検知を回避しようとするマルウェアの特定を急ぐために
防御型のセキュリティ「Blue Team」
続いてDavies氏は、防御側のBlue Teamについて説明。Davies氏は、SIEM製品の管理画面を示し、これは防御における始まりの一歩に過ぎないとした。 デロイトでは、制御システムへのハッキングを念頭とした鉄道モデルとして、ハッキングによってレールの分岐器を不正操作し、列車同士を衝突させるというデモを行う。こうした攻撃も、SIEM製品を使えば、攻撃をステップごとに視覚化することができる。防御においては、いかに攻撃の流れを視覚化し、サイバーキルチェーンをはっきりさせるかがポイントになるという。
組織ではもはやSOCは必須だ。さらに次のレベルとしてDavies氏は「脅威ハンティング」を重要視する。脅威ハンティングとは、文字通りに脅威を捕らえることだ。たとえアラートが上がっていなくても、すでに攻撃が仕掛けられている可能性もある。例えば銀行を狙う攻撃が多くなったときに、自社ではアラートは上がってないが、単に攻撃を視覚化する機能がないだけかも知れない。そこで平時のパターンを可視化しておき、普段と違うパターンを攻撃の兆候として検知できるようにする。
さらに最近では、組織内に侵入したマルウェアがC&Cサーバと通信を行う際に、常時接続をしなくなった。これにより検知を回避しようとしているわけだが、異常検知に数学的な手法「線形回帰」を取り込むことで検知が可能だ。通信を監視していると、すべての接続はランダムなドットになる。そこに線形回帰の手法を加えると中間値が得られる。これによって攻撃をより簡単に特定できるわけだ。
Blue Teamには、高度な訓練と幅広いスキルが求められる。いろいろな訓練を受けて、多くのスキルを身につけて成熟していなければならない。
