2021年末より、マルウェア「Emotet」の被害が急増しています。Emotetに感染した端末は、他のマルウェアに感染させられ、最終的にはランサムウェアを社内に拡散することに悪用される例もあります。
攻撃者にとってこうしたサイバー攻撃により内部活動で得られる情報には非常に価値があるため、近年、侵入したネットワークへの遠隔操作の権利やアクセス権を取得後、他のサイバー犯罪者に販売、レンタルするといったビジネスへと広がっており、被害も拡大してきております。
COVID-19をきっかけに、テレワークやクラウドサービスの利用が急速に進みました。さまざまな端末がリモートから社内ネットワークに接続し、データはクラウドに分散しています。その結果、侵入経路は多様化し、攻撃者は様々な脆弱性を狙って活発に活動しています。企業はサイバー攻撃を完璧に防ぐことが難しい状況となっています。
Emotetの感染増加
活動再開したEmotetは、2020年ピーク時の5倍
トレンドマイクロ製品による主な最新型ランサムウェアファミリーの検出台数推移(全世界)
出典:トレンドマイクロ2021年年間セキュリティラウンドアップより
ランサムウェアの増加
2021年にランサムウェア被害が公表・報道された法人組織だけでも53件
脅威の侵入を前提とした場合、万が一のリスクに対して、攻撃を可視化し迅速に対処につなげるソリューションがEDR(Endpoint Detection and Response)です。エンドポイントにおける日々の動作記録を、安全、危険にかかわらずドライブレコーダーのようにとっておき、脅威の兆候があったときに動作記録を見直すことができます。侵入経路や感染拡大の流れを可視化し、被害拡大を抑え、根本原因を把握することに大きく貢献します。
2022年4月1日より、改正個人情報保護法が施行されました。個人の権利保護が強化されると同時に、事業者の責務が追加され、情報漏洩した場合は、個人情報保護委員会に報告、本人への通知が義務化されました。報告にあたり早急な被害・原因の把握が必須となります。EDRによる可視化はこれらの被害・原因の把握において有効なソリューションとなります。
素早く原因を特定するためには、攻撃の追跡や原因の追究が可視化できる EDR (Endpoint Detection and Response)や 、さらに幅広い対処ができるXDR (Extended Detection and Response) のようなシステムの導入が有効です。
EDRソリューションは大きな注目を集めていますが、エンドポイントしか可視化することができません。実際の攻撃者はネットワーク、クラウド、メールなども悪用するため、素早く攻撃者を察知するにはそれらの可視化も必要です。また、各エンドポイントから上がってくるアラートは日々増加しており、重要なアラートを選別したり、攻撃の全体像を把握することは困難です。
メール、エンドポイント、サーバー、クラウドワークロード、ネットワークなどのさまざまなレイヤーで豊富な活動データを収集して関連付けを行うのが、 Trend Micro XDRです。より多くのコンテキストを得ることによって、単体では無害に見えるイベントの中から重要な意味を持つ痕跡を見つけ出し、攻撃の全体像を可視化、迅速に把握することができます。それにより的確なインシデント対応を可能にします。
トレンドマイクロは、MITRE ATT&CK評価テスト ATP29の疑似攻撃によるテスト※1において、検知率91%で1位の結果となりました。また、検知率に対してのノイズアラートも少ないという評価を得ました。
※1
出典: https://attackevals.mitre-engenuity.org/enterprise/participants/trendmicro?adversary=apt29&scenario=1&view=results
製品の初期設定時(設定変更なし)の評価テストで、ベンダー21社中検出率1位
トレンドマイクロが、MITRE社のMITRE ATT&CK評価テストの結果をもとに独自に検知率を算出。
※2
ステップ19のみ全ベンダスキップ
XDRは、高度に自動化された脅威の検知、分析機能により、サイバー攻撃を可視化します。機械学習やトレンドマイクロの専門家チームによるセキュリティ分析や検知ルールを通じてノイズレベルを削減し、真に対応が必要なアラートを抽出します。
また、EPP※1と連携して、端末の隔離やマルウェアのリモート取得、禁止リストへの追加等、素早い対応が可能となります。
※1
EPP(Endpoint Protection Platform):感染前に検知・ブロックを行う事前予防の技術です。
またトレンドマイクロのEPP製品は次世代AV (NGAV) 機能も搭載されており、未知の脅威検出も可能です
XDRで脅威を検出する検出モデルを選択すると収集されたデータから自動で適切にアラートが発報され、Workbench(調査アプリケーション)に情報が送られます。
検出モデル
有効化する検出モデル(Detection Model)を選択することができます。
リスクレベルが表示されているので優先順位をつけることができ、有効化した検出モデルに沿って、収集したアクティビティデータを相関分析して脅威を検出します。
※クリックで拡大
検出・アラート発報された脅威イベントは、自動で調査用アプリへ送信されていますのでWorkbenchアプリを使用し、イベントを可視化・内容の確認・調査を行います。
Workbench
検出モデルによって脅威イベントの関連性を可視化します。
関与しているユーザー、ホスト、不審なスクリプトの関係を可視化できます。
例えばアラートを開くと、アラートに関連するアセットが表示されます。
ウェブサイトやユーザー、メールボックス ワークステーション、サーバー、コンテナ、コマンドラインの利用などです。
※クリックで拡大
実行プロファイル
特定端末内のプロセスツリーを表示します。こちらではホスト内でどのようなプロセスで不審なプロセスが実行されたのかを可視化し、問題のエンドポイントやフラグがたてられたアクション、実行中のログに記録されたファイルやプロセス、ネットワーク接続などの詳細情報を確認できます。
不審なプロセスやファイルはハイライトされ一目でわかります。プロセスをクリックすると更なる詳細情報が表示され、実行したユーザーやコマンドラインがわかるようになっています。
※クリックで拡大
調査内容に従い対処(端末隔離やマルウェア疑いファイルのリモート取得、禁止リストへの追加)等EPP(Apex One)との連携により素早い対応が可能となります。
Response Management
実行したレスポンス(対処)機能のステータスを表示します。
実行されたResponseタスクのステータスや対象ワークベンチ、実行ユーザー、実行日時などの各種情報を一元的に管理します。
※クリックで拡大
日々の運用では、2の調査と3の対処を繰り返して回していきます。
サイバー攻撃の増加に伴い、セキュリティスタッフの対応時間も日々増加しています。これまでのセキュリティソリューションでは、データの収集や分析がサイロ化しているため、脅威の検知に時間がかかりすぎ、十分に対応できていませんでした。
XDRを導入することで、エンドポイント、ネットワーク、メール、クラウドからのデータについて相関分析を行い、検知と対応を自動化することで、対応時間を大幅に短縮することができます。
EDRによる検知は確認や分析が必要になるため、既知の脅威などすべてをEDRで対応すると運用負荷が高くなります。EPPと併用することでEDRが処理するべき情報を減らし、誤検知を減らすことができます。
インシデントの終息には、EPPによる最終確認が必要であり、実績があり信頼できるEPPを使うことが重要です。終息の確認には、既知の脅威の検査が得意なパターンマッチングが適しています。
|
影響範囲の
可視化 |
|
|---|---|
|
根本原因調査
(Root Cause Analysis) |
|
|
対処
|
|
|
インシデントの
終息 |
|
 |
|
現在Trend Micro XDRをご利用いただけるトレンドマイクロの主な製品です。
各レイヤーのセキュリティ製品がセンサーとして機能いたします。
詳細はお問い合わせください。
| エンドポイント | Apex One、Apex One SaaS、Apex One SaaS with XDR |
|---|---|
| サーバー | Cloud One Workload Security |
| Cloud App Security | |
| ネットワーク | Deep Discovery Inspector |
2022/7/1現在
こちらより、 Trend Micro XDRについて、まとめた資料がダウンロードいただけます。
Trend Micro のEDR/XDRに関するお問い合わせは、ネットワールドの担当営業までお問い合わせください。
トレンドマイクロのパートナー様向けサイト「トレンドマイクロパートナーポータル」では、製品に関する詳細な資料や技術的なお問い合わせが可能です。是非こちらもご利用ください。
※ご利用には、ご登録が必要になります。
