ハッカーの攻撃手法、技術、戦術(TTP)は日々進化しており、企業のセキュリティチームは、最新の脅威を特定し、検知を回避しようとする攻撃を追跡するための、より進化したサイバーセキュリティ・プラットフォームを求めています。
しかし、新たな脅威に迅速かつ効果的に対応するには、多くのEDR(エンドポイント検知・対応)で採用されているルールベースの脅威検知技術だけでは不十分です。
多くの既知の脅威アラートに紛れ、最新の脅威が静かに侵入してくる中、どうすれば迅速かつ効果的に識別できるのか?
一般的なEDRは、既知の侵害指標(IoC)に基づいて脅威を検知します。IoCには、マルウェアの種類、中継サーバーのIPアドレス、悪意あるソフトウェアの署名、その他の技術的な情報など、攻撃に関するデータが含まれており、セキュリティチームが攻撃の有無を判断するために役立ちます。また、YARAルールを用いてファイルやメモリの特徴に基づくルールを作成し、マルウェアを追跡することも可能です。
しかし、セキュリティ担当者にとって、EDRによって毎日数千件もの異常な挙動のアラートを受け取る中で、高リスクなインシデントを効果的に見極めることは大きな課題です。さらに、最新の攻撃手法を検知するためには、IoCを頻繁に更新し、ゼロデイ攻撃に備える必要があり、脅威の判別と分析に日々追われているセキュリティ担当者にとって、大きな負担となっています。
Sigmaルールを活用した検知・分析で、最新の脅威を完全に可視化
YARAルールがIoCを利用してマルウェアの識別や分類を支援するのと同様に、Sigmaルールはセキュリティ担当者が指定した標準に基づいて、ログ内の一般的な脅威を照合し、インシデント検知能力を強化します。
Sigmaルールの最大の利点は、その標準化されたフォーマットにあります。これにより、各SIEM(Security Information and Event Management)プラットフォームが独自の形式や言語を用いているという壁を打ち破り、一度作成したルールを共通フォーマットで共有し、さまざまなSIEMソリューションに適用できるため、ルールの再作成が不要になり、検知の効率が向上し、セキュリティ担当者の負担が軽減されます。
また、Sigmaルールはオープンソースであるため、セキュリティの専門家がGitHubなどの共有プラットフォームを通じてSigmaルールの共有や改善を行うことができます。
このような公開型の環境は、知識やノウハウの共有・交流を促進し、初心者からエキスパートまでが経験を持ち寄って学び合うことを可能にします。結果として、サイバーセキュリティにおけるスキルギャップを縮め、慢性的な人材不足や専門スキル向上の必要性に悩む企業の課題解決にも貢献します。
ThreatSonar Signal Pattern:脅威の「シグナル」を即キャッチ
Sigmaルールとの互換性を備えたThreatSonar Signal Patternは、TeamT5が長年にわたって蓄積してきたハッカーの攻撃行動分析および最新の脅威手法をもとに開発されています。このパターンは、行動ベースのルールにより、エンドポイント上の不審なプログラム挙動をリアルタイムで検知することが可能です。
ThreatSonar Signal Patternは、TeamT5のインシデント対応専門家およびアナリストによって作成されたルールで構成されており、新たに明らかになった脅威にも迅速に対応できます。また、オープンソースのSigmaルールとも互換性があります。
TeamT5独自開発のSignalエンジンは、エンドポイントのシステム挙動をリアルタイムに収集し、新しいスキャンメカニズムを通じて脅威を検知します。これにより、TeamT5の最新インシデント対応の知見と脅威インテリジェンスをThreatSonarの検知エンジンに統合し、新たな攻撃手法や脅威に迅速に対応することが可能になります。
Signal Patternとは?
「Signal」(Sigma-based Threat Analytics Local-side Monitoring)は、ThreatSonarにおける「Sonar(ソナー)」の意味と呼応しています。ソナーで敵の動きを探知するように、Signalはエンドポイント上で発生する不審なシグナルを検出・追跡します。たとえそのシグナルが微弱で一見重要でないように見えても、複数の疑わしい兆候を関連付けることで、ハッカーの悪意ある行動をいち早く特定することが可能です。
ThreatSonar Signal Patternによって高リスクな脅威と判定された場合、即座にアラートを発信し、ユーザーは可視化されたインターフェース上で迅速に対応・対処できるので、さらなる攻撃の進行を未然に防ぐことが可能です。
Signal Pattern による主な効果:
- リアルタイム防御:TeamT5の専門チームが迅速にルールを追加し、最新の脅威やゼロデイ攻撃にも効果的に対応。
- ローカルスキャン対応:ネットワーク環境に依存せず、オフラインでも迅速なインシデント対応が可能。
- ビジュアル化された表示:ルールに一致した場合、ユーザーはIncident Reportページで攻撃の軌跡を視覚的に把握可能。
まとめると、TeamT5 が把握している最新の脅威インテリジェンス、重大な脆弱性、および最近の国際的なサイバー攻撃事例に基づき、ThreatSonar Signal Pattern は迅速に更新されます。これにより、企業や組織は自社の業界で頻発する特定の攻撃手法にいち早く備えることができ、サイバー攻撃によるリスクを大幅に低減することが可能となります。
TeamT5は、アジア太平洋地域のサイバー攻撃者を最も深く理解している地理的・文化的な優位性を活かした、トップクラスのサイバー脅威アナリストで構成されています。また、主要なサイバーセキュリティカンファレンスで頻繁にインサイトを共有しており、その脅威インテリジェンスの研究とソリューションは、Frost & Sullivanより「2023~2024年 台湾脅威インテリジェンス分野 最優秀企業賞」を受賞しています。インテリジェンス主導のサイバーセキュリティソリューションについて詳しく知りたい方は、以下よりお問い合わせください。 https://teamt5.org/jp/contact-us/
(cover source:pexels)