CODE BLUE 2024 のサブトラックセッションで SOC での侵入検知の面白い方法が紹介された。カスペルスキーのシニア SOC アナリスト アレクサンドル・ロトチェンコ氏とファリド・ジュグノソフ氏による「Modern SOC」というセッションだ(会場で登壇したのはロトチェンコ氏)。
ビッグネームの基調講演や話題のトピックのセッションもよいが、こんな実践的でピンポイントなセッションも役に立つのではないか。ひょっとすると、すでに実践している人もいるかもしれないが、この侵入検知のライフハックは、侵入者は ActiveDirectory(ケルベロス認証)のゴールデンチケットを狙っている点に着目したものだ。
●直感と違和感でシステムの異常を検知するSOC
ロトチェンコ氏は、SOC は現在のセキュリティに欠かせない存在だと改めて述べる。なぜなら SOC は従来型のセキュリティ製品ではカバーできない領域に対応できるものだからだ。
「従来型セキュリティ」は予防と防御を主として、シグネチャやパターンなどでシステムに対する直接的かつ既知の脅威を排除する。これに対して SOC は、システムというより人や組織を守るための仕組み・手法となる。脅威の検知もコンテキストを重視し、特定の事象に注目するのではなく状況や環境を含めた異常や変異に注目する。
いわばシステムの繊細な「違和感」を検知するのが SOC の役目となる。従来型のセキュリティ手法と SOC は互いの機能を補完する関係にある。加えて、さまざまな防御ソリューション、対策ソリューション、対応活動を俯瞰する機能も持つ。
しかし SOC オペレーションは簡単ではない。まずシステムやネットワークの状況を正しく監視できる設備や環境が必要である。観測できたとしても、それを分析する知見と人材が必要である。SOC 業務の多くは自動化・機械化できるが、本質的な異常検知、脅威検知には情報をコンテキストで判断できる能力が必要である。この能力には「直感」のような数値化できない要素も含まれる。
いまのところ、最終的には人間の解析能力がものをいう世界だ。
●攻撃者のねらいはゴールデンチケット
SOC の必要性や効果は疑いの余地はないが、最大の課題は、簡単ではないがゆえに、あらゆる組織や企業が導入したり利用できるものではないという点だ。クラウド型 SOC サービスも存在するが、中小規模の企業には人材や導入予算のハードルが高い。
だが、日々のセキュリティ業務やシステム管理に SOC 的視点を持ち込むことはできる。ロトチェンコ氏は CODE BLUE 2024 の講演で、たとえ本格的な SOC は無理でも、それに近似する機能を実現できる方法を示した。
それが、マイクロソフトの Windows のエンタープライズシステムに限定される方法だが、ケルベロス認証システムと SCCM(System Center Configuration Manager)を活用したシステム全体の監視メソッドである。
