侵害調査とは
侵害調査とは、熟練したチームが高度なツールを使用して環境をより詳しく調査し、管理体制や慣行における既存の弱点を特定するだけでなく、発生中または過去の攻撃者のアクティビティを特定する高度な調査です。包括的な侵害調査の目的は、「組織が侵害されたか」という重大な問いへの答えを得ることです。
一部の業界では、規制基準で侵害調査の実施が義務付けられていますが、Cybersecurity & Infrastructure Security Agency (CISA) では、ベストプラクティスとしてすべての組織に侵害調査の実施を推奨しています。
侵害調査を行うメリット
サイバーセキュリティ技術が進歩し、セキュリティ予算が増えているにもかかわらず、平均滞留時間は長年ほとんど変わっていません。滞留時間とは、攻撃者がネットワークに侵入してから追放されるまでの時間です。脅威アクターがネットワーク内で検知されずに活動できる時間が長いほど、最も価値のあるアセットにアクセスするルートを見つけ、防御をすり抜けてバックドアを設置し、データを盗み出す方法を見出す時間が増えるため、滞留時間を短縮することが重要です。持続的標的型攻撃(APT攻撃)は損害とコストを伴いますが、侵害調査によって明らかにできる可能性があります。
侵害調査を詳細に幅広く行うことにより、組織は脅威アクターが存在するかどうか、または侵害されているかどうかを判断できます。包括的な分析から導き出されたこうした判断は、攻撃者が金融アセット、顧客データ、または知的財産を盗むセキュリティリスクの軽減につながります。
セキュリティポスチャは、ギャップを残したり、組織をより大きなリスクにさらしたりする可能性のある設定エラーやポリシーの競合など、効果のないセキュリティ慣行をプロアクティブに特定することで改善されます。侵害調査でこのような弱点を明らかにし、修正する道筋を立てることで、組織は「組織が侵害されたか」という問いへの答えを得ることができます。また、将来の予算とリソースに関して判断する指針となる、今後の改善のための示唆にもなります。侵害調査を義務付けた規制がある場合もありますが、組織がそうした特定の基準の対象にならない場合でも、侵害調査の証明は監査人にとって重要な意味を持ちます。
侵害調査の手順
ステップ1:評価
侵害調査は、フォレンジックデータの収集から開始し、エンドポイント、ネットワークトラフィック、ログで潜在的な侵害の兆候を探します。
ステップ2:分析
侵害調査チームは、収集したデータから攻撃があったかどうかを判断できます。攻撃があった場合、侵害の疑いが検証され、チームは、攻撃の背後にいる相手、組織を標的にしている理由、攻撃の目的、攻撃の手口について分析します。この知識を活用することで、攻撃者が取る次の手段を予測し、ブロックすることができます。
ステップ3:支援
アナリストは、侵害調査の結果をさらに活用して、検出された脅威に対応し、修復することができます。
ステップ4:助言
侵害調査は、組織が社内の対応能力と全体的なセキュリティポスチャの改善方法を理解して、将来のインシデントを防止または対処できるようになった時点で完了します。
侵害調査と脅威ハンティングの違い
脅威ハンティングとは、インフラストラクチャ内にすでに潜んでいるサイバー脅威をプロアクティブに探すことをいいます。脅威ハンターは、新しい脅威に関して収集した情報に基づいて仮説を立て、それを攻撃者の手口に関する知識と組み合わせます。また、脅威インテリジェンスを使用して、攻撃者の潜在的な活動と進行中の活動を明らかにし、高度な分析を行って、セキュリティシステムによりキャプチャされた膨大な量の情報の中から不審な振る舞いを検知します。脅威ハンティングは継続的なプロセスです。
一方、侵害調査は定期的(多くの場合、四半期ごとまたは月ごと)に実施されることが通常で、特定の時点の分析が行われます。規制要件を満たすために実施されることもあります。侵害調査の範囲は脅威ハンティングよりも大幅に広く、侵害調査では、侵害の痕跡 (IOC) や攻撃の痕跡 (IOA) だけでなく、侵害や攻撃が発生した理由、次以降の手順はどのような順序で行われるのか、組織全体のセキュリティポスチャを改善するためにどのようなアクションを取ることができるかも調べます。
チームが定期的に侵害調査を実施できるようにするCrowdStrikes Falcon Forensics
CrowdStrike Falcon Forensicsは、特定の時点および過去のフォレンジックトリアージデータの収集を自動化し、チームが効果的で効率的な侵害調査を定期的に行えるようにします。Falcon Forensicsは、大量の履歴データとリアルタイムデータを分析する単一のソリューションとして、他のツールやデータ取り込み手段を必要とすることなく、アナリストのワークフローを簡素化します。クイックウィンダッシュボードなどのカスタマイズ可能なプリセットダッシュボードは、CrowdStrike Servicesチームと協力して開発され、最高のSN比を実現しています。
Falcon Forensicsは、数万から数十万のエンドポイントから収集して、チームが大規模に迅速に展開できるようにします。非永続的な実行可能ファイルは、システムから削除される前に収集を実行するため、アナリストはシステム上で別のエージェントを維持および管理する必要がなく、複雑さがさらに軽減されます。
業界で最も包括的な調査を希望する組織向けに、CrowdStrike® Servicesは、最も高度な攻撃者による侵入に対応してきたサービスチームの長年の経験を活かして侵害調査を行います。強力なCrowdStrike Falcon®プラットフォーム、業界をリードするサイバー脅威インテリジェンス、24時間365日体制の脅威ハンティングを組み合わせることで、組織は「組織が侵害されたか」という重大な問いへの答えを得ることができます。