企業間とアプリ間の SASE 役割 サイバー脅威ハンティング

脅威ハンティングとは何ですか?

脅威ハンティングは、既存のセキュリティ ソリューションを回避する脅威を検出するためのプロアクティブな防御アプローチです。

なぜ脅威ハンティングを行うのか?

ファイアウォール、IDS/IPS、SWG、ZTNA、 CASB 耳鼻咽喉科の保護に役立つ機能erp既知の脅威から資産を回復します。 セキュリティ ベンダーは、既知の脅威に対する保護を開発し、さまざまな保護フィードでセキュリティ サービスを定期的に更新することで、それらの保護を展開します。 保護には、ユーザーの悪質なサイトへのアクセスの阻止、シグネチャによるエクスプロイトの阻止、C&C をホストすることが知られているドメインや評判の悪い IP アドレスとの接続の阻止などが含まれます。 ほぼすべてのセキュリティ機能も、セキュリティを停止することで資産を保護します。wanted フローは ACL (アクセス制御リスト) を介して行われます。

国家の後援や金銭的利益により、脅威アクターの巧妙化は年々著しく増加しています。 エントerp未知の脅威にさらされたサーバーは、被害を抑えるために侵害を検出する方法を備えている必要があります。 によると 2022年Mトレンドレポート、平均滞留時間 (滞留時間とは、攻撃者が検出されずに被害環境に存在する日数) は、21 年で 2021 日です。一部の地理的地域では、平均は最大 40 日です。 最も懸念されるのは、47% の確率で被害者が外部通知を通じて脅威を知ることになるということです。 被害者は、攻撃者からの強要、機密情報の公開、および顧客からの数回の行為によって侵害を知ります。 耳鼻咽喉科にとって重要ですerpは、被害を軽減し、より早く修復措置を講じるために、脅威の存在を積極的かつ内部的に検出するために立ち上がります。 環境内に存在する脅威を検出するこのプロセスは「脅威ハンティング」です。

スレットハンター手法とは何ですか?

脅威ハンティングはセキュリティ アナリストによって行われます。 脅威ハンティングの実践は以前から存在していましたが、理論的には新しいものではありません。 ハンターは、異常を探し、仮説を立て、より詳細な分析を実行して侵害の兆候を特定する傾向があります。 近年本当に変わったのは、異なる昆虫のハンター間の協力が増えたことです。erp戦術、技術、手順 (TTP) の共有や、オープンソースおよび商用の脅威インテリジェンス フィードへのアクセスなどが増加しています。 この豊富な情報は、ハンターがより効率的に狩猟を行うのに役立ちます。

脅威インテリジェンスは貴重ですが、ハンターにとって膨大な量のデータを選別するのは膨大な場合があります。 ハンターにとって、資産、ソフトウェア、ハードウェア システムに基づいてフィルタリングして、最も関連性の高いレポートを取得することが重要です。 cloud 耳鼻咽喉科が提供するサービスerpライズの用途。 フィルタリングが完了すると、脅威ハンターは TTP を使用して環境内のパターンを特定できます。

脅威ハンターは、次のような方法を組み合わせて情報を収集します。

• 分析主導: ネットワーク トラフィック、プロトコル トラフィック、ユーザー開始トラフィック、アプリケーション トラフィック、ユーザー ログイン動作、ユーザー アクセス動作、エンドポイント、およびアプリケーション動作で観察された異常は、探索を開始するための良い指標となる可能性があります。
• インテリジェンス主導: IP/ドメイン/ファイル/などの脅威インテリジェンス フィードURL オープンソースおよび営利団体からの評判は、ハンターが環境内でこれらの指標を検索し、観察された場合に狩猟を開始するのに役立ちます。
• 状況認識主導型: 定期的な ENT からの出力erpリスク評価を高め、 王冠の宝石の分析 アセットに関する情報は、ハンターが仮説を立てて狩猟を開始するのに役立ちます。

脅威ハンターは、上記の方法を組み合わせて使用​​して、開始するハントを絞り込みます。 ハンティング プロセスの一環として、アナリストは可観測性システムを利用してより詳細な分析を実施し、侵害を特定します。 脅威が見つかった場合、成功したハンターは他のハンターを支援するために TTP を公開できます。

の役割は何ですか SASE 脅威ハンティングでは？

侵害の痕跡 (IoC) は、マリを特定および検出するために使用できる手がかりです。cioネットワークまたはエンドポイント上のアクティビティ。 これらは、潜在的なセキュリティ インシデントに関する仮説を作成し、調査に焦点を当てるために、脅威ハンターによってよく使用されます。 IoC には、IP アドレス、ドメイン名、 URL既知のマリに関連付けられたファイル、電子メール アドレスcio私たちアクターや既知のマルウェア。 トラフィック、ユーザーの行動、サービスの行動などのさまざまな異常も、ハンターが潜在的なセキュリティ インシデントに関する仮説を立てるための懸念事項の良い指標となります。

詳細な分析は脅威ハンティングの次のステップであり、攻撃の範囲、影響、原因など、潜在的なインシデントに関する詳細情報を収集するために使用されます。 このタイプの分析では、多くの場合、さまざまなツールやテクニックを活用して、ネットワーク トラフィック、システム ログ、エンドポイント データなどのさまざまなソースからデータを抽出して分析します。

SASE これらのソリューションは、脅威ハンティングの特定段階と調査段階の両方で脅威ハンターを支援することが期待されています。 そして、将来的にはより包括的な可観測性が得られると期待されています SASE 行動分析、リアルタイム監視、アラートなどの機能を備えたソリューション。

侵害の指標と懸念の指標による特定

以下に、異常および脅威となる IoC の一部を示します。 SASE ソリューション 脅威ハンターが狩りを開始するのに役立ちます。

その方法のいくつかの例 SASE/SDWAN トラフィックの異常を見つけるのに役立つ情報を以下に示します。

• 以前に観察されたトラフィック パターンと比較した異常なトラフィック パターン。 以下のトラフィック量と接続数の異常が含まれる可能性があります。
  • 耳鼻咽喉科erpサイト間のトラフィックが増加する
  • サイトとインターネット間のトラフィック
  • アプリケーションとの間のトラフィック
  • さまざまなプロトコルのトラフィック
  • ユーザーとの間のトラフィック
  • セグメント間のトラフィック
  • 上記の組み合わせ – サイト + アプリケーション + ユーザー + プロトコル + セグメント。

SASE ネットワーク セキュリティを備えたソリューションは、さまざまな種類の異常やエクスプロイトの発見に役立ちます。

• 耳鼻咽喉科の異常erp以前のパターンまたはベースライン パターンからのアプリケーション アクセスが増加します。
  • これまで知られていなかった地理的場所から内部アプリケーションへのアクセス
  • めったにアクセスしないユーザーによる内部アプリケーションへのアクセス
  • ユーザーからの社内アプリケーションへの異常な時間のアクセス
  • これまで知られていなかった地理的場所の特権ユーザー、めったに管理しないユーザーからの、さまざまな重要なアプリケーション リソース (管理リソースなど) への奇数回のアクセス
  • ユーザーからのアプリケーションおよびリソースへのアクセスが拒否されました。
• インターネットの異常と、 SaaS 以前のパターンまたは上記のアクセス異常のようなベースライン パターンからのアクセス。
  • さまざまなアクセス URL ユーザーごとのカテゴリー
  • ユーザーが以前にアクセスしたことのないインターネット サイトへのアクセス
  • ユーザーごとの帯域幅使用量と HTTP トランザクション異常の数
  • ユーザーによる営業時間外のサイトへのアクセス。
  • インターネット サイト/カテゴリへのアクセスの拒否
  • さまざまな機能へのアクセス SaaS ユーザーごとにサービスを提供します。
• さまざまな種類のエクスプロイト: M-Trends レポートによると、攻撃者が使用する「初期感染ベクトル」はソフトウェアと構成の脆弱性を悪用しています。 多くの脅威アクターは、まずソフトウェアの脆弱性を悪用して、さまざまな種類のマルウェアをインストールします。 Metasploit、BEACON などの一般的なエクスプロイト フレームワークには、複数の既知のエクスプロイト スクリプトがバンドルされています。 これらのフレームワークは、脅威アクターの間で人気があるようです。 トラフィック内で観察されたエクスプロイトは、何か悪いことが起こることを示す良い指標となる可能性があります。
• プロトコルの異常: 異常なプロトコル データは、プロトコル仕様の観点からは正当であっても、懸念を示す良い兆候となる可能性があります。  DNS および HTTP プロトコルの異常の例を以下に示します。
  • の場合 DNS
    • クエリされたドメインに多くのサブドメインが表示されるのは正常ではありません。
    • 非常に長いドメインが表示されるのは通常ではありません
    • ドメイン名に大文字と小文字が混在することは通常ではありません。
    • 英数字以外の文字が表示されるのは正常ではありません。
    • A、AAAA、PTR 以外のクエリが表示されるのは正常ではありません。
  • HTTPの場合:
    • 非常に長い URI や多数のクエリ パラメーターが表示されることは通常ではありません。
    • 一般的には使用されない URI エンコーディング。
    • 多くのリクエスト ヘッダーとレスポンス ヘッダーが表示されるのは通常ではありません。
    • URI クエリ パラメーター、リクエスト ヘッダー、およびリクエスト本文に SQL ステートメント、シェル コマンド、およびスクリプトが表示されるのは通常ではありません。
    • ホスト リクエスト ヘッダーのない HTTP トランザクションが表示されるのは通常ではありません。
    • URI やヘッダーに CRLF 文字が含まれるのは通常ではありません。
    • 同じ名前の複数のパラメータが表示されるのは正常ではありません。
    • などなど…
  • 評判の悪いサイトへのアクセス : 悪い IP アドレス、ドメイン、および評判の悪いサイトへの XNUMX 回または複数回のアクセス。 URLは、調査を開始するための懸念事項の良い指標でもあります。

調査

狩猟の一環として、ハンターは次のことを期待しています。 SASE 少なくともネットワークの観点から、さらなる調査のためにさらに深く掘り下げるのに役立つシステム。 ハンターは、包括的なエンドツーエンドの可視化と調査のために、エンドポイント、アプリケーション、仮想化、およびコンテナ化プラットフォームの可観測性システムと連携する必要がある場合もあります。

への期待 SASE ハンターによる調査の可観測性は、主に、より深い検索機能に基づいています。 たとえば、エクスプロイト トラフィックを検出すると、ハンターは、エクスプロイトされたマシン/ソフトウェアが通常はこのシステムによって行われない他の内部システムに接続していないかどうか、または通常は行われていない他のシステムからファイルをダウンロードしていないかどうかを調査したいと考えるかもしれません。期待される内容や、このシステムが他のシステムにマルウェアをアップロードしているかどうかなど。

まとめ

脅威ハンティングは多くの企業で通常の行為になりつつありますerp上昇します。 通常、これには、エンドポイント、アプリケーション、仮想化、およびセキュア アクセス サービス エッジの可観測性プラットフォームを使用した侵害痕跡 (IoC) の検出と調査が含まれます (SASE）。 統一された SASE Software-Defined Wide Area Network (SD) を組み合わせたWAN）、さまざまなネットワークおよび脅威セキュリティ機能、および包括的な脅威ハンティング ライフサイクル管理を可能にする包括的な可観測性が必要です。

• CTO の洞察ブログ

  　 Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。