サイバー・セキュリティの指標:IOC と IOA の違いと活用方法

IOCs vs. IOAs — How to Effectively Leverage Indicators

2022/03/16 SecurityIntelligence — サイバーセキュリティ・チームは、サイバー・セキュリティ攻撃/敵対的行動/高度持続的脅威 (APT)、そして、恐ろしいゼロデイ脆弱性の特定を任務としている。この取り組みを通じて、サイバーセキュリティ担当者と運用チームは、効果的な監視/検出/対応の戦略において Indicators of Compromise (IOC) と Indicators of Attack (IOA) を適切に活用することに、同じ苦労を抱えている。

経験の浅いセキュリティのチームやリーダーは、次の侵入の試みを阻止するために、量より質を優先するキャッチオール・アプローチを確立しがちである。残念ながら、このような戦略では、運用上の優位性を確保することは難しく、運用の準備に大きな支障をきたす。

そのための指標について理解し、その意図についても理解することが重要である。つまり、自身の環境で、指標を適切に活用できれば、優れたセキュリティ対策を推進し、アナリストたちから障害を取り除き、能力を発揮させることが可能になる。

この記事では、侵害の指標 Indicators of Compromise (IOC) と、攻撃の指標 Indicators of Attack (IOA) について、そして、組織をサポートするために、それらの指標を組み合わせて活用する方法について、いくつかの重要な側面にフォーカスしていく。

IOC の現在の役割と落とし穴

何十万もの Indicators of Compromise (IOC) が存在すると、何ゆえに準備の妨げになるのか、と思うかもしれない。アナリストの役割は、ノイズをふるいにかけ、敵対的な行動を特定することだが、IOC は point-in-time アーティファクトである。IOC は、ネットワークのいたるところで、常に変化し再出現する。また、それらのアーティファクトが、インジケーターと最初に結び付けられたイベントに対応することは稀である。

通常、IOC はフィードを通じて提供されるが、文脈情報/指標年齢/ソースデータなどが欠落していることがあり、また、標準化されていない。そのため、しばしば混乱を引き起こし、潜在的な脅威の理解を妨げる不明瞭な表現となり得る。不明瞭なインジケータは、大量の偽陽性アラートによるアナリストの疲労を生み出し、また、さまざまなセキュリティ・ツールにまたがる大量のデータ照合による、システム・リソースの問題などを引き起こす可能性がある。

IOC は、進行中の事象について、アナリストに出発点を提供する素晴らしいリソースとなり得る。さらに、攻撃の指標と一致するルール・セットと検出機能を実装することで、その運用を大幅に強化できる。1つの指標だけでなく、複数の指標を活用することで誤検出の数を減らし、文脈の明確化により強力な分析を実施できる。

危険な状態および攻撃の指標を、効果的に活用する方法を理解するためには、この分野で一般的に参照されている、2つの主要なカテゴリの違いを理解することが最善である。

侵害の指標:Indicators of Compromise (IOC) は、IP アドレス/ドメイン/URL/ハッシュ/電子メールアドレス/ファイル名などに関連する、システムおよびネットワークのアーティファクトで構成されている。これらの指標は、敵対的な活動に対する point-in-time 参照であり、常に変化していく。重要なことは、個別の組織に影響をおよぼす標的型攻撃では、大半のケースにおいて、ほとんど異なるものになる点である。重要な指標だけではなく、複数のキャンペーンで観察された兆候などに注目することで、潜在的な敵対行為に焦点を当てることが可能となる。

攻撃の指標:Indicators of Attack (IOA) は、敵対者が標的を侵害するために活用する TTP (Tactics/Techniques/Procedures) で構成され、最終的には敵対者の確信的な意図により定義される。悪意のある行為者が、認識した目標に到達するために達成すべき一連のステップを想像してほしい。この例としては、コードの実行/永続化の仕組み/Command & Control (C2) の確立、防御回避のテクニックなどがある。攻撃の兆候は、完全な侵害や侵入が行われる前に、防御側が脅威の活動を特定するチャンスを提供する。

IOA のメリット:リアルタイムのコンテキスト

IOC が静的なアーティファクトであるのに対して、IOA は悪意の活動をリアルタイムに検知するものである。たとえば、ゼロデイ・エクスプロイトを使用して、内部システムに不正アクセスし、データを流出させることなどが挙げられる。ゼロデイに既知の侵入の痕跡が存在しないのは、そのような危険な状態が、一度も観測されていないからである。

しかし、IOA を使用するセキュリティ専門家は、敵の意図を探ることができる。IOA を利用するアナリストがリアルタイムで確認できるものとしては、環境への初期アクセス/機密システムへの横移動/未知の外部システムへのネットワーク接続/組織の境界外への大量データの流出などを示す、悪意の活動の可能性である。

このような一連のイベントを観察することで、アナリストはキルチェーンを通じて、最初のアクセス・ポイント/アクセス方法に関係なく、敵対的な行動を迅速に特定できる。さらに、敵の行動を予測することで、その目的が達成される前に、防御側としての検知/対応の機会を増やすことが可能となる。つまり、対応する防御側に対して、貴重な時間を提供することになる。

IOC と IOA の、より良い協力関係

Indicator of Compromiseは、セキュリティ・イベントの最初のトリアージにおいて、特にデータが少ない新興の脅威の場合、防御者に大きな利益をもたらす有用なデータ・ポイントだ。これらの指標を相関ルールセットと組み合わせて、重要度の評価や初期調査のポイントとして利用すれば、アナリストが最初の判断を下すまでの時間を短縮することができる。さらに、SIEM のアラート機能を既知の攻撃指標と連携させることで、この機能を強化することができる。

アラートが指揮統制活動を検出するための IOA に一致し、かつ既知の侵害の指標に一致する場合、サイバー防御側に対してより重大なアラートが発せられるはずだ。これにより、より忠実なアラートと、より良い分析を行うための追加的なコンテキスト・ポイントが提供される。

敵対者が何をしそうかを調べ、敵対者が行ったことと比較することによって、サイバー防衛者は潜在的なセキュリティイベントを積極的に監視し、敵対者の既知のデータポイントでこれらのアラートを充実させることができる。このような取り組みは、脅威を特定し、環境内の潜在的なセキュリティギャップを解消するために、未知の活動や異常値を特定するための脅威ハンティングなどのプロアクティブな演習を行う機会も提供する。

インジケーターの実用化

IOA と IOC は、検知と対応のプロセスを通じて、きわめて高い価値を提供する。アナリストたちが、たとえば Command & Control (C2) インフラに関連する IOA を観察した場合、このアラートに関連する潜在的な侵害の、指標を特定するための分析を開始できる。

このような分析には、IP アドレス/ドメイン/URL/ハッシュなどが含まれる可能性がある。これらの侵害の指標について、オープンソースの研究と比較することで、さらに精度を高め、ユーザーが直面している潜在的な脅威や、侵入活動に一致する追加の指標などを、より適切に理解できるようになる。

これらの追加の指標を用いて、検査の範囲を環境全体に拡大し、悪意のアクティビティが存在しないことを確認できる。これらの IOC を調べることで、重要な指標との一致の有無や、複数のキャンペーンの指標との一致の有無を判断し、リアルタイムでの検知を促進するためのシグネチャを作成できるようになる。脅威が特定されたら、検知と対応能力の継続した成熟を実現するために、また、新たな IOA の特定について判断するために、教訓を得るための活動を実施することが重要となる。

何から始めるか?

組織を標的にすると思われる脅威について、IOA を特定する最も効果的な方法は、脅威インテリジェンス・プログラムを導入/活用することだ。確立されたインテリジェンス・プログラムは、サイバー防衛担当者が、自社にとって最も関連する脅威を特定し、優先順位を付け、インテリジェンス主導の戦略を推進する上で役立つ。このようなプログラムを通じて開発されたインテリジェンスがあれば、活用すべきフィード、現在と将来における脅威、敵対的な目標のために採用される TTP について、より良い情報をサイバー防衛担当者に提供することができる。このような情報の集大成は、ビジネス上の意思決定支援をさらに推進できる。

このところ、Indicators of Compromise (IOC) に触れる記事をよく見かけますが、Indicators of Attack (IOA) は初めてではないかと思います。 文中にもあるように、IOC の不明瞭なインジケータは、大量の偽陽性アラートによるアナリストの疲労を生み出すようです。このところ、Microsoft Defender の誤検知がメディアを賑わしていますが、これも IOC の成熟度に関する問題なのかもしれません。もちろん、良い仕事もしてくれているので、頑張って欲しいところです。よろしければ、Microsoft Defender で検索も、ご利用ください。

%d bloggers like this: