Copyright © NTT Communications Corporation. All rights reserved.

2018年10月5日

NTTセキュリティ・ジャパン株式会社

柴田 龍平, CISSP

ネットワークとエンドポイント両面から見るサイバー攻撃 ～高機能エンドポイントセキュリティ（EDR）は必要か～

Copyright © NTT Communications Corporation. All rights reserved.

“今どき” のサイバー攻撃に対する EDRの有効性と SOCを使う利点をご紹介します

Copyright © NTT Communications Corporation. All rights reserved.

今どきのサイバー攻撃

ファイルレス マルウェア

攻撃のHTTPS化

執拗な標的型攻撃

Copyright © NTT Communications Corporation. All rights reserved.

今やアンチウイルスの検知率はとても低い

4

4種のアンチウイルスの いずれかで検知

4種とも検知せず

86%

14%

Copyright © NTT Communications Corporation. All rights reserved.

Sand box

Proxy +SIEM

IPS

攻撃フェーズの一例とネットワーク監視

1. 悪性スクリプト(圧縮)付きメールの受信

2. 添付ファイルのデスクトップへの展開

3. 悪性スクリプトの実行

4. マルウェアダウンロード

5. マルウェアのインストール

6. 潜伏

7. 感染後活動

Copyright © NTT Communications Corporation. All rights reserved.

Sand box

Proxy +SIEM

IPS

攻撃フェーズの一例とネットワーク監視

1. 悪性スクリプト(圧縮)付きメールの受信

2. 添付ファイルのデスクトップへの展開

3. 悪性スクリプトの実行

4. マルウェアダウンロード

5. マルウェアのインストール

6. 潜伏

7. 感染後活動

ネットワークでは そもそも見えない

痕跡も多い

Copyright © NTT Communications Corporation. All rights reserved.

Sand box

Proxy +SIEM

IPS

攻撃フェーズの一例とネットワーク監視

1. 悪性スクリプト(圧縮)付きメールの受信

2. 添付ファイルのデスクトップへの展開

3. 悪性スクリプトの実行

4. マルウェアダウンロード

5. マルウェアのインストール

6. 潜伏

7. 感染後活動

通信の暗号化により 検知できないことも

Copyright © NTT Communications Corporation. All rights reserved.

ネットワーク監視とEDRの違い

ファイルレス

暗号化通信

Mobile

端末上の脅威をネットワーク上で 間接的に捉えていることによる限界

Copyright © NTT Communications Corporation. All rights reserved.

ネットワーク監視とEDRの違い

ファイルレス

暗号化通信 Mobile

ネットワーク上ではなく端末の挙動から 直接脅威を見つけ出す

Copyright © NTT Communications Corporation. All rights reserved.

EDRを効果的に運用するために やらなきゃいけない3つのポイント

Copyright © NTT Communications Corporation. All rights reserved.

隠れた脅威の発見

11

様々なIOCを活用して 攻撃者の残す痕跡をより確実に捉える

マルウェア そのものを検知

EDR

他のプロセスへの攻撃挙動を検知

通常の利用では発生しないファイルの作成など不審な動作を検知

Copyright © NTT Communications Corporation. All rights reserved.

網羅的な調査

12

脅威の全体像を明らかにすることで 「対処したつもり」を防ぐ

感染PC

攻撃者サーバ

① ②

③

① メール添付の 悪性スクリプトを実行

② 攻撃者サーバから マルウェアをダウンロード

③ 他のホストへの横展開

Copyright © NTT Communications Corporation. All rights reserved.

即時の封じ込め

13

被害範囲を最小限にするために 感染した端末は即時封じ込める

感染PC

攻撃者サーバ EDRの機能により リモートから端末を封じ込め

Copyright © NTT Communications Corporation. All rights reserved.

WideAngleにおけるSOCでの取組

Copyright © NTT Communications Corporation. All rights reserved. 15

WideAngle Managed Security Services

Copyright © NTT Communications Corporation. All rights reserved.

リアルタイム分析の全体像と仕組み

16

アナリストが独自の分析システムを活用し 高精度な脅威通知を実現

ログ お客様

カスタムシグネチャ・IOC

チューニング

ブラックリスト

ロジック

アナリスト

外部 情報

セキュリティ 機器

SIEM

Copyright © NTT Communications Corporation. All rights reserved.

US

分析と一体化したリサーチ体制

アナリストが交代で脅威をリサーチ さらに、各国のアナリストとも連携

日本

海外

情報交換

Sweden Norway

リアルタイム分析 バックヤード業務 （分析支援 + リサーチなど）

・・・

日ごとに交代

Copyright © NTT Communications Corporation. All rights reserved.

(再掲)EDRを効果的に運用するために必要な3つのポイント

18

• 隠れた脅威の発見

• 網羅的な調査

• 即時の封じ込め

Copyright © NTT Communications Corporation. All rights reserved.

例）EDR-NCS_Suspicious_Wscript_Exec

SOCアナリスト EDR Manager

カスタムIOCの配信

独自リサーチに基づくカスタムIOCにより ComのEDRでしか見えない脅威を29.6%発見

C:¥Windows¥System32¥wscript.exe "C:¥ProgramData¥******¥calc.txt" "diekd9ikeu8dlediee93j"

カスタムIOCを用いた端末側でのアノマリ検知

Copyright © NTT Communications Corporation. All rights reserved.

高度な相関分析に基づくレポーティング

EDRのログと NWなどの周辺ログ との突合により 攻撃の全体像を調査 攻撃の全体像と 具体的な推奨対策を 報告

Copyright © NTT Communications Corporation. All rights reserved.

24時間365日SOCからリモートでの隔離

感染PC

IDS

EDR

① ②

SOCアナリスト

④

⑤b

お客様

③

① マルウェアの感染後通信をIDSで検知

② アナリストによる調査

③ マルウェア感染を報告

④ SOCから隔離代行処理を実行

⑤ a: ネットワークで遮断 b: 端末隔離

お客様へのインシデント報告と連動して SOCからの迅速な隔離を実施

感染後通信

⑤a

Copyright © NTT Communications Corporation. All rights reserved.

まとめ

Copyright © NTT Communications Corporation. All rights reserved.

• 隠れた脅威の発見 カスタムIOCを用いた端末側でのアノマリ検知

• 網羅的な調査 高度な相関分析（EDR＋NW等）に基づく

レポーティング

• 即時の封じ込め 24時間365日SOCからリモートでの隔離

Copyright © NTT Communications Corporation. All rights reserved.

本セミナーでご紹介しましたのは 「総合リスクマネジメントサービス WideAngle」です。 ぜひ展示エリアまでお越しください。

印の場所に展示しています。

ご清聴ありがとうございました。