LogStareのSOCの窓 第4回「ニューノーマル時代に頻発するアラート」
今回は、リモート会議の一般化に伴いアラートポリシーを見直したお客様の事例をご紹介します。
製品・サービス・業界動向
業界動向
セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。
それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。
●ニューノーマルに適さないアラートポリシー
従来、ファイアウォールのログ監視において「社外との長時間の通信」はアラート対象とするのがセオリーでした。大容量のデータを少しずつ社外に転送している、つまり情報を持ち出している可能性があるためです。
しかしリモート会議が日常的に行なわれるようになった今、従来のポリシーでは毎日のようにアラートが発生し、SOC が正しく機能しなくなる事態に陥ってしまいます。
今回は、リモート会議の一般化に伴いアラートポリシーを見直したお客様の事例をご紹介します。
●リモート会議のたびにアラートが検出される
ある日、お客様の IPS(不正侵入防止システム)でアラートが検出され、SOC アナリストがログを確認すると、従業員が貸出用のノート PC で Web会議ツールを使ったことが原因と判明しました。
このお客様では普段は RDS(リモートデスクトップサービス)を利用しているため、ローカルPC での外部との長時間の通信が「不審な通信」として検出されたのです。
お客様に報告したところ、業務上必要な通信だと確認が取れたので、その日は特に対応せずに終わりました。しかし数日後、そのまた数日後、同様の原因で何度もアラートが検出されるのです。
お客様に事情を聞くと、リモートでの商談が増えたために会議室が足りなくなり、休憩スペースにノートPC を持ち込んでリモート会議をする風景が目立つようになったとのこと。
このままでは不必要なアラートを出し続けることになってしまう。SOCアナリストはお客様に相談し、アラートポリシーを見直すことにしました。
対応1
「ローカルPC での外部との長時間の通信」をすべてアラート対象から除外してしまうと、本当に情報流出が疑われる通信を見逃してしまうので、業務上必要ないくつかの Web会議ツールが使われた場合に限りアラート対象から除外することとしました。
対応2
さらに、Web会議ツールを用いた情報流出も考えられるので、ファイアウォールのログから通信量が一定値を超える、つまりファイルの送受信があったとみられるトラフィックのログを抽出し、毎月レポートすることとしました。
これらの対応によって、頻発していたアラートは本当に検出すべきときだけに絞られ、情報流出のリスクも可視化することができ、SOC は従来通り「不審な通信」の監視に注力できるようになりました。
もしかして、あなたの会社でも、古いアラートポリシーが残ったまま、誰かがリモート会議をするたびにアラートが出続けていませんか?
●頻発するアラートはやがて誰も見なくなる
テレワークの急速な普及は企業を流れるネットワークトラフィックの常識を一変させました。
従来のアラートポリシーのままでは業務上必要な通信まで検出されてしまい、頻発するアラートをやがて誰も気にしなくなった、あるいは役に立たなくなったアラート設定を削除した、という経験を持つ運用担当者もいることでしょう。
それらの多くはわずかな設定の見直しで、従来と同じように機能します。
対応1では、宛先 IPアドレスからサービス(アプリケーション)を特定し、業務上必要なサービスだけをアラート対象から除外しました。
対応2では、送信元と宛先の通信量を見ることで、ファイルをアップロードしたのかダウンロードしたのかを特定し、アップロードならばその必要性を確認する運用をしています。
このように長年の SOCサービスで培ったログ分析ノウハウで、お客様の目的に沿った適切なアラートポリシーやログレポート設計を提案するのが私たち LogStare を含むセキュアヴェイルグループです。
次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けしたいと思います。どうぞご期待ください。
今回の教訓: アラートポリシーにもニューノーマルを
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、任意のファイルの読み取りが可能となる Jenkins の脆弱性に対するエクスプロイトコードが公開されています。
-
今日もどこかで情報漏えい 第22回「2024年2月の情報漏えい」プロモーションではなかった 公式 X への攻撃
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。
-
人かAIか? 生成方法別フィッシングメール打率比較
類似の実験では「見分けがつかない」「成功率が高い」といった結果にとどまっていることが多いが、この論文では AI 作成フィッシングメールの「品質評価」、人力と AI 作成メールに対して AI がどの程度、真贋や意図を判定できるかにまで踏み込んで調べた。