Microsoft Active Directory(AD)は、悪意のあるアクターにとって標的に富む環境です。ADは広く使用されており、Microsoft Windows環境とMicrosoft Windows Server環境の多くのバージョンと後方互換性があるため、攻撃者による攻撃目標になる場面が多くなっています。ADの複雑さから、陥りやすい誤りや予期せぬ結果につながる可能性が多数存在しています。このような環境の適切な保護には困難が伴います。

Microsoft Active Directoryは、設定上の固有な問題を抱えているほか、認証の管理に使用するNTLMとKerberos、データ共有やシステム管理などのアプリケーションレベルのタスクに使用するSMBv3LDAPMS-RPC、WINRMなどのさまざまなアプリケーション・プロトコルを多用しています。ADは多彩な機能を持つこれらのプロトコルに大きく依存しているため、セキュリティの回避を目指す悪意のあるアクターにとって特に有用となっています。この手法は一般的に_環境寄生型_と呼ばれています。これは、ネイティブなツール、アプリケーション、およびプロトコルを利用して、セキュリティ上のコントロールや検知を回避する手口です。

従来の検知技法では不十分な理由

何十年にもわたり、平文プロトコルでの攻撃検知が従来のセキュリティ手法の中心でした。しかし、これらの検知技法は、その基礎となっている前提に内在する多様な制限に苦慮してきました。特に検知回避手段として暗号化が組み合わされるようになると、このような制限によって防御側が不利な状況に置かれるようになっています。

ファイアウォールやプロキシ・デバイスといった従来のセキュリティ・テクノロジは、ゲートウェイ・デバイスを通過するトラフィックを評価するように設計されていることから、横方向に移動するネットワーク・トラフィックを評価できません。また、これらのテクノロジは、復号をツールのコア機能ではなくアドオンとしてきたことから、機能上のさまざまな制限を受けています。その例として、スループットと毎秒パケット処理数の低下、限られたトラフィック分析機能、悪用される機会が多いプロトコル(MS-RPC、SMBv3、LDAP、WINRMなど)に対する限られたサポートまたはサポートの欠如があります。さらに悪いことに、攻撃者はこれらのプロトコルを必要に応じて暗号化できるので、Active Directoryに対する新種の環境寄生型攻撃が生み出されると同時に、従来のセキュリティ・テクノロジが、悪意のあるトラフィックをまったく認識できない状態に置かれたままとなります。

ファイアウォールとプロキシ・ソリューションに固有な制限に対して広く使用されている対応方法は、IDS/IPSテクノロジを導入して横方向のトラフィックを評価できるようにすることです。ただし、このソリューションは、ファイアウォールおよびプロキシ・ソリューションと同じパフォーマンス上の問題を抱えているほか、シグネチャベースとフローベースの検知手法に大きく依存しています。このため、IDS/IPSソリューションは、誤検知を生成しやすいだけでなく、従来の攻撃技法や暗号化した環境寄生型技法のどちらを使用しても容易に回避されることになります。

従来のセキュリティを引き継ぐNDR

ネットワークでの検知と対応(NDR)は、復号に重点を置き、横方向のトラフィックをすべて解析することによって、従来のセキュリティ・テクノロジが持つ制限に対処しています。NDRでは、専用設計のパーサとAIを使用して、ネットワーク・デバイスに想定される動作の判断基準を作成します。これにより、大量のトラフィックを対象として、信頼性に優れ、誤検知が少ないセキュリティ検知を実現します。ただし大半のNDRベンダは、コンティニュアス・パケット・キャプチャ、ストリームの再構築、プロトコルの全面的な解析、復号を導入していません。その結果、暗号化トラフィックの統計分析(ETA)に大きく依存していることから、トラフィックのペイロードが可視化されません。

悪意があるように見える暗号化トラフィックを検知するための主な手法として、ETAは長年利用されてきました。しかし、誤検知が発生しやすいうえ、統計的に有意な量のデータを生成しない攻撃や、Active Directory環境(PrintNightmareが存在する状態でSMBv3を使用している環境など)で多用されているプロトコルを利用する攻撃の多くを検知できません。さらに、統計分析を重視するあまり、充実したコンテキスト・データが不足するほか、セキュリティ担当者がトラフィックの内容を確認できません。その結果、データ・フォレンジック、調査、対応プロセスに長時間を要し、誤りも発生しやすくなります。

注:多数のプロトコルをサポートしているというベンダが多数存在しますが、その製品で実行されているのはプロトコルの_解析_ではなく、プロトコルの_識別_にすぎず、このようなトラフィック・フローに対する検知と可視性は限られたものになります。

ExtraHopのアプローチ

ExtraHop Reveal(x) 360では階層化した検知手法を採用しており、ルール、統計分析、およびAIを利用してトラフィックを評価し、悪意のあるアクティビティを検知します。他の製品と異なり、Reveal(x)は最初からコンティニュアス・パケット・キャプチャとストリームの全面的な再構築を目的として設計されており、Active Directoryプロトコルの大規模な復号が可能です。

Microsoft認証プロトコルであるNTLMとKerberosの復号、およびTLS、LDAP、WINRM、MS-RPC、SMBv3の各プロトコルの全面的なサポートにより、最高100 Gbpsの回線速度による暗号化トラフィックをすべて可視化できると同時に、暗号化された環境寄生型技法の可視化と検知も実現しています。認証プロトコルとアプリケーションレベルのプロトコルの両方を復号してすべてを解析できるReveal(x)では、他に類を見ない水準でトラフィックを検査でき、攻撃者が潜伏状態を継続できないようにします。この手法には、暗号化トラフィックについてフォレンジックレベルのレコード・データが得られる利点もあります。このデータには、特定のSQLクエリ、MS-RPCを通じて送信されたコマンド、LDAPの列挙動作などの情報が記録されています。

「すべてが素晴らしいように見えるけれど、そのうちのどれが真実で、どれがマーケティング向けの誇張なの?」と読者は思われるかもしれません。それはもっともな質問です。その質問に答えるために、以下に検知例を紹介します。

MS-RPCセッションでReveal(x)によって検知された攻撃コマンド。

Reveal(x) 360はMS-RPCプロトコルを全面的にサポートしています。多くの管理者がご存じのように、MS-RPCは、WMIトラフィックをカプセル化できるMicrosoftプロトコルの1つです。この例では、暗号化されたMS-RPCセッションを復号して解析し、Reveal(x)の検知エンジンがデータにフル・アクセスできるようにしています。これにより、カプセル化されたWMIトラフィックと、WMI上で発行された一定のコマンドの両方をReveal(x)で特定できるようになっています。その結果、包括的な検知が実行され、攻撃されたワークステーションに対して攻撃者が実行していた操作をアナリストが正確に知ることができます。

これは妥協のないセキュリティであり、復号、TCPストリームの再構築、およびプロトコルの全面的な解析によって強化されたセキュリティ検知です。この手法は、世界で最も高度なネットワーク検知AIであり、潜伏している攻撃者を探し出し、侵害の阻止に必要となる包括的なデータをセキュリティ対応担当者に提供します。

復号は妥協のないセキュリティ

他のベンダと違い、悪意のあるアクティビティの特定に関して、ExtraHopは妥協しません。広く使用されているMicrosoft Active Directoryプロトコルの復号と解析のサポートだけでも、他のどのベンダよりも高い可視性と高精度の検知を実現しています。さらに多くのMicrosoftプロトコルのサポートも準備中であり、これはまだ始まりにすぎません。

ExtraHopは、業界で最も包括的なNDRツールキットをセキュリティ・チームに提供することに全力を注いでいます。平文テキスト、暗号化された業界標準、Microsoftのプロトコルのどれに脅威が潜んでいても、Reveal(x)は最先端の検知と対応の機能をSecOpsチームに提供することにより、業界をリードし続けます。

Reveal(x) 360による脅威の検知の詳細についてはホワイト・ペーパーをご覧ください