EDRで脅威に対応する-エンドポイント・セキュリティを徹底解説!

EDRを導入することで企業のセキュリティを迅速にスケールできます

十分なモチベーションと時間とリソースがあれば、敵対者は最終的には組織の防御を突破する方法を考案します。残念ながら、そのような事態が発生した場合、ほとんどのセキュリティ製品は「攻撃に気付く事なく予防に失敗」してしまいます。侵入を検出することはおろか、侵入を警告することもできません。これにより、攻撃者は数週間から数ヶ月間、お客様の環境を自由に徘徊することができます。この状況は、可視性、セキュリティリソース、専門知識の不足によって更に悪化する可能性もあります。

EDR(Endpoint Detection and Response)は、この課題に対処するための最も有望なソリューションです。一次レベルでは、EDR製品はエンドポイントで発生している活動やイベントを記録し、セキュリティチームに、そうでなければ見えないインシデントを発見するために必要な可視性を提供します。基本的なコンセプトはシンプルに聞こえるかもしれませんが、EDRにはさまざまな実装があり、その範囲や効果は大きく異なります。これはEDR構築モデルと筆者呼んでいるもので、EDRソリューションの進化と能力の両方を網羅したモデルです。本記事で概説されているこの段階的な構築モデルは、EDR の理解を深めるためのガイドとして使用することができ、堅牢なセキュリ ティ戦略のどこに EDR が適合するのか、そして最終的には、組織が最大の利益を得られるようにEDRの能力を成熟させるためには何が必要なのかを知ることができます。そのためには、最小限の労力と投資で最高レベルの保護を提供しながら、セキュリティチームに負担をかけずに価値を付加するEDRソリューションを見つけることが重要です。

エンドポイントを完全に可視化し、悪意のある活動を完全なセキュリティ・インシデントに発展する前に検出し、対応したいと考えている組織にとって、業界をリードするEDRソリューションは、すぐに結果を出す総合的なソリューションとして強力な機能を提供します。

予防を中心としたセキュリティ対策には限界がある

過去および現在のセキュリティ侵害は、予防だけでは100%の保護を確保できないことを何度も証明しています。防御に失敗した場合、組織は現在のエンドポイント・セキュリティ・ソリューションによって何も知らずに放置されてしまうことになります。攻撃者は、このような状況を利用して、数週間から数ヶ月にわたって組織内に潜入し、目的を達成した後に好きなように戻ってきます。ほとんどの場合、組織は法執行機関、自社の顧客やサプライヤーなどの第三者から違反についての情報を得て、はじめてそのインシデントに気づく事になります。

セキュリティ攻撃が最終的に発見された場合、被害を受けた組織は、何がどのように起こったのか、どのようにして起こったのかを正確に把握し、理解するために必要な可視性を欠いているため、インシデントを修復するために数ヶ月を費やしてしまうことになりかねません。また発生したことを理解し、修正出来たとしても、攻撃者は数日の内に逃げてしまうので、何も得る事が出来ないケースが殆どです。

そしてこのような状況には、大抵複数の要因が関係しています。
第一に、歴史的にセキュリティは検出よりも予防に重点を置いてきたという原因です。第二に、組織はエンドポイントで何が起こっているかを理解するのに必要な可視性を欠いている可能性があります。これは、いざという時にセキュリティに関連したことを記録する能力、そしてそれを必要なときにすぐに思い出すことが出来ない原因となっています。第三に、たとえデータが利用可能になっても、セキュリティチームに必要なリソースが不足しています。保存したデータを分析し、それを最大限に活用することができなければ、現在のようにインシデントを検知し、対応ができない状況に陥ってしまうのです。更に、多くのセキュリティチームは、SIEMなどのイベント収集製品を導入してすぐに気づくことがあります。それは大量のデータを目の前にして、複雑なデータの処理に困ってしまうという問題です。何を探せばいいのか、スピードやスケーラビリティなどの課題が出てきて、主要な目的が達成される前に他の問題が表面化し、当初の課題解決を困難にしてしまいます。

EDR構築モデル

既存の防御策では適切に処理されないインシデントに対処するために、企業は潜在的な悪意のある不審な活動を迅速に検出し、迅速な調査を可能にするソリューションを必要としています。

そこでEDRの出番です。EDRのもたらす可視性は、以下の点で重要な役割を果たします。

EDRはエンドポイントのアクティビティを記録し、将来の検索や調査のために保存します。これにより、セキュリティチームに必要な可視性を提供します。EDRがこのように可視性をもたらすということは、EDRを入れていなければ検知できない攻撃やインシデントを迅速に発見・検知することを可能にします。

しかし、EDRのもたらすデータ収集は始まりにすぎません。データをどのように扱うのか、ということが次の課題です。そのためには、セキュリティの専門知識と検索を実行する時間が必要なだけでなく、最新のセキュリティ侵害インディケータ(IOC)、最新の敵対者の戦術、技術、手順(TTP)、セキュリティのトレンドを常に把握しておく必要があります。このように、EDRの概念が一見シンプルであるがゆえに、実装方法には大きな違いがあります。各実装は、実はスコープと有効性が大きく異なる可能性があります。

EDRの段階的な構築ステップ

1. EDRが一切導入されていない状態

EDRがなければ、組織は既存の防御策をすり抜けようとするあらゆる脅威に対して脆弱になります。これは攻撃者の状況を、知らず知らずのうちに破られている状態を引き起こし兼ねません。

2. 部分的にEDRを導入している状態

これにより、収集したイベントも可視化されるため、改善されます。しかし、分析の負担はセキュリティチームに乗りかかってきます。やはり、時間とセキュリティの専門知識の両方を必要とし、アクセスできるデータの中で何を探すべきかを知る必要があります。

3. 機能的なEDRを導入している状態

限定されたEDRやEDR無しとは対照的に、インテリジェントEDRは分析を実行し、実際のインシデントを自動的に検出します。また、セキュリティチームに独自のカスタム検索を実行する柔軟性を与えることもできます。

4. マネージド・ディテクション・アンド・レスポンス(MDR)

EDRの段階的構築においては最高レベルの「Managed Detection & Response」は、受動的に検出を待つのではなく、組織が主体的かつ継続的に脅威を探索することを可能にし、究極の保護レベルが提供されます。マネージド型の導入により、必要なスキル、専門知識、経験を備えた経験豊富なセキュリティ専門家だけが持つ、24時間365日体制のソリューションを迅速かつ低価格で提供します。

クラウド型の機能的なEDRソリューション

本質的に機能的な機能的なEDRソリューションは、エンドポイント上で行われているアクティビティを監視および記録し、攻撃者のアクティビティを自動的に検出するために必要なリアルタイムおよび履歴の可視性を提供すると同時に、セキュリティチームがインシデントを迅速に調査して解決することを可能にします。これにより、攻撃者がアクションを起こす前に攻撃を阻止し、攻撃者の攻撃を検知できないリスクを排除します。

理想的なEDRソリューションは、セキュリティインシデント後の攻撃者の活動を自動的に検出するだけでなく、 セキュリティチームに環境全体のリアルタイムの可視性を付与するからです。これにより、以下のことが可能になります。

  1. 積極的な脅威の探索
  2. インシデント調査
  3. タイムリーな修復への従事

機能的なEDR

隠れた攻撃者も自動的に検出

エンドポイントの完全な可視性と攻撃の指標(IOA)をペアにしたEDR製品の行動分析では、何十億ものイベントをリアルタイムで分析し、疑わしい行動の痕跡を自動的に検出することができます。IOAは、攻撃者の行動の検出を自動化して高速化し、以下のような攻撃者の行動をピンポイントで検出します。通常の対策では気づかれないような IOAのおかげで、セキュリティチームが何を探せばいいのかを把握して、独自の検索を構築する必要がなくなりました。

より広範なシーケンスの一部として個々のイベントを理解することで、EDRのエージェントはインテリジェンスサービスから派生したセキュリティロジックを適用することができます。一連のイベントが既知のIOAと一致した場合、EDRエージェントはその活動を悪意のあるものとして識別し、自動的に検出アラートを送信します。

しかし、EDRの可視化機能はIOAに限定されません。ユーザーはまた、90日間まで遡った独自のカスタム検索を記述することができ、これは環境内の脅威をプロアクティブに探したいセキュリティチームを大いに支援しています。EDRが付帯して提供するクラウドアーキテクチャのおかげで、クエリの結果は5秒以内に戻ってきます。

その他のソリューションとの統合

EDR製品のインテリジェンスを使用することで、より迅速な対応が可能になります。インテリジェンスによって悪意のあるものとして識別された活動やTTPを検出することができます。さらに、脅威を検出するインテリジェンスとの統合は、文脈に沿った 情報を提供し、関連する場合には帰属表示を含み、詳細を提供します。攻撃者に帰属する情報や、攻撃に関するその他の既知の情報を提供しています。このような 帰属情報は、セキュリティオペレーションセンター (SOC) やセキュリティ・アナリストに攻撃に関する追加のコンテキストを提供し、攻撃を特定する詳細なストーリーとして「誰が、なぜ、何をするのか」を提供する事が出来ます。誰をターゲットにしている可能性があるのかを理解する 組織の能力と意図が何であるかを知ることで、組織に力を与えます。組織を守るために、より良い準備をしておく必要があります。

EDRがもたらす抜群の可視性

攻撃状況のリアルタイム及び履歴を可視化する

EDRはエンドポイント上でDVRのように機能し、予防を回避したインシデントをキャッチするために関連するアクティビティを記録します。これにより、顧客はオンライン上で起きていることをすべて把握することができます。そしてその背後にある「誰が」「いつ」「何を」「なぜ」「何を」「なぜ」「誰が」といった文脈情報を含む、セキュリティの観点からのエンドポイントの情報を提供することも出来ます。

カーネルレベルでのその位置は、プロセスの作成、ドライバのロード、レジストリの変更、 ディスクアクセス、メモリアクセス、またはネットワーク接続など、何百もの異なるセキュリティ関連イベントを追跡することをEDRエージェントに可能にします。これにより、セキュリティチームは、ホストが接続されているローカルおよび外部のアドレス、直接およびリモートの両方でログインしているすべてのユーザーアカウント、ASPキー、実行可能ファイル、管理ツールの使用状況の変更の要約、プロセスの実行など、多くの有用な情報を得ることができます。

このようにセキュリティ関連のエンドポイントの活動を完全に監視することで、セキュリティチームは、敵の活動をリアルタイムで「ショルダーサーフ」することができ、敵が侵入したり環境を移動したりする際にも、敵がどのコマンドを実行しているか、どのようなテクニックを使用しているかを観察することができます。

セキュリティチームの調査・検査を加速する

収集した情報は、EDRプロバイダーのクラウドを経由して 状況モデルに基づいたアーキテクチャを持つプラットフォームに装備されています。モデルは、すべての巨大で強力なグラフデータベースを使用したエンドポイントイベント 歴史的なものとそうでないものの両方について、詳細と文脈を迅速かつスケール感をリアルタイムに提供します。これにより、セキュリティチームは迅速な調査がいつでも可能となるのです。これはインシデントが発生した場合に必要なコンテキストを企業に提供することに繋がります。

そのスピードとレベルの高い可視性は、EDR製品のビルトイン。インテリジェンスと組み合わせてデータを理解することで、組織のセキュリティチームが最も高度な攻撃を効果的に追跡することを可能にする程、詳細なレベルのデータが提供されます。これによりセキュリティチームは、インシデント検知、トリアージ、優先順位付けだけでなく、迅速な調査と検証を行うことで、より迅速かつ正確な修復につながります。

EDRでネットワークの封じ込めを行い、攻撃者の動きを止める

セキュリティチームが緊急の懸念に直面した場合、またはセキュリティ侵害が完全に修復されるまでの間、被害を受けたホス トがより多くのアクセス(横方向への移動)のためのレバレッジポイントとして使用されることを防 止することを決定した場合、EDR製品の可視化機能によりエンドポイントを隔離することができます。これは「ネットワーク封じ込め」と呼ばれ、組織はすべてのネットワークアクティビティか ら潜在的に攻撃されたホストを隔離することにより、迅速かつ瞬時に対策を講じることができます。エンドポイントが封じ込められている場合でも、エンドポイントはEDR製品のクラウド側から情報を送受信することができます。ネットワーク封じ込め中のエンドポイントは、クラウドへの接続が切断されても封じ込められた状態を維持し、再起動時にも封じ込められた状態を維持します。

EDRで組織全体の可視性を5秒で確保

EDRの可視化機能を利用すると、関連するエンドポイントのアクティビティは自動的に記録され、クラウド上のEDRプラット フォームにストリーム配信され、そこではグラフデータベースに保存されます。スレットグラフは、クエリ結果のサイズやデータベース内のデータ量にかかわらず、わずか5秒ですべてのクエリの結果を返すように設計されています。

このアプローチでは、エンドポイントがオフラインになっていても、再フォーマットされていても、破棄されていても、あるいはエンドポイントが紛失したり破壊されていても、イベントや異常を検索して調査できることが保証されています。また、セキュリティチームは、エンドポイントのアクティビティを1秒、1日、あるいは90日分のアクティビティを遡って発見し、調査することができ、情報をすぐに入手することができます。

クラウドでヒストリカル分析を有効にするもう一つのメリットは、アナリストによる検索がエンドポイントや企業環境、ネットワークに影響を与えないことです。また、リアルタイムとヒストリカルの両方で同時にクエリを実行することができます。同時検索が可能になることで、アナリストはクエリの完了を待ってから別のクエリを実行して結果を得る必要がなくなるため、これは非常に重要です。

EDRはクラウド上で高い稼働率を実現

EDRエージェントは通常軽量であるため(フットプリントは20MB)、前例のない速さで運用することができます (つまりデプロイされ、すぐに使用できる状態になっています)。EDRの可視化機能は、数週間や数ヶ月ではなく、数時間以内に組織全体に展開することができ、ハードウェアや追加のソフ トウェア、チューニングや構成を必要としないため、エンドポイントへのパフォーマンスの影響は事実上ありません。例えば、EDR製品のインシデントレスポンスチームがセキュリティ・インシデントに対応する際には、何千ものエンドポイントに 対して数時間以内にEDRエージェントを配備して使用を開始し、悪意のある活動の監視と検出を直ちに開始することは 珍しくありません。

大抵のEDRプラットフォームは、シンプルさを念頭に置いて設計されています。お客様はすでに複数の複雑な製品を環境で管理することに負担を感じているため、EDRプラットフォームを設計し、複雑さを増すことなく環境にシームレスに統合できるようにしました。一度デプロイされると、すぐにアクティビティの記録を開始し、プロアクティブな検出を可能にし、業界最速のタイムトゥバリューを提供します。

EDRなら前例のないスピードでプロアクティブな攻撃検知を可能に

EDR製品のクラウドアーキテクチャは、これまでにない規模でのプロアクティブな脅威検出を可能にします。前述のEDR成熟度モデルで説明されているように、脅威検出は、攻撃者に対する組織の防御力を高め、 攻撃や敵対者の早期発見において重要な役割を果たします。これは、人間主導で行われます。受動的な技術に頼るのではなく、疑わしい活動を積極的に探索することからなるプロアクティブなアプローチです。またEDRの可視化機能により、セキュリティチームが最大 90 日間の検索を可能にし、クエリの結果を数秒で返し、1 つの手掛かりから次の手掛かりへと簡単に移行することを可能にします。さらに、APIを使用することで、一見関係のないように見えるイベント間の関係性を一目で明らかにすることができる「スレットグラフを歩く」ことが可能となり、非常にステルス性の高い攻撃を検知可能とします。

現在、独自の脅威検出のセキュリティリソースを持っていない組織は、EDR製品プラットフォームの管理された攻撃検出コンポーネントのおかげで、その恩恵を受けることができます。経験豊富なセキュリティ専門家で構成されるEDR製品のマネージドチームは、お客様に代わって24時間365日体制でプロアクティブに脅威を探し出し、攻撃を阻止します。

EDR製品の監視ツールにおけるメリットは、組織だけに適用されるものではありません。積極的な攻撃検出スキルがいない、もしくは攻撃検知経験のあるメンバーが少ない企業でも有効活用ができます。より大規模な組織でも勿論、既存のSOCを強化するための能力と熟練した人材の観点からも大きな恩恵を受ける事が出来ます。さらに、EDRプラットフォームのクラウド機能により、悪意のある活動をプロアクティブに探し出すして組織を保護したり、EDR製品を利用するコミュニティ全体を保護することができます。通常EDR製品の顧客1社で攻撃や脅威が発見された場合、それ以外のすべてのEDR製品に関わるコミュニティは、攻撃や脅威から保護されます。つまり他の顧客からの情報が共有され、その発見からすぐに利益を得ることができるのです。自社だけの知見やリソースに留まり、セキュリティリスクが高まる事はありません。

EDRで100%の攻撃を検知しましょう

昨今では様々なセキュリティソリューションを取り揃える事で、ゼロトラストネットワークアーキテクチャを採用し、VPNを排除するトレンドもあります。このトレンドの一助として、EDRをエンドポイントの不正検知に採用している企業も増えています。

そもそも99%の防御とは、最終的には100%の確率で侵入されることを意味します。一度攻撃者が組織の防御を迂回することに成功すると、数週間から数ヶ月は気づかれないことがあります。セキュリティチームには、侵入後の活動を特定するための可視性と検知ツールが不足しています。そんなチームに必要なのがEDRソリューションです。これによりセキュリティチームは、プロアクティブに脅威を探し出し、インシデントを迅速に調査して対応することができ、組織が危険にさらされる前に潜在的なセキュリティ・インシデントを阻止することができます。インシデントへの対応を迅速化し、エンドポイントに対する完全な可視性と制御を獲得したいセキュリティチームにとって理想的なソリューションです。

 

SNSでもご購読できます。

コメントを残す

*