はじめに
セキュリティの管理策を検討する際に参照することが多いNIST SP800-53 Rev.5には、いくつかのセキュリティ侵害を表すための用語が使用されています。その違いについてまとめておきます。
本ブログでは、本質を理解し、根拠を明らかにし、具体例を示すことを心がけておりますが、本稿については「多分、このようなことであろう」との内容になっており、正確性もいつも以上に劣ります。さらに、今回調べた限りでは、各用語に明確な定義はないと思われますので、用語の正確な意味を捉えるためには、前後の文脈などその使われている状況を加味することが必要です。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
各用語の使用例
次のように、NIST SP800-53 Rev.5の中には、セキュリティ侵害を表す用語として、exposure, intrusion, breach, compromiseが使用されており、理解しておいた方が良いと思い調べることにしました。
PM-16 THREAT AWARENESS PROGRAM
Because of the constantly changing and increasing sophistication of adversaries, especially the advanced persistent threat (APT), it may be more likely that adversaries can successfully breach or compromise organizational systems.
敵対者、特にAPTは常に変化し、高度化しているため、敵対者が組織システムのbreachやcompromiseに成功する可能性はより高くなっているかもしれない。
RA-10 THREAT HUNTING
Threat hunting is an active means of cyber defense in contrast to traditional protection measures, such as firewalls, intrusion detection and prevention systems, quarantining malicious code in sandboxes, and Security Information and Event Management technologies and systems.
脅威ハンティングは、ファイアウォール、intrusion検知・防御システム、サンドボックスによる悪意のあるコードの隔離、SIEMといった従来の防御策とは対照的な、サイバー防御の能動的な手段である。
AC-17 REMOTE ACCESS
As such, restricting the execution of privileged commands and access to security-relevant information via remote access reduces the exposure of the organization and the susceptibility to threats by adversaries to the remote access capability.
このように、リモートアクセスによる特権コマンドの実行やセキュリティ関連情報へのアクセスを制限することで、組織のexposureを減らし、敵対者によるリモートアクセスケイパビリティへの脅威への耐性を向上させることができる。
※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正
解釈した内容
ネットで調べた結果、類似の内容に言及している記事「Data Compromise=情報流出は正解か」を見つけることができました。合わせて参照元の「Timehopの発表資料」も確認することである程度理解することはできました。
Data Compromise=情報流出は正解か:IT基礎英語 - ITmedia NEWS
Security — Timehop
上記と合わせ、NISTでの使われ方も加味した結果、以下のように解釈しました。
Exposure
組織が実施している管理策に不備があり、潜在的な脅威にさらされている状態です。それが実際に悪用されているかどうかまでの意味は持っていません。具体的には、システムなどの支援資産に脆弱な設定が存在するなどが含まれます。
なお、データに対するExposureとして使用されている場合は、機密情報が既に漏洩や公開されていることを意味していることがありますので、どちらを意味するのかは文脈からその対象が何なのか理解することで判断することになります。
あえて、他の用語と比較するため日本語で表現すると、露出になるかと思います。
Intrusion
組織が実施している予防的管理策を突破し、脅威アクターが情報資産にアクセスできている状態です。具体的には、境界防御の突破によるネットワークへの侵入(Network Intrution)や不正ログインによるシステムへの侵入、マルウェアの実行、ネットワーク上のスニッフィングなどが含まれます。
あえて、他の用語と比較するため日本語で表現すると、侵入になるかと思います。
Breach
組織が実施している検知的管理策を回避しつつ行われる脅威アクターの活動により、機密性、完全性、可用性のいずれかが損なわれた状態です。具体的には、データの改ざん・削除・窃取、サービスの停止などが含まれます。
あえて、他の用語と比較するため日本語で表現すると、侵害になるかと思います。
Compromise
情報または関連資産が脅威アクターによって完全に掌握されている状態です。例えば、ランサムウェアによる暗号化、システムの破壊、データの持出などが含まれます。
あえて、他の用語と比較するため日本語で表現すると、漏洩になるかと思います。
解釈した内容に基づき、APTの攻撃シーケンスの各フェーズにマッピングすると、各用語が表すセキュリティ侵害度は次のようなイメージになります。
Indicators of Compromise(IoC)について
脅威インテリジェンスでは、Indicators of Compromise(IoC)という言葉がよく使われますので、合わせて触れておくことにします。
この言葉は、セキュリティ侵害の疑いがある場合に、異常の検知や痕跡の解析をするための指標として使用されます。前述の図1では、Compromiseは最終的に攻撃者(脅威アクター)が目的実行を達成した段階と解釈しましたが、IoCとして使用される場合は、それ以外の全てのフェーズで用いられることがあります*1 。
APTの各フェーズで検知されるIoCをまとめると次のようになります。
偵察フェーズ
攻撃者の偵察行動を早期に発見しセキュリティ対策を講じることを目的としています。また、これらの情報を分析することで、攻撃者のTTPsや動機を理解することができ、より効果的な対策を講じることができます。具体的には、次のようなインターネットからの不審な行動を検知します。
侵入フェーズ
攻撃者によるネットワークやシステムへの侵入が疑われる行動を早期に発見しセキュリティ対策を講じることを目的としています。また、これらの情報を分析することで、攻撃者のTTPsを理解することができ、より効果的な対策を講じることができます。具体的には、次のような内部ネットワーク上の不審な行動を検知します。
遠隔操作フェーズ
C2サーバーとの通信や不正なアップロード、ダウンロードのような攻撃者による遠隔操作が疑われる行動を早期に発見しセキュリティ対策を講じることを目的としています。また、これらの情報を分析することで、攻撃者のTTPsを理解することができ、より効果的な対策を講じることができます。具体的には、次のような内部ネットワーク上の不審な行動を検知します。
- C2サーバーとの通信
- 不審なプロセス、コマンドの実行
- 不正なファイルのアップロード、ダウンロード
- リモートアクセスツール(RAT)の使用
横展開フェーズ
攻撃者が組織のネットワーク内を移動し、他のPCやサーバー、ディレクトリサービスなどのより高い権限を得ようとしている行動を早期に発見しセキュリティ対策を講じることを目的としています。また、これらの情報を分析することで、攻撃者のTTPsを理解することができ、より効果的な対策を講じることができます。具体的には、次のような内部ネットワーク上の不審な行動を検知します。
- 普段と異なるアカウントによるアクセス
- ログイン回数、アクセス回数の増加
- ネットワークトラフィック(偽装パケット、暗号化された通信など)
探索フェーズ
攻撃者が組織のネットワーク内で、標的としている情報やデータを入手しようとする行動を早期に発見しセキュリティ対策を講じることを目的としています。また、これらの情報を分析することで、攻撃者のTTPsを理解することができ、より効果的な対策を講じることができます。具体的には、次のような内部ネットワーク上の不審な行動を検知します。
- 特定のファイルへのアクセスログ
- ファイル検索、コピーの増加
- ファイルのアップロード、ダウンロードの増加
目的実行フェーズ
攻撃者が標的としている情報の窃取、暗号化、システムの破壊などの最終目的が達成された疑いがある場合に、上記の各フェーズで得られる情報に加え主に次のような目的で、攻撃の痕跡から分析を行います。
インシデントの内容把握
攻撃者による活動を分析することでインシデントの内容を把握します。被害状況を把握することで、利害関係者への速やかな報告が可能になり、さらに、管理策の改善など、再発防止に役立てることができます。被害の最小化
このフェーズでもまだ攻撃が続いている可能性もあるため、解析により被害を最小化します。類似攻撃への対策
攻撃者が使用したTTPsを理解することで、類似の攻撃を防ぎます。
まとめ
適切なインシデント対応やリスクコミュニケーションを行う際には、インシデントの内容を正確に把握し伝えることが求められます。その中でも、侵害の度合いを表す情報は特に正確さが求められます。
今回、取り上げたようにセキュリティ侵害を表す様々な用語が使われているということは、侵害の度合いが重要であることの裏返しとも言えると思います。ただし、その用語の定義が統一されていない可能性も高いため、用語に頼るのではなくその侵害の度合いを補足説明により正確に伝える*2ことが重要だと思います。
例えば、本文で触れた記事から引用すると「パスワードは窃取された(Breachはされた)が、ハッシュ化されていたためCompromiseされていない」との言い分は、ある程度、状況が理解できます。このようなケースでは、同じパスワードの漏洩事案であってもインシデントの印象は大きく異なりますので主張することが必要なのかもしれません。
本文では触れませんでしたが、侵害の兆候を検知することをIoA(Indicator of Attack)*3 、侵害の痕跡を分析することをIoC(Indicators of Compromise)*4 と明確に区別している場合もありますので、こちらも前後の文脈による理解が必要です。
参考資料
本稿は、以下のガイドライン及び記事を参考にしています。より詳細な情報が欲しい、正確性を重視したい等については以下を参照して下さい。
- NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
- ITmedia IT基礎英語 Data Compromise=情報流出は正解か
- TIMEHOP SECURITY INCIDENT, JULY 4TH, 2018