検知エンジニアリング

Detection Engineering（DE）の概要

従来のセキュリティアプローチは、脅威を早期に発見し、その対応策を作成する方式です。しかし、現在のリスクは非常に巧妙かつ計画的なため、従来の検知手法では対応が難しくなっています。こうした背景から、組織には先見の明を持った脅威検知が求められます。

Detection Engineering（DE）とは、被害が深刻化する前に脆弱性を特定するため、システムやツールを活用する現代的な脅威検知手法です。その対象は、単に悪意ある活動の検出にとどまらず、より広範なリスク管理まで及びます。

DEは、チームや関係者がリスクとその影響を認識し、広範な検知プロセスを実施し、技術体制を進化させ、脅威の変化に合わせて検知戦略を調整する文化を醸成することです。

対象範囲が広く多角的に機能するため、リスク管理、脅威ハンター、コンテンツ開発者、レッドチーム、脅威インテリジェンスなどが関与することが多いです。MFAの導入、WAFの使用、初期のAPI脅威検知などの従来のセキュリティ手法と異なり、DEはまだ完全に確立されたとは言えません。標準化されたバージョンや、DEに適合するフレームワークは、いまだ実現されていません。

Detection Engineeringの利点

正しく実施されれば、DEは組織およびその脅威識別戦略を多方面から強化します。たとえば、

• リスクが早期に検知され、チームに即時通知されるため、平均的な脆弱性対応時間が大幅に短縮されます。
• 検知は対象のエコシステムに合わせて完全にカスタマイズされます。
• プロセスはワークフローと連動します。
• チーム全体および各メンバーに、脅威を封じ込めるのに役立つ危険情報が伝えられます。

Detection Engineeringの重要性

現行の一般的な検知手法を詳しく見ると、二つの主要な課題が浮かび上がります。

1. セキュリティ専門家は、EDR、SIEM、WAFなどの一般的なセキュリティツールから膨大なデータを受け取るため、過度の負荷となっています。さらに、受信データの量だけでなく、偽陰性および偽陽性のアラートも多く、これが専門家の時間と労力を浪費し、潜在的な脅威を見逃す要因となっています。
2. データが豊富なため、平均的な対応時間が延び、対策が遅れる場合があります。

DEは、例外ケースのカバー、対応時間の短縮、詳細な実行可能な洞察の提供、検知のカスタマイズにより、これらの課題を解決できます。そのおかげで、アラートの仕分けやラベリングよりも、調整に多くの時間を割くことが可能です。

検知の目的

DEへの第一歩は脅威モデリングの実施です。これは、直接関連するリスクを認識する作業です。そのため、組織はMITRE ATT&CKフレームワークを参照し、詳細なギャップ分析を行って、検討すべき点とそうでない点を見極めることが推奨されます。

検知の要件

組織が利用可能なログソースと必要な追加情報を把握したら、次の段階へ進むことが推奨されます。利用ケースの認識、脆弱性レポートの収集、現行防御システムの抜け穴を迅速に把握することが大切です。

検知の実装

これは、組織が迅速かつ正確な検知を行えるようライフサイクルを構築することを指します。前段階で得た洞察を統合し、偽陽性を調整しながら、検知手法を継続的に進化させていきます。

DEを実装する際には、最適な検知自動化手法の習得、過去に検出された脅威の見直し、検知手法がレポート、ダッシュボード、ルールとして適しているかの検証など、重要なポイントに注目する必要があります。

また、組織内に支援的な文化を築くことも、検知実装の成功に不可欠です。チームは自らの役割を果たし、ワークフローに留意することが求められます。

‍

Detection Engineeringの領域

DEの概念が初期段階では、一過性の活動検出に限定されていました。しかし、現在ではその範囲を広げ、複数の他のセキュリティ分野と連携するようになりました。

• ‍セキュリティ監視: DEは、Sigmaルールの適用、ログデータに対するIOCの利用、そして重要情報をSIEMへ転送するなど、非常に積極的なセキュリティ監視体制を構築するのに役立ちます。
• ‍インシデント対応: DEは、YARAルールの生成、IOCの強化、対象システムやディスクイメージ上の有害なツール検知目標の設定などにより、組織のインシデント対応力を向上させます。
• ‍マルウェア解析: DEは、IOCの抽出やYARAルールの設定に有用であり、組織のマルウェア解析を強化します。
• ‍脅威インテリジェンス: 検知エンジニアリングは、YARAルールを作成して改ざんされた文書やツールセットを検出することで、脅威インテリジェンスを強化します。
• ‍デジタル・フォレンジクス: DEは、YARAポリシーを構築することで、被害者情報や抽出データの詳細など、指定されたデータを正確に抽出し、デジタル・フォレンジクスを大いに支援します。また、セキュリティ専門家がケース関連のキーワードリストを作成するのにも役立ちます。

‍

Detection Engineeringのプロセス

DEは、その基礎と位置付けられるDetection-as-codeを超えるものであることを理解する必要があります。成果重視のDEは、明確な検知内容と、互いに連携した先進的なツールを求めます。

DEプロセス設計時の重要なポイントは、コード検知データの投入前、転送中、及び投入後のプロセスを把握することです。以下に全プロセスの分かりやすい概要を示します。

1. ‍ステージ#1 - 検知

この段階では、検知内容が特定され記録されるとともに、DaC向けのCI/CDプロセスが開始されます。

2. ‍ステージ#2 - 検知の保守

サンドボックス、パープルチーミング、ペンテストなどの手法を用いて、検知システムの有効性を評価し、新たな脅威や従来見逃された脅威を発見するため、脅威ハンティングが実施されます。しばしば、高応答性のハニーポットが設置され、不正な活動を監視します。

これらの活動はすべて記録され、主要な意思決定者に共有されます。新たな検知が確認された場合は、検知コードが修正されます。

3. ‍ステップ#3 - 脅威インテリジェンス

最後に、脅威インテリジェンスが導入されます。この段階では、組織は有効な脆弱性ツールを選択し、脅威ハンティングやペンテストの知見を収集します.

Detection Engineeringと脅威インテリジェンス

脅威インテリジェンス（CTI）は、組織が潜在的な脅威に関する知見を集めるための、先進的なセキュリティ手法です。これにより、企業は現在の脅威に対し迅速に対応し、早期に認識する機会を得られます。

脅威インテリジェンスが進むにつれて、リスクに関する生データが収集され、実行可能なインプットを抽出するためにさらに精査され、脆弱性の性質が理解しやすいように検知の概要が策定されます。

これを十分に活用すれば、脅威インテリジェンスは、組織固有の詳細な脅威を特定し、さらにDEの基盤を形成する上で大いに役立ちます。

DEは単なる検知を超え、脅威の動きやその長期・短期的な影響を理解することを目指します。こうした情報が脅威インテリジェンスによって抽出されるため、組織はDEと脅威インテリジェンスを組み合わせることが推奨されます。

‍

DEとペンテスト

ペンテスト、またはペネトレーションテストは、ハッカーに先んじて、既存のIT環境に対して統制されたサイバー攻撃を行い、セキュリティの抜け穴を見つけ出す試みです。この手法では、サーバ、ネットワーク、API、その他の重要資産に対して意図的に攻撃を実施し、現行のセキュリティで突破できる脆弱性を特定します。

主に、WAFの有効性を検証するために実施され、内部テスト、バインドテスト、外部テストなど、複数の種類があります。それでは、重要な点に移ります。

検知エンジニアリングにとって、どのような意味があるのでしょうか？

検知プロセスの第二段階である検知の保守は、検知が即時でいかに有効かを確認することを目的としています。そのため、サンドボックスやペンテストなどの手法を用いて、条件付き攻撃を計画します。DEは、ハッカーに有利に働く抜け穴を特定するため、ペンテストを活用します。

脅威アクターは、セキュリティプロファイルの欠点を把握してそれを組織に対して利用するため、しばしばセキュリティ専門家より一歩先を行きます。ペンテストは、検知ツールの有効性を把握する上で、DEの重要な側面です。

DEと脅威ハンティング

脅威ハンティングが含まれなければ、DEは不十分です。脅威ハンティングとは、認可を受けたハッカーやサイバー専門家がリスクを認識するために行う活動を指します。最新のIOCやTTPツールを用い、脅威ハンターはリスクを見つけ、検知の仮説を提示することが多いです。

ツールと専門知識を組み合わせることで、脅威ハンターはリスクの特定に大いに貢献し、セキュリティ専門家が検知を調整するために必要な洞察を提供します。新たな脅威が次々と出現するため、脅威ハンティングはDEに欠かせない要素です。

‍

DEとEDR/XDR

効率的な検知のためには、PC、サーバ、ネットワーク、コンテナ、マイクロサービス、クラウド、及びAPIなどのIT資源が常に監視される必要があります。これらの資源の見通しが欠けると、脆弱性を許す不十分な検知につながります。

EDRやXDRツールは、この点で大いに役立ちます。これらは自動検知を目的とした先進的なセキュリティ解析技術であり、プログラミング手法によっては、外部および内部資源に広範な検知を実施できます。

検知と合わせて、アラートの発報や対応も行います。しかし、XDRやEDRツールの標準機能では最適な解決策が得られないため、DEとの連携時にはこれらのツールの調整が必要です。

例えば、これらのツールは次の条件を満たす必要があります：

• 利用しているあらゆるクラウドエコシステムと互換性があること
• 脅威の進化に合わせて柔軟に対応できる柔軟性を備えていること
• 使用する検知手法や取得データについて、高い透明性と明瞭な情報を提供できること
• 既存のセキュリティソリューションと統合できること

Wallarmの脅威検知・防御ツール

DEは、カスタマイズ性と柔軟性に優れた戦略的な手法です。組織は、自社のセキュリティ目標に合致する手法を採用できます。

Wallarmは、あらゆるAPI、マイクロサービス、クラウド環境に対応する先進的なプラットフォームを提供しています。脆弱性検知のための包括的なソリューションにより、組織の検知・対応戦略を強化します。これにより、受動的および能動的な脅威認識が可能となります。

さらに、先進の脆弱性スキャナーは、隠れた危険や堅牢に守られた脅威も検知できます。攻撃検知をより効果的に行うため、WallarmはLibrary libprotonおよびLibrary libdetectionツールを取り入れ、組織が独自の検知ルールを設定してDEを最適化できるようにしています。

全てのWallarmツール/ソリューションは、セキュリティ専門家が組織の既存のセキュリティ状況を把握し、ツールの過剰利用を抑制するための優れた統合機能を備えています。この統合により、ワークフローがシンプルかつ効率的に保たれます。