ディセプションテクノロジーは、インシデント検知および対応テクノロジーの一種で、ネットワーク内にデプロイされた偽のIT資産とインタラクトするように攻撃者を誘導し、高度な脅威を検知、分析、および防御するセキュリティチームをサポートします。ディセプション アプローチでは、ログ分析またはSIEMツールだけでは特定が困難な、特定の悪質な行動の多くに関する忠実度の高いアラートを提供することができます。利点:攻撃チェーンの早期段階で疑わしいアクティビティを特定できるだけでなく、内部ネットワーク上にいる攻撃者を混乱させて、誘導することができます。このページでは、ディセプションテクノロジーの概要を説明し、ハニーポット、ハニーユーザーおよびハニー認証情報の3つの例について詳しくご紹介します。
ディセプションテクノロジーを、釣り針にぶら下がるミミズ、ネズミ捕りに隠されたチェダーチーズのかけら、船乗りを死へと誘う魅惑的なサイレンの音のうちどれと見なすのであれ、メッセージは同じです。ディセプションテクノロジーはおびき寄せるための餌です。真の資産であるかのように見えるも魅力的なトラップを設定することで、内部ネットワーク上の攻撃者がインタラクトするように誘導します。警告がトリガーされ、チームは効果的に対応するために必要な時間やインサイト、コンテキストを得ることができます。組織内に業務の一環としてディセプションテクノロジーとやり取りする必要のある人員はいないため、記録されたアクティビティはすべて自動的に疑わしいものとなります。したがって、ディセプションテクノロジーの主な利点は、非常に悪質な行動を特定してくれる忠実度の高いアラートが得られる点にあります。
ディセプションテクノロジーは、ネットワーク上に攻撃者が潜む時間を短縮し、検知と修復にかかる平均時間をスピードアップし、警告による疲労を軽減して、侵害の兆候(IoC)や戦術、技術、手順(TTP)に関する重要な情報を提供することができます。
ディセプションテクノロジーは、次の種類の脅威の検知に役立ちます。
ディセプションテクノロジーが効果を発揮するためには、既存の脅威検知戦略にうまく組み入れると共に、高度な攻撃者を騙せるだけの十分な信ぴょう性がある必要があります。デプロイが簡単で、必要に応じて自動的に更新され、セキュリティ情報とイベント管理(SIEM)プラットフォームに生成されたアラートが直接送信されるものが、理想的なディセプションテクノロジーです。
ディセプションテクノロジーの具体的な例をいくつかご紹介します。
ハニーポットはネットワーク内に本番環境システムと一緒にデプロイする、偽のシステムまたはサーバーです。ネットワーク上にある他のマシンと同じように見えるか、攻撃者のターゲットとなるようなマシンに見せかけてデプロイされます。ハニーポットは、悪質なトラフィックを重要なシステム外へとそらし、異常なネットワークスキャンを特定し、攻撃者とその方法に関する情報を明らかにするため、多くの用途やユースケースがあります。
目的の面では、ハニーポットには2種類のハニーポットがあります。調査ハニーポットは、攻撃に関する情報を収集するもので、特に、現実世界における悪質な行動を調査する目的で使用されます。お客様の環境とより広い現実世界の両方を調査して、攻撃者の傾向、マルウェアの変形、および攻撃者が意欲的にターゲットとしている脆弱性に関する情報を収集します。これにより、予防的デフェンス、パッチの優先順位付け、将来の投資に必要な情報が得られます。
ネットワーク上にデプロイされた本番ハニーポットは、環境全体に潜む侵害を明らかにし、チームが対応する時間をより多く確保するのに役立ちます。ハニーポットがさらなる監視の機会を追加し、ネットワークスキャンと横移動を特定する際に生じるよくある検知上のギャップを埋める中、情報収集は依然として優先事項です。
わかりやすく低メンテナンスのハニーポットは、攻撃チェーンを打破して、忠実度の高いアラートとコンテキストに基づく情報で、攻撃者をスローダウンさせるのに役立ちます。ハニーポットについて詳しい情報をご希望ですか?ハニーポットテクノロジーに関するページをぜひご覧ください。
ハニーユーザーは、通常ディレクトリ内にデプロイされる偽のユーザーアカウントで、悪意ある人物からのパスワード推測の試みを検知し、警告を発します。ネットワーク内部にアクセスした攻撃者は、垂直方向にブルートフォース攻撃を試みる可能性が高くなります。この攻撃では、アクティブディレクトリに問い合わせて、従業員のアカウントを列挙し、これらのアカウントに対してよく使われるパスワードをいくつか試行します。ビジネス目的を持たないアカウントであるハニーユーザーを定義し、監視することで、この巧妙なパスワード推測技術を簡単に特定することができます。
攻撃者は、魅力的な(かつ信ぴょう性のある)説明を持つアカウントを狙う可能性が高いため、「PatchAdmin」などの名前を付けることで、インタラクトするように攻撃者を誘導することができます。 なおこの偽ユーザーアカウントには、組織内の実在する人物を関連付けたりせず、有効な認証に対して使用しないことが重要です。
攻撃者がエンドポイントを侵害した場合、通常は資産からパスワードを収集し、ネットワーク上にあるリソースにアクセスするために他の場所で使用しようと試みます。ハニー認証情報は、エンドポイント上に注入された偽の認証情報として機能するため、このテクニックに対処するのに役立ちます。ハニー認証情報を使った認証の試みがあると、警告が生成されます。ユーザーがハニー認証情報を使って資産にログインしようとしたか、ハニー認証情報を使って別のエンドポイントへと迂回しようとしたかにかかわらず、これらの認証情報は実際にはどのシステムに対してもアクセスを許可しないため、非常に安全に使用できます。
ハニー認証情報は、侵入者がネットワーク上を横方向に移動したことを示す明確な証跡も示してくれます。これは、銀行がお金の入った袋に吹き出す染料パックを入れて、お金に印を付けて後で識別できるようにするようなものです。
セキュリティ対策と共にディセプションテクノロジーを使用することで、防御を強化し、侵害を早期に検知するのに役立ちます。どのタイプのディセプションテクノロジーも役立ちますが、既存する検知上のギャップを補強するように適切なタイプを採用することで、最も効果的な多層防御アプローチが得られます。