インシデント対応と未知の攻撃ベクトルによるセキュリティ違反からの回復

はい。侵入検知とデジタルフォレンジックには、非常に多様なテクノロジーインフラストラクチャと複雑なグローバル組織の大規模なインストールで迅速にトリアージするために自動化できるコンポーネントがあります。

インシデントレスポンスと危機管理はより困難であり、多くの場合、特にルートレベルの侵入（別名、ドメインテイクオーバーまたはドメインアドミニストレータの侵害と呼ばれる）中に、プラグを抜く、またはオフラインにする責任が含まれます。以前はオフラインになることが一般的でしたが、デジタルフォレンジックおよびインシデントレスポンス（DFIR）プラットフォームは2012年頃に変わり始めました。

これらの新しいDFIRプラットフォームが破壊的なテクノロジーに関して追加したのは、Live Responseを実行する機能でした。 Live Responseの商用プラットフォームサポート（例：FireEye HX-元々はMIRまたはMandiant Incident Response、CbER、Crowdstrike Falconなど）がサポートされる前は、ほとんどのDFIRプラットフォームはデジタルフォレンジック（例：企業が使用するEnCase、または使用されるFTK）に焦点を当てていました政府、特にFBI）またはインシデントレスポンス（例：Belkasoft RAM CapturerまたはSysinternals Autoruns）-両方ではありません。1つの例外はF-Responseプラットフォームで、2009年頃に出荷されました（早いこれらの手法の採用者）DFIRという用語は、少なくとも2013年まで使用または一般化されていませんでした。そのため、これは、ほとんどのサイバーセキュリティ/ Infosec/ITショップにとって、まだ非常に新しい概念です。

最近では、DFIRライブレスポンスプラットフォームを中心に新しい商用ソリューション（Volexityなど）が登場しています（多くの場合、以前はGoogle Rekallとして知られていた、無料のオープンソースソリューションのフォークなどの無料のオープンソースソリューションに基づいています） -source Volatility Framework）。ただし、従来のウイルス対策（AV）プラットフォームに近いにもかかわらず、これらのプラットフォームとの類似点を共有しようとしている多くのソリューションもあります。公式用語はEndpoint Protection Platform（EPP）であり、SOPHOS、Symantec、およびMcAfeeのソリューションが含まれています。ただし、明らかにEPPである一部のプラットフォーム（Cylance、SentinelOneなど）は、用語NG-AV（次世代のアンチウイルス用）、または悪いことに、Endpoint Detection and Response（EDR）を使用しようとするため、DFIR Liveの機能が損なわれます。対応プラットフォームは当初、妨害しようとしました。

多くの場合、商用EDRプラットフォームは応答よりも検出に重点を置いています。つまり、従来のAVに近いプラットフォームです。真のLive Responseプラットフォームは、少なくとも2つの主要な機能を有効にします。

1. ホスト分離を実行します。これは、レスポンダーがホストにリモートでアクセスできるようにしながら、システムがオフラインになる機能を意味します。
2. パフォーマンスを低下させることなく、優れた安定性を維持しながら、さまざまなオペレーティングシステム間で隔離されたホストからフルシステムメモリダンプを提供します。カーネルパニックが発生した場合（オペレーティングシステム全体がクラッシュした場合など）、メモリキャプチャを保持する機能が完全に損なわれることがよくあります。 BIOSやUEFIの問題などのファームウェアの潜在的なルートキットを検出して対応するには、メモリダンプにシステムのMBRまたはGPTを含む上位ビットを含める必要があります。多くの場合、これはプラットフォームがドライバーをインストールすることを意味し、システムのクラッシュを防ぐためにドライバーを注意深くコーディングする必要があります。

非常に少数のDFIRサービスプロバイダーが、大規模なインストールで迅速なトリアージを実行するために必要な才能と自動化パイプラインを保持している場合でも、インシデント中またはクライアントにEDRまたはDFIR Live Responseプラットフォームをロールアウトし、拡張し、統合した場合でも、危機（違反後）、または以前（違反前）。それらのいくつかは、コーエングループ、FireEyeのMandiant、Crowdstrike、Verizon Business、Stroz Friedbergを含みます。 Endgameなどの新しいプレイヤーや、クレジットカード業界のTrustwaveなどの特定の業界に関連するプレイヤーもいます。主要なデータ侵害に関するニュース速報で彼らの名前が浮かび上がるのがわかります。

多くの場合、ニュース速報の重大なデータ侵害に苦しんでいる組織は、すでにこれらのDFIRサービスプロバイダー（または競合他社）の1人を保持者として抱えていました。つまり、万が一に備えてドアを開いておくために、毎月または毎年支払いを行っています。危機が発生します。時々、妥協評価と呼ばれるこの特定のオファリングを聞くでしょう。これらは、迅速かつ高品質な侵入検知とデジタルフォレンジック分析の観点から、間違いなく作物の真髄です！

これらのDFIRサービスプロバイダーのツール（またはその一部）と手法は、書籍、リソース、さらにはオープンソースソリューションに含まれています。たとえば、The Cowen Groupは TriForce （特許取得済みのデジタルフォレンジック手法）に関連しており、FireEyeには FLARE VM があり、Crowdstrikeには Falcon Orchestrator および VxStream Sandbox 、Verizon Businessがリリース済み [〜＃〜] veris [〜＃〜] 、およびStroz Friedbergが lightgrep を使用して独自のGithubを所有し、買収 fsrip 。これらの一部は買収によるものであり、その他はスピンオフによるものでした。

革新をもたらしたのは民間産業だけではありません-明らかに多くの仕事 [〜＃〜] mitre [〜＃〜] 、 [〜＃〜] circl [〜＃〜 ] 、 CERT-BDF 、 CERT-Tools 、 ANSSI-FR 、および CSE-CST は上記のすべてに対応しています。

Gransk 、 PUNCH-Cyber​​ 、および SkadiVM のように、それ自体がクールなものもあります。

これらの壮大で広く知られているセキュリティインシデントで使用されている攻撃手法とエクスプロイトに関する質問に誤解があります。

エクスプロイトは通常、severityおよびcomplexityのようなメトリック（他のものに基づいて）に分類されます。通常（！）攻撃が複雑になるほど、正確に何が起こったかを解明するために必要なフォレンジックが難しくなります。あなたが言及する攻撃は実際に実行するのが難しいため、調査するのも困難です。しかし、ここでより重要な点は、これらは-影響を受ける企業によると-これらの人気のある事件で攻撃者が使用したものではないということです。

Equifax違反を例にとってみましょう。 Wikipedia からの引用：

Equifax氏は、Apache Struts（CVE-2017-5638）の欠陥を利用することで侵害が促進されたと述べた。この脆弱性に対するパッチは3月7日にリリースされましたが、攻撃が2か月後に発生する前にセキュリティ更新プログラムを適用できませんでした。ただし、これが唯一の障害点ではありませんでした。要因としては、十分なセグメンテーションが欠けている安全でないネットワーク設計、個人識別情報（PII）の暗号化が不十分である可能性、および無効な侵害検出メカニズムが含まれていました。

これらは空想的な攻撃ベクトルをまったく記述していません。 Apache Strutsの欠陥は当時よく知られており、Struts自体は（私の知る限り）広く使用されているフレームワークでした。 このようなCVE が公開されると、世界中の攻撃者によってすぐにテストされます。 Equifax ITは、できるだけ早くシステムにパッチを適用する必要がありましたが、パッチを適用していませんでした。一方、サーバーへのパッチの適用にはしばらく時間がかかりますが、それだけではありません。そのため、サービスの可用性をしばらくの間制限し、サーバーが更新されたら、サービスをゆっくりと徐々に増やすことができます。

さらに、Equifaxが適切なセグメンテーション、暗号化、または検出を備えていたとしたら（非常によく知られており、セキュリティを強化する必要がある3つのテクニックすべて）、侵害は半分悪かったでしょう。しかし、彼らはしませんでした。

私の要点は、攻撃者は、EquifaxやQuoraなどの大企業をハッキングするために新しいStuxnetを作成するために、連鎖された複雑なエクスプロイトを必要としないことです。 2か月前のRCEエクスプロイトで十分です。

私の側に少し憶測を加えるために、別の角度から「なぜ彼らはそれほど速く反応できるのか」という質問に答えます。これらの企業のほとんどは、これらのセキュリティホールについて知っていたと思います。また、ネットワークの脆弱性を知ることで、フォレンジックがはるかに簡単になります。

考えられるシナリオの順列の観点からこれを考慮してください。

a) compromised: compromise known. shut down.
b) compromised: compromise known. keep running.
c) compromised: compromise not known. shut down.
d) compromised: compromise not known. keep running.

e) not compromised: compromise not known. shut down.
f) not compromised: compromise not known. keep running.

感染していると判明したマシンをクリーニングしたら、他の場所で危険にさらされたりされなかったりする可能性がありますが、わからないため、「a」と「b」は適用されなくなります。

額面では、「c」と「e」はばかげています。自分が危険にさらされていることを知らなかったのに、なぜシャットダウンするのですか？否定的な結果を証明することはできません（つまり、妥協していないことを証明することはできません妥協することはできません。 vulnなどについて）。または、実際にnotが侵害される可能性があります！

しかし、あなたは本質的にこれを提案しています。 「ベクトルが何であるかがわかるまでシャットダウンする」というのは紙の上ではいいように聞こえますが、あなたが知ることのできる保証はありません。

DFIRで実行できるウサギの穴は無数にありますが、any調査の主な原則は、持っている証拠にのみ対処することです。

侵入検知とフォレンジック分析に優れたすさまじい脆弱性のある会社も含め、すべての会社が何かを見逃したのでしょうか？

え？

恐ろしい違反のある多くの企業はIDSが得意ではありません。これらのケースの多くでは、違反は発見されるまでに何ヶ月も存在していました。

さらに、セキュリティが実際に経営者のレーダーにある一方で、彼らがそれについて何をしているのかはまったく異なる話であることを示す多くの研究が存在します。したがって、企業が一般に堅牢なIDSまたはフォレンジック機能さえ持っているというこの前提がどこにあるかはわかりません（<-彼らはそうではありません。そのため、コンサルティング会社と契約する必要があります）。