サイバー犯罪者がフィードを出し抜くとき

ほとんどすべての調査には、ツールチェーンがツールチェーンであることをやめ、ブラウザタブの問題へと化す瞬間があります。

アラートから1つのIPアドレスを得たとします。EDRの検知、プロキシログ、ファイアウォールのイベント、奇妙な認証経路、あるいは導入以来眠り続けていた検知ルールから浮かび上がったものかもしれません。最初に浮かぶ問いはシンプルです。これは一体何なのか?

先週それが何だったか、ではありません。誰かがOSINTフィードでそれに何というラベルを付けたか、でもありません。

、それは何をしているのか——問うべきはそこです。

ここに、セキュリティオペレーションが奇妙なほど非体系的なまま残っている領域があります。私たちは自組織が保有するシステムのテレメトリには多額の投資をする一方で、自組織の管理下にないインターネット全体については、緩く、古びた、あるいは借り物の文脈情報で妥協してしまいがちです。

あるフィードはそのアドレスを悪性だと言い、別のフィードはクリーンだと言います。パッシブDNSツールには3か月前のドメイン記録があり、マルウェアサンドボックスには検体が1つだけ登録されています。スキャンサイトには開いているポートが表示されているものの、履歴情報は乏しいままです。誰かがVirusTotalを開き、別の誰かがShodanを開きます。誰かがDNSを確認し、誰かが証明書を確認します。誰かがスクリーンショットを探し、誰かが「これは今日の早い時間にCobalt Strikeを動かしていたのか」と尋ねます。

これ自体は決して悪いトレードクラフトではありません。真相が各所に散らばっている以上、優れたアナリストが取る行動としてはむしろ当然のものです。

問題は、インターネットの変化速度が、もはやそのやり方に追いつけないほど速くなっている点にあります。

攻撃者はインフラの登録、展開、プロキシ化、ローテーション、放棄を、大半のエンリッチメントパイプラインが説明を追いつかせられる速度をはるかに超えて実行できます。自動化によって規模拡大のコストは下がり、フロンティアモデルの登場で参入障壁も下がりました。オープンソースモデルもその差を急速に縮めています。結果として起きているのは、映画に出てくるようなサイバー黙示録ではありません。もっと地味で、運用上厄介な話です。すなわち、インフラの数が増え、その変化はより速くなり、「初めて観測された時点」から「実際の攻撃で使われる時点」までの猶予がどんどん短くなっているのです。

これにより、防御側が外部の脅威インテリジェンスに求めるべきものも変わってきます。

SOCは、公開インターネットの情報を又聞きの噂の寄せ集めとして扱わされるべきではありません。インシデントレスポンスは、3つの異なるツールにたまたま残っていた断片的な痕跡から履歴を再構築する羽目になるべきではありません。脅威ハンターは、生のインターネットデータと専門家がキュレーションしたアトリビューション情報のどちらか一方を選ばされるべきではありません。検知エンジニアは、インフラのパターンを検知ルールに落とし込むために、エンドポイントのテレメトリが届くのを待たされるべきではありません。

それに加えて、今や皆さんの手元にも独自のAIツールがあります。これらはインターネットのメタデータを軽々と処理し、見過ごされがちな脅威シグナルを見つけ出してくれます。

防御側に必要なのは、ホスト、サービス、ポート、プロトコル、証明書、DNS、ウェブサイト、スクリーンショット、ソフトウェア、脆弱性、ラベル、履歴、そして敵対的インフラのシグナルまで含む、インターネットインフラのライブマップです。SOCには、インターネットそのものに直接質問を投げかける手段が必要なのです。

  • そのIPアドレスは今朝本当にCobalt Strikeを動かしていたのか
  • この証明書は他に何と共有されていたのか
  • このドメインは一夜のうちにインフラを移動したのか
  • このホストはアラートが鳴る前にリスクの高いサービスを外部に晒していたのか
  • これは一過性の単発の痕跡なのか、それとも追跡可能なパターンの一部なのか

こうした問いはトリアージの場面にとどまらず重要な意味を持ちます。インシデントレスポンスでは、時間の経過と履歴情報が被害範囲を左右します。脅威ハンティングでは、インフラの使い回しに気づくことで、攻撃者の活動が自組織の環境に到達する前にそれを暴けることがあります。検知エンジニアリングでも重要で、優れた検知ルールの多くは、エンドポイントがペイロードを目にするより前の、上流の段階から始まります。そしてエクスポージャー管理においても重要です。自組織が公開しているインターネット向け資産は、それを狙う敵対的インフラと同じ全体像の一部として捉えるべきものだからです。

提供形態も重要な要素です。あるチームはCensysのウェブアプリ上でアナリストに作業させたいと考えるでしょう。あるチームはSIEMでのエンリッチメントを望みます(Censysには無制限に照会できるAPIがあります)。カスタムフィードのように機能するコレクションを求めるチームもあれば、自組織のシステムやAIワークフローが自動的に同じ問いを投げかけられるよう、SDK、データダウンロード、Webhook、インテグレーション、あるいはMCPを求めるチームもあります。

柔軟性は、パッケージングの煩雑さと引き換えにされるべきではありません。まさにその柔軟性こそが、外部の文脈情報を単なる「調べる習慣」から脱却させ、セキュリティオペレーティングシステムの一部へと変えていく鍵なのです。

もちろん、これまで通り50個のタブを開いて調査することもできます。優れたアナリストはこれからもそうし続けるでしょう。

しかし、ログに記録されたインフラが今朝の時点で危険だったかどうかを判断するとき、その答えがどのタブがたまたま当たりを引いたかに左右されるようであってはならないのです。

翻訳元: https://www.cybersecuritydive.com/spons/when-cybercriminals-outrun-the-feed/824053/

ソース: cybersecuritydive.com