過去10年間、セキュリティオペレーションセンター(SOC)とアナリストは、侵害の兆候(IoC)、署名、しきい値ベースの侵入の兆候、またはペースを維持しようとする侵入の試みなどの概念で運用を続けてきました。絶えず変化する脅威のペース。 それは負けた対立でした。
同時に、攻撃者は活動を隠すのにますます効果的になっています。 マスキング技術により、従来の署名およびしきい値検出手段はほとんど役に立たなくなりました。
これに対応して、情報セキュリティ業界では、行動分析(User Behavior Analytics、UBA)に対する新たな需要が見られました。これは、履歴ソースデータに基づいて、ユーザーパターン(疑わしいアプリケーション、ファイル検索操作を使用)のアクティビティパターンと数学的に有意な逸脱を探しています。
UBAと従来のSIEMベースのアプローチとの違いについての質問をよく聞くことができます。
以前の動作に基づいて作成します。
私たちの意見では、答えは歴史です。 「過去を覚えていない場合、それを繰り返す運命にある」と言う古い格言があります。 同じことは、ファイルの削除またはコピー、ログインの失敗、マルウェアの署名、または特定のIPアドレスからの過剰な数の接続要求など、多くの無関係なイベントをリアルタイムで監視する従来のSIEMアプローチについても言えます。
もちろん、さまざまなシステムからの生のイベントを監視する必要がありますが、コンテキストのないSIEM統計とスナップショットは、実際に何が起こっているかを示す信頼できない信号です。 SIEMシステムが実際には存在しない場合にインシデント通知を発行する場合、これを誤検知と呼びます。 ある時点で、あなたは同じ誤検知を追いかけ、さらに悪いことにそれらをすべて無視し始めます。
ユーザーがデータを削除またはコピーした場合、インシデントを示すイベントの数はいくつですか? このユーザーのログイン試行の失敗回数は異常ですか? めったに使用されないフォルダーでのユーザーアクティビティに注意を払うべきなのはいつですか?
イベント通知に対して行う重要な決定は、正常から異常を区別するための正しいしきい値です。
多くの場合、数百または数千ではないにしても数十のアプリケーションとユーザーアクティビティがあります。 それらに関連付けられた各イベントには、設定と監視のための独自の目的、一連のしきい値、シグネチャ、およびアラートがあります。 ブルートフォースアプローチは、蓄積されたデータではなく、特定の特定のケースに対して正しいと思われる一意の設定に基づいたルールの作成につながります。 このようなルールは、無限のレポートと点滅するダッシュボードを生成します。そのため、人々のチームが「偽のニュース」を選別する必要があります。
しきい値の設定方法に関するこのジレンマにより、情報セキュリティの研究者は、現実の世界またはインフラストラクチャでのユーザーの行動の分析に基づいてしきい値を設定する統計的アプローチに至りました。
UBAと静的しきい値ベースの監視方法の主な違いは、最初に、トリガー決定が数学モデルと統計分析によって駆動されることです。これにより、真の異常をよりよく認識でき、最終的に誤検知が減少します。 行動上のインシデント通知の例:
- ユーザーが1日の珍しい時刻(午前4時と日曜日)にめったに使用されない情報を操作し、その後、海外プロバイダーに関連するメールボックスにメールを送信したときの通知。
- ユーザーが通常は動作しないときにログイン失敗イベントを生成したときの通知。
- ユーザーが別のユーザーのホームディレクトリからファイルをコピーし、それらのファイルをUSBドライブに転送したときの通知。
UBAルールの操作例
UBAが非常に効果的である理由は、署名または静的なしきい値分析だけに依存しないためです。
例を見てみましょう。
会社のセキュリティ部門は、1,000人の従業員全員のメールアクティビティを監視するように求められました。 不可能? 「おそらく。」
5人のユーザー(全ユーザーの0.5%)のみに焦点を当てて、問題の本質を理解できます。 最初に、従来の分析を使用して、1週間のアクティビティを電子メール(下)で表示します。
このレポートを考慮して、より多くの手紙を送信したユーザーのアクティビティを調査することを決定できますよね?
金曜日に90通の手紙を送ったMollyがマーケティングチームとつながっており、彼女の仕事は1日あたり電子メールで顧客に資料を送ることに関連していることがすぐにわかります。
間違った方向!
次に、すべてのユーザーが1日に送信する電子メールの平均数をしきい値として使用することにします。 上記のデータの場合、ユーザーが1日に送信する電子メールの平均量は17です。
ユーザーが1日に17通を超える電子メールを送信したときに通知するルールを作成した場合、この期間中に6つのアラートを受信します。 これらの警告のうち4つは、Mollyに戻ります。
このしきい値は明らかに敏感すぎます。 特定の日のすべてのユーザーの平均とは異なる戦略、つまり縦の列が必要です。
UBAの異常検出アルゴリズムは、毎日各ユーザーを調べ、ユーザーのアクティビティに関する情報を記録します。 この履歴情報には、日、時間、イベントの数、イベントの種類などの多くの属性が付随し、システムに保存されるため、基本的な統計を作成できます。
UBAは、レポートを起動し、各ユーザーのパラメーターの平均値とそれらからの標準偏差を計算し、それらを同類と比較し、他のユーザーよりも際立っているユーザーを指すツールです。 また、UBAは、パラメータの平均値、標準偏差、およびその他の統計を経時的に動的に計算するため、履歴トレンドの変化を反映できることに注意してください。
考えられる行動ルールの例を考えてみましょう。ユーザーが電子メールを送信するときに通常のアクティビティから大幅に逸脱した場合の警告。
これは、「ユーザーが平均値から2つ以上の標準偏差だけ逸脱した場合の通知」(列AVG + 2SD)としてより正確に変換できます。
明らかに、これは実際に行われていることとはまったく異なります。より良い統計的テストと、実行可能なより包括的な分析があります。
さらに重要な点は、同じActive Directory(またはOU)グループ内のユーザーの動作を分析することにより、UBAが真の異常をより正確に検出できることです。