要なシナリオと見なしている以下の2つのシナリオでのみ機能します。
- ビジネスメール詐欺キャンペーン。
- 人間が操作するランサムウェア攻撃。
どちらの攻撃も、広範囲のリソースと個人に影響を与えるため、甚大な被害をもたらします。エンドツーエンドの視点が求められますが、組織全体に混乱をもたらす可能性があります。
より多くのデバイスを防御
妨害は Microsoft 365 Defender が十分な信号を受信するかどうかに依存するため、複数の Defender 製品を使用するとより効果的になります。
「センサーが増えれば増えるほど、何が起こっているかをより正確に把握できるようになります」とタミールは語った。「製品が増えれば増えるほど、より強力なハンマーを持つことができます。私たちの製品をより多く導入すれば、可視性が高まり、物事を叩くためのツールが増え、私たちの破壊力はより強力になります。」
Defender for Endpoint を実行している Linux デバイスでネットワーク分離が利用可能になりましたが、完全なデバイス制御は実現できません。この機能は現在パブリックプレビュー段階であるため、今後開発が進む予定です。
「Linuxの隔離は、私にとってもう一つの強力な武器です」とタミールは言った。「もし攻撃がLinuxデバイスを経由したとしても、私はそれに影響を与える手段を持っているのです。」
長期的には、複数のオペレーティング システム間での同等性を実現したいと考えています。
「自動化によってあらゆる場所で攻撃を阻止できるよう、すべてに同じツールセットを導入したい」と彼は続けた。
タミールは、Defenderが攻撃から自動的に防御できる範囲を、セキュリティシステムとして一般的に考えられる範囲を超えて拡張したいと考えています。これには、Windowsカーネルチームと協力してデバイスログよりも多くの情報を取得することや、Azure ADチームと協力してデバイスアクセスを自動管理することが含まれます。
「エンドポイントだけでなく、エンドポイントファイアウォールも制御したいのです」とタミール氏は言います。「IDシステムも制御したい。条件付きアクセスを直接制御したい。Azure ADはまさにそれを可能にしてくれます。顧客がAzure ADを導入していない場合でも、Active Directoryで同じ機能を実現したいと考えています。基本的にあらゆるエンティティを制御したいと考えています。そして私の夢は、いつかSIEMソリューションであるSentinelを使って、Microsoft製品以外の製品にも拡張することです。」
Tamir 氏は、根本的な問題の 1 つである、デバイスとサービスを手動で正しく構成することがいかに複雑で時間のかかる問題であるかという問題にも取り組みたいと考えています。
「設定は徹底的に見直す必要がある」と彼は言った。「全てが手動で行われているのはひどい。こんな状況はもう終わりにすべきだ。そして、私は改善に取り組んでいる。」
TechRepublic Academyの以下のリソースを活用して、セキュリティ専門家への第一歩を踏み出しましょう:
完全な情報セキュリティ認定バンドル
2022年版プレミアムCompTIAサイバーセキュリティ&セキュリティ+試験準備バンドル
高度なサイバーセキュリティキャリア向上バンドル
A to Zサイバーセキュリティ&IT認定トレーニングバンドル