ユーザー行動分析に基づく脅威モデル

私たちが同意する研究者の多くは、ネットワーク境界に適用される保護手段(たとえば、データ漏洩防止システム(DLP)など)が無効であると言います-彼らは、発生前に漏洩チャネルを予防的に閉じるのに役立ちません。



前述の非効率性の理由は、両方のビジネス継続性要件です(ロシアの企業は、誤検知が実質的にゼロになるまで実装をサポートするためのモデルを選択することを嫌がり、過去数年で技術的手段が遅れることに関連する歴史的な心理的つながりもありますが、 CISで開発された、外国の技術リーダーから、漏れ防止メカニズムを含めることを許可せず、検出で停止*) リーク検出は、多くの場合、事実に基づいて、またはまったく発生せずに発生し、これらの統計をさらに悪化させます(標準的な手段による攻撃の検出は、重要なイベントが受信された瞬間から1時間以上以内に発生しません)、またはデータが会社のネットワークから出ようとしている時点で、送信するデータの準備を認識する方法がありません(ネットワーク、物理メディア、またはガジェットのフォトギャラリーでは関係ありません)。



発展中または発生中のサイバー攻撃の段階を判断するためにロッキードマーティンが開発した分類でデータリークが発生する段階は、エクスフィルトレーションと呼ばれます。



ロッキードマーティンは、合計で8つの異なるタイプの脅威を識別および識別し、それらの実行の段階によって分散しました。



偵察(インテリジェンス)、侵入、悪用の不正行為[この段階には、特権エスカレーション、横方向の移動(フォーカス移動または検索)、難読化の4種類の脅威が含まれます(「追跡」)、サービス拒否]、エクスフィルトレーション。



犯罪者にとって有利ないくつかの要因が一致しない場合、その後の各段階にすぐに進むことはほとんど不可能であることに注意することが重要です。 そのような要因の例:会社のネットワーク構造に関する情報の知識、管理者権限へのアクセス、ファイアウォール上のサーバーにアクセスするためのrdpポートを開く、文書化されていない特別に残されたvpnチャネル-インサイダーに一般的、またはそれらから受信した情報を使用するハッカー。



もちろん、「追跡」は、サービス拒否または機密情報の受信の前後の両方で発生する可能性があります。最後の2つのポイントは、ランダムに、互いに独立して並行して実行できます。 いずれの場合も、たとえば、悪意のあるまたは単に無謀なインサイダーのアクション中に、チェーンがリンクの1つを失うか、脅威のタイプの1つだけに制限される場合があります。



脅威モデルとは何ですか?



確かに、あなたの側で何も構成せずに、予測脅威モデルを使用し、会社のインフラストラクチャ全体でエンティティ(ユーザーアカウントやコンピューターアカウントなど)の動作を自動的に分析すると、セキュリティシステム自体が潜在的な脅威を通知してくれると便利です:CryptoLockersや侵害されたサービスアカウントから不誠実なユーザーまで? これはすべて、検出されたリソースでのユーザーの行動のすべての偏差**を検出して通知できます。



私たちの経験を活用して、ファイルアクセスログの絶え間ない「手動」分析、特権レベルの変更の試みからあなたを救うことができ、また誰か他の人、おそらくあなたのメールを違法に読む人を理解することを可能にします。



したがって、私たちの理解では、脅威モデルは攻撃のさまざまな段階、種類、種類に関する蓄積された順序付けられた知識であり、サイバーセキュリティの分野で豊富な経験を持つ専門家によるアクセスログの長い予備分析なしで、記述された各脅威に迅速に対応するために使用できます専門家が指定した基準(情報セキュリティイベントの収集と相関を行うツール-SIEMによって提供されます)に応じた相関に対するイベント収集システムのその後の調整。



*そして、データリークを検出するメカニズムに姓がなく、製品名とアセンブリ番号のみがある場合は良いことです

**以降、ユーザーごとに、ほとんどの場合、ユーザーアカウントやコンピューターアカウントなどのエンティティを理解します。



なぜこれが重要なのですか?



行動分析を使用する脅威モデルにより、開発の初期段階で攻撃を迅速に検出することができます<どうにかして強調する価値はありますが、実際には方法がわかりません>、収集されたメタデータと情報のおかげで、より多くの情報に基づいた決定のコンテキストを提供します以前に発生し、現在のファイル、メールサーバー、SharePoint、およびActive Directoryまたは他のLDAPディレクトリで、特定のユーザーおよび以前の動作に似た他のユーザーが参加して発生しています。



行動異常の高度な分析により、潜在的なデータリークの各段階で、疑わしいアクティビティを検出できます。プライマリインテリジェンスからその抽出まで。



さらに、既存のメカニズムにより、上記の脅威について警告するだけでなく、自動的に、半自動または手動で、攻撃開発チェーンのさらなる段階への移行を防ぎ、最終段階に到達することを防ぎ、個々の実際の脅威を個別に調べる必要がありませんイベントを記録および相関させるための既存のメカニズムで、(未知の要素や重要でない要素として受け入れられている要素を考慮せずに)プロファイルを作成します。





以下は、クライアントが最もよく使用する脅威モデルの一部です。



通常の動作からの逸脱:機密データへのアクセス

取得:機密データを含む資産へのアクセスを取得する不正な試みを示している可能性があります。 ユーザーの行動は彼の行動プロファイルと照合され、不一致が検出されるとアラートが生成されます。



異常な動作:Exchangeメールボックスへの非典型的なアクセス

抽出:サービスの特権を使用して他のユーザーのメールボックスにアクセスしようとする不正な試みを示している可能性があります。 ユーザーの行動は彼の行動プロファイルと照合され、不一致が検出されるとアラートが生成されます。



クリプトウイルスの活動

侵入:ランサムウェアウイルスの存在を示している可能性があります。



疑わしいアクセス:システムにアクセスするための情報を含むファイルへのアクセスは、これらのシステムを担当する非IT担当者のアカウントによって行われます

権限の昇格 :システムにアクセスするためのデータ取得の不正な試みを示したり、システムへのアクセスを拒否したりする可能性があります。



変更:グループポリシーの重要な要素

特権/脆弱性の悪用:ポリシーを変更するか、特権セキュリティグループを使用することにより、アクセスを取得する不正な試みについて話すことができます。 また、特に確立された変更制御ポリシー外で変更が行われたときにトリガーが発生した場合、ユーザーがシステムにアクセスできないようにする試みについても説明できます。



ハッキングされた可能性のあるソフトウェアの検出

特権/脆弱性の悪用:よく知られているハッカーツールをインストールまたは使用する試みについて話すことができます。



メンバーシップの変更:管理グループ

特権/脆弱性の悪用:特に、確立された変更制御ポリシーの外側で変更が実行された場合、特権グループにアカウントを追加することにより、または攻撃中の管理者の迅速な対応を防ぐことにより、アクセスを取得する不正な試みを示している可能性があります。



サービスアカウントまたは管理者アカウントの無効化または削除

特権/脆弱性の悪用:特に、変更が確立された変更制御ポリシーの外で実行された場合、インフラストラクチャの損傷、ユーザーによるシステムへのアクセスの防止、悪意のあるアクションの後の隠蔽の不正な試みを示す場合があります。



おそらくシステムにアクセスするための情報を含む、複数のファイルを開く

特権の昇格:アクセスシステムにデータをアップロードする不正な試みを示している可能性があります。



ネットワーク環境の分析に使用されたソフトウェア

インテリジェンス:脆弱性の検索など、企業ネットワークのスキャンに使用される不正なツールの存在を示している場合があります。



All Articles