Elastic Security Labs ― セキュリティ脅威調査の最新ニュースをお届け

脅威調査のオフィシャルなワンストップドメイン、Elastic Security Labsが発足しました。40名以上の経験豊富な専門家で構成されるチームです。

Elasticは何年もの間、詳細かつタイムリーな脅威調査を実施してきました。現在までに40の調査記事とツールをリリースしています。そして、セキュリティ脅威の調査をより目につきやすく、共有しやすいものにすることで、一層安全なワークプレイスと業界全体の保護の実現につなげたいと考えています。

Elastic Security Researchでディレクターを務めるデボン・カーは次のように説明します。「時事的でタイムリーなセキュリティ脅威調査の可用性は乏しく、これまでは十分に利用できませんでした。Elastic Security Labsを立ち上げた目的は、この格差を解消し、組織を保護するために必要な情報とツールを全てのセキュリティ担当者の手に行き渡らせることです」

[CUBAおよびその他のマルウェアについてはこちらをご覧ください。]

Elastic Security Labsを組織で活用する

脅威調査は1つのプロセスです。Elastic Security Labsは脅威調査に系統的にアプローチして、どのような調査を実施するかの判断を行います。具体的には、次の4つステップを考慮して脅威調査を進めます。

1）調査コンセプトの作成

2）対象選定

3）実施

4）結果の提供

Elastic Security Labsは、セキュリティチームが脅威を検知する際、あるいはセキュリティ戦略を開発する際に、全体像を描けるよう支援したいと考えます。

この条件を満たすには、脅威調査を脅威インテリジェンス、検知科学、マルウェア分析を含むいくつかの関連ドメインの集合として認識する必要があります。全体像を描くことができれば、夜中に奇妙な物音がしても戸惑うことはありません。そして、本物の脅威だという確信があれば、対応はもっと迅速になります。

組織において、侵入プロセスの初期段階を示す要素が検出されることは珍しくありません。しかし、オブザーブされた事象を無視したり、誤って解釈してしまうと、最悪の結果になりかねません。Elastic Security Labsがそのプロセスで情報を提供し、対応までの時間短縮を支援することができれば、ユーザーが手にする結果もより良いものになるはずです。また、組織がこの目的を果たす上で適切な知識とスキルを持つ人材をなかなか採用できない、あるいは雇用の維持に苦戦しているといった場合にも、このような支援は大きなメリットをもたらす可能性があります。

あまたの機能や機能強化と同様に、あらゆるルールやシグネチャ、インジケーターは、脅威重視型の調査から直接誕生した成果物です。より良い結果を狙って何かを試し、変化を起こすために必要十分な学習は、1つの脅威やテクニック、事象について深く包括的な理解を追求することで達成されます。つまり、ただ脅威を取り巻く環境を調査して報告するだけでは不十分です。観測された事象をアクション可能なガイダンスへと翻訳できるほど深い理解が必要となります。

Elastic Security Labsの調査プラン

Elastic Security Labsはセキュリティ調査、マルウェア分析、キャンペーン、グループと戦略を含む多数のトピックの範囲で横断的に調査を行います。

セキュリティ調査とマルウェア分析は、インテリジェンス情報の大部分がローコンテクストである場合に不可欠です。Elastic Security Labsの目標は、組織のチームがElastic Security Labsと同レベルの精度でオブザーブした事象を理解できること、および、脅威に対応するリソースをチームに供給することです。この取り組みは、脅威が実行したアクションとElastic Security Labsが評価した脅威の能力、組織独自のリスク許容度に基づき、組織のチームが環境に関する意思決定を下す手助けとなります。

Elastic Security Labsはこの目標を達成するため、このようなレポートと、以下の例を含む多彩なリソースをリンク付けします。

• 各種インプラントとツールに対応するマルウェア分析レポート
• Elastic Security Labsが自社向けに記述したユーティリティで、一般に役立つと予測されるもの
• Elastic Security Labsがオブザーブしたテクニックの概要
• ニーズが見込まれるルール群やシグネチャなどのアーティファクト

Elastic Security LabsはElasticのテレメトリのほか、無数のサードパーティリソースを監視して分析を実施し、その成果を組織に提供します。

攻撃パターンと関連調査は一般的な取り組みとなってきており、Elastic Security Labsではこれを成熟したセキュリティプログラムのコアコンポーネントと認識しています。またElastic Security Labsは、新たなテクニックや変異種、兵器化された機能を間断なく監視しています。このような監視はElasticのインストルメンテーションを継続的に進化させ、Elastic内の他のエンジニアリングチームの向上を重点的に支援する上で重要な手法となっています。これは、あらゆる学習者を効果的な実践へと導く、検知の科学とも密接に関連しています。

Elastic Security Labsはテクニックや戦術のカテゴリに言及する場合、関連する調査とアーティファクトへのリンク付けを行います。これにより組織は、環境のエッジケースへの対応を必要する可能性がある状況を把握し、優先順位付けについて適切な意思決定を実施することが可能になります。またすでにご存じかもしれませんが、Elasticのロジックレポジトリの多くがコミュニティに公開されています。つまり、誰でもすぐに結果を共有して、コミュニティを支援することができます。

マルウェアの分析・追求の専任チームを設置している企業はごくわずかです。またベンダーが販売する類似のサービスは費用が高く、あらゆる組織で手が届くというものではありません。Elastic Security LabsはElasticのテレメトリとサードパーティの統計、独自の性能のイノベーションを活用し、多様なマルウェアを特定しています。このいずれも、ソースコードを公開し、このミッションを受容した、Elastic在籍の多数の素晴らしいパートナーの存在なしには実現しませんでした。そしてもちろん、Elasticコミュニティの貢献がなければ成立していません。

最近の調査からのハイライト

ここからは、今週最も注目を浴びた調査記事と、最近のニュースのハイライトをご紹介します。

• Elastic Security Labsは、昨年12月にBLISTERの特定に成功しました。この調査研究によって、現在BLISTERがインターネット上からほぼ根絶されていることが明らかになりました。
• また先日、Elastic Security Labs所属のLinux研究者がeBPFdoorに関する記事を発表しました。これは、BPFのバックドアを利用してキャンペーンを開始する手口です。
• そして現在までにElastic Security Labsが公開した中で閲覧数が最も多いのは、Log4jに関する記事です。Elastic Security LabsはLog4jの問題をすみやかに特定し、Elasticを使って保護する方法と共に詳細な分析を公開しました。また、Springバージョンに関するフォローアップ記事もリリースしています。