ブログ(製品・サービス関連)

Mandiant Advantageへの”興味深い=Intrigu-ing”アップデート

本日、Mandiantは、Mandiant Advantage SaaSプラットフォームの能力をさらに強化するための重要なステップとして、Attack Surface Management (ASM)分野のリーダーであるIntrigueを買収したことを発表しました。この買収により、Intrigue社の創設者でありCEOでもあるJonathan CranをはじめとするIntrigueチームがMandiantファミリーに加わることになります。業界におけるビジョナリーであり、また起業家としても知られるJonathanをMandiantチームに迎え、Mandiant Advantageの能力を継続して強化・構築していくことができることを非常に嬉しく思います。

ASMは急速に台頭しており、インターネットに面した攻撃対象となるIT資産とその公開状況の可視性を提供する点においてその価値に注目が集まっています。これは、IT資産の発見、脆弱性管理、および脅威情報の間のギャップを埋めるものです。優れたASMテクノロジーは、オープン/オンプレ/クラウドを含む多くのデータソースとの統合によってインテリジェンスをセキュリティ運用に生かし、最終的には、閲覧可能状態にある情報と重要なIT資産とを結びつけて、可能な限り迅速に修正します。

私たちがASMテクノロジーについて検討した際、大いに目をひいたのがIntrigue社でした。この数年間、Intrigue社のチームは政府機関や多くの大企業と密接に連携し、目覚ましい成長を遂げてきました。プラットフォームは、柔軟性とディープドメインモデル、およびインテリジェンスを迅速に運用に生かせるようにする能力を実証しており、これはまさにMandiant Advantageのお客様が必要とするものと一致します。

成長著しい新しいテクノロジー分野であることに加え、大規模なサプライチェーン侵害はもちろん、Accellion、SolarWinds、Microsoft Exchangeなど、ソフトウェアに対する大規模な攻撃が活発化している昨今の状況を受けて、私たちはMandiant Advantageのお客様にIntrigueの能力を活用していただけるようにしたいと考えました。今回の買収によってIntrigueチームとプラットフォームがMandiantの価値と組み合わさり、それによって重要なインテリジェンスをより迅速にセキュリティチーム全体に提供し、セキュリティ運用における活動全般に生かせるようにする、という目標に近づくことができます

Mandiant AdvantageにおけるAttack Surface Management

今後数ヶ月間に渡り、IntrigueプラットフォームのMandiant Advantageへの統合を行います。これによってお客様に、Mandiant Advantageのお客様に対して、より豊富な機能をモジュールとして組み合わせてご活用いただけるようにしていきます。

Intrigue統合のハイライト:

  • 把握しているIT資産と把握していないIT資産の両方に対する可視性を提供: 把握していない問題は、解決することはできません。Intrigueの未知のIT資産発見へのアプローチは他とは一線を画すものです。多くの異なるソースを統合し、お客様の資産発見を継続的な調査プロセスとして扱うことによって、未知のIT資産を発見し、分類し、管理します。これは、将来的に必要となるサイバーセキュリティの価値の基礎になるものです。
  • 公開情報に対するインサイトの提供:IT資産の可視性を提供するだけでは十分ではありません。IT資産それぞれの重要性や脆弱性についての情報がなければ、必要なアクションのプライオリティ付けを行うことは不可能です。重大な脆弱性をテストするためのアクティブかつ直接的な対話を通じて、私たちは公開情報への意識を高めることができます。また、演習が必要な場合には、自信を持ってアラームを鳴らすことができます。
  • 脅威とインテリジェンス主導の脆弱性把握: おそらく最も重要なのは、最新のインテリジェンスが迅速に適用され、各企業・組織の攻撃対象領域 (=Attack Surface)に応じて活用できるようになっていなければ、セキュリティ上問題となり得る公開情報を把握する上でその効果を有効に発揮することはできないということです。これは実際の攻撃の最前線において検知されたものが、できる限り即座にすべてのお客様に適用されることを意味するもっとも重要で価値のある機能であり、最終的にインシデントの発生を減らし、深刻さを軽減することにつながります。

“Better Together” ― Mandiant Advantage SaaSプラットフォーム

2020年10月にリリースされたたMandiant Advantageは、インシデント・レスポンスの最前線で培った専門知識とインテリジェンスを、テクノロジーを介してスケーラブルに提供しています。Advantageは、Mandiantの各種テクノロジー群を集約したSaaSインターフェースで、この度の買収でAdvantageが提供するモジュール ― Threat IntelligenceAutomated DefenseSecurity Validation ―に新たにASMモジュールを組み込むことになりました。

ASMは、Mandiant Advantageプラットフォームへの重要な追加機能であり、企業・組織のセキュリティ対策チームがサイバー攻撃の影響を把握し、リスクに基づくアクションのプライオリティ付けを行うことを支援するものです。Mandiant Advantageの提供する各モジュールがどのように動作し、相互に連携して機能するかを簡単に見てみましょう。

Threat Intelligenceサイバー攻撃の最前線から得られる脅威インテリジェンスで、攻撃者が “今、まさに” どのような戦術や技術を活用しているかを知ることができます。例えば、攻撃者はXの脆弱性を利用しており、私たちは Yの戦術が使用されていることを観測している。特定のIoCとターゲットにされているテクノロジースタックを特定している、といった情報です。さらに、ASMとThreat Intelligenceを組み合わせることによって、最も関連性のある最新のインテリジェンスをセキュリティ運用に組み入れ、コンテキストを読み取り、プライオリティ付けを行うことができるようになります。

Security Validation導入されているセキュリティ対策の有効性を測定し、セキュリティチームが、予算とリソースの両方の観点から、セキュリティ対策全般の最適化と合理化、およびプライオリティ付けを可能にします。Security Validation(セキュリティ有効性検証)プログラムにインテリジェンスを統合すれば、攻撃者が活発に使用している最新のTTPに対して導入しているセキュリティ対策が機能しているかどうかをテストすることができるようになります。さらにASMとセキュリティ検証を組み合わせれば、導入しているセキュリティ対策が、自身の外部攻撃対象領域(Attack Surface)への攻撃を効果的に阻止または検知しているかどうかを検証することができます。

Automated Defense Mandiantの持つ専門知識とインテリジェンスを機械学習と組み合わせて、SOCにおけるイベント/アラート相関とトリアージの効率化を支援します。これは、機械仕掛けのMandiantアナリストを、お客様組織のセキュリティプログラムに組み入れたようなものです。マルチベンダーのセキュリティ対策ツールから取り込まれる数十億ものイベントおよびアラートを分析して真陽性、または侵害を見つけだし、これによってアナリストがこの作業に費やす時間を大幅に節約することができます。さらに、ASMとAutomated Defenseを組み合わせることによって、Automated Defenseに追加のコンテキストが提供され、その結果アラートの関連性がさらに向上し、必要なアクションを取ることができるようになります。

Attack Surface Management: ASMは、オンプレミス、クラウド、およびSaaSアプリケーション環境に渡り、数千もの異なるIT資産アセットおよび公開情報を把握するための、継続的でスケーラブルなアプローチを提供します。IT資産を把握するだけでなく、使用されている技術の特定や、脆弱性の確認(単なる推測ではなく)することも可能となります。Mandiant AdvantageスイートをASMと統合することによって、攻撃対象領域に関する情報がプライオリティ付けされ、検証され、サイバー攻撃からの防御にあたる担当者は効率的かつ効果的に不適切な外部公開情報を削減することができます。

攻撃ケーススタディ:

今日の大規模な侵害はの多くは、しばしば予測可能なパターンで展開します。金銭的な利益のために知的財産の窃取を図る攻撃グループを例に見てみましょう。

###
ある攻撃グループは、クラウド化が進む状況下で、多くの企業・組織に広く導入されている技術ソリューションの脆弱性を認識したと仮定してみます。ここでは、このソリューションを仮にACME-Techと呼びましょう。攻撃者は、ACME-Techの技術を分析し、既知の脆弱性を利用して、ACME−Techを実行しているホストシステムへのリモートアクセスを取得します。攻撃者は、より高いリターンを得られそうだと考えられる世界中の企業・組織をターゲットと見定めて攻撃を開始します。攻撃の大部分は検知されず、攻撃者は複数の組織への侵入を、より深く進めます。

攻撃されたある組織は、遠隔ホストに大量の暗号化されたペイロードが転送されていることで、何らかの疑わしい活動に気付きました。最悪の事態を恐れた結果、Mandiantに調査を求めました。調査の結果、Mandiantのコンサルタントは侵害を発見し、初期感染ベクター(経路)の調査を開始します。

調査が進むにつれ、重要な早期警報情報は除去され、Mandiant Advanced Practicesチームと共有されます。Mandiantチームは、この侵害事案が個別単体のものではなく、はるかに多い侵害とつながっている可能性があることを発見しました。その結果、UNC(未分類の脅威グループ)プロファイルが作成され、TTP、脆弱性、公開されているIoCがMandiant Intel Gridに引き渡されます。

Mandiant Intel Gridは、Threat Intelligenceモジュールを介してその情報をお客様に提供すると同時に、Automated DefenseSecurity Validation、ASMを更新します。具体的には以下のとおり。

  • Automated Defenseモデルが、既知の攻撃パターンに基づいて検知を行い、調査を生成するように更新される
  • Validationテストは、攻撃者のふるまいを含むように更新され、それによって導入済みのセキュリティ対策が有効に機能しているかの検証を可能にする
  • ASMが脆弱性および技術チェックの情報を取得し、お客様がACME−Techのあらゆるインスタンスに対する危険性およびIoCをレビューする必要性を把握できるようになる。ASMは、既に知られているホストと通信して、脆弱性が存在しているか、またエクスプロイトが仕掛けられる状態にあるかどうかを検証できるようになる

この時点で、Security Validationのテストが実行され、ACME−Techを悪用するエクスプロイトが成功するかどうかの検証が行われます。セキュリティチームは、「ACME-Tech攻撃は、セキュリティ対策ツールによって適切に検知して防御されたのか、または見逃されるのか」という質問に答えることができるようになります。

こうして得られた知見を踏まえ、この組織ではリスクを軽減するためのステップを決定し、本格的なインシデントレスポンスを行う必要があるかどうかを決定することができるようになりました。お客様はその後、Automated Defenseを用いて今後起こり得る攻撃を監視していますが、一方で導入しているセキュリティ対策ツールがそのような攻撃の試みを検知できるかを継続的に検証し、またその環境において脆弱な技術インスタンスが存在していることを把握することができています。

###

どうやら、侵害対応に追われる週末になる悲劇からは解放されたようです。
それを実現するのが Mandiant Advantageなのです。

関連情報:

 
 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:August 10, 2021 「An Intriguing Update to Mandiant Advantage