Vectra AI社は、設立当初からホストデバイスに主眼を置いてきました。その理由は、攻撃者の行動を分析するためにCognitoプラットフォームが使用するネットワークトラフィックが、結果的にホストというエンティティで発生するからです。
また同時に、ホストは攻撃者が攻撃中に主導権を握って悪用したい対象でもあるため、修復を行う必要もあります。攻撃者の行動検出は、発生元であるホストに起因するため、その観点から全体を俯瞰することは理にかなっています。
Cognitoでは、今月発表が行われた Vectra Privileged Access Analytics(PAA、特権アクセス分析)機能によって、アカウントに対する視野をさらに拡大しています。
攻撃者は、一旦ネットワークに侵入すると、対象となる環境の構成やどんなシステムが存在するかを把握するための偵察を開始します。また、アクセス範囲を広げるために権限の昇格を行います。特権を持つ認証情報の獲得は、攻撃者の戦略において重要なパートであり、ネットワーク上に存在する付加価値の高い標的を狙うために必須となります。
Vectra AI社では、攻撃者の立場を想定して思考を重ねることによって、新たなテクノロジー創造への道を切り開く多くのインサイトを得ることができました。Cognitoのセキュリティ調査チームは、アカウントへの最適な対応方法を検討する際、攻撃者の視点から、システム環境内のアカウント、ホスト、あるいはサービスが持つアクセス権と特権の重要性に着目しました。
Cognito プラットフォームでは、Vectra Privileged Access Analytics (PAA) を活用することによって、アカウントや特権に関する対応を実現しています。PAA の基盤となるのは、ネットワーク上でやり取りを行うアカウント、ホスト、サービスの特権を、観察、推測、そして理解するための特許出願中のテクノロジーです。
これらの特権レベルは、Cognito Stream と Cognito Recall に表示されるメタデータの拡張機能として公開されており、セキュリティアナリストや脅威ハンターは、エンティティの特権レベルでクエリやフィルターを使用して調査を進めることができます。
PAA の特権レベルは、より高い特権を持つアカウント、ホスト、そしてサービスの相互のやり取りだけを参照する新しい検出モデルの基礎となります。またこれらは、攻撃者の興味を引き付ける対象となります。特権を持つエンティティだけに焦点を絞ればよいため、その動きをさらに詳しく調べる余裕が生まれます。
この結果、管理者アカウントおよびサービスアカウントに対する攻撃者の振る舞いや、異常で悪意ある行動に使用されるホストを高い精度で検知することができます。正にこれは、セキュリティチームが調査に時間を費やすべき対象と言えます。
さらにPAA は、ここ数年間で最も重要となる変更の1つをCognito UI にもたらします:それは、アカウントベースの視点の追加です。検知結果に関連したアカウントには、脅威と確信度に関するスコアが付与され、ホストと同様に2次元チャート上に表示されます。
トラックされた各アカウントには個別のページが割り当てられ、関連する検知結果や状況の詳細が表示されます。観察されたアカウント、ホスト、そしてサービスの特権レベルは、Cognito UI からも確認できるため、アナリストもまた、この新しい視点や検知結果を利用することができます。
基本的にPAA が問題にするのは、実際に観察された特権です。これは、セキュリティ関連のコミュニティに参加する多くの人々に馴染みのある、許諾済みの特権とは異なる概念です。
観察された特権は、アカウントまたはネットワーク上で使用されるホスト、やり取りされるサービス、さらにやり取りの対象となる相手の数などによって決定されます。許諾済み権限は、アカウントが属するディレクトリサーバー内のグループに付与された権限をベースにしています。
例えばドメイン管理者のようなアカウントは、ネットワーク全体のシステムにアクセスできる権限を持っている場合があります。
しかし該当アカウントが、その目的に向け使用されることは稀です。このため観察された特権は、ネットワーク上の数千のシステムに任意のコードをロードして実行することができるサービスアカウントの特権よりも、そのレベルが低くなる可能性があります。これらの認証情報は、そのいずれもが攻撃者にとって非常に魅力的なものになります。しかしサービスアカウントの場合には、さらに高い特権が観察されるはずです。
アカウントベースの分析を行う UBA や受け継がれている手法では、全てのアカウントを同等に取り扱うため、セキュリティアナリストが全てを解析することが困難なほどの、膨大な量の検知結果を発生させることになります。また特権アクセス管理のような防止を基本とした手法は、ポリシーの適用を前提にしています。
Cognito PAA が使用している観察結果に基づく手法は、特権エンティティに焦点を当て、予防的手法が見落としがちな悪意ある行動を浮き彫りにできる検知機能を提供します。
内部の不正者、または外部の攻撃者によるものかに関わらず、観察された特権は、行動の基準値を確立し理解するために不可欠となる重要なポイントになります。中程度の特権を持つ管理者が、異常なまでに高い特権サービスにアクセスを開始すると、PAA が警告を発します。しかし、許諾済み特権をベースにする世界であれば、これは許される行為になります。
Cognito PAA は、これまでとは完全に異なる、攻撃の活動フェーズにおける脅威動作を観察する方法です。PAA は既に提供が可能であり、Vectra AI社の全ての既存顧客や評価者の方々は、すぐにご利用頂くことが可能です。特権エンティティの監視や保護に対するアプローチを変えたいとお考えの場合には、是非、 Vectra AI社までご連絡ください。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
