ネットワークトラフィック解析による、ランサムウェアの早期検知

はじめに

本記事では、一般的なランサムウェアを早期検知するための方法をご紹介し、そのうちのネットワークトラフィック解析に絞った検知の仕組み・やり方を分かりやすくご紹介します。

ランサムウェア発見のための3つのアプローチ

  • EDR(Endpoint Detection and Response)
  • SIEM(Security Information and Event Management)
  • NDR(Network Detection and Response)

ガートナーは、これら3つを組み合わせが重要であると定義し、この概念を”SOC Visibility Triad(Security Operation Center Visibility Triad)”と命名。不正アクセスやサイバーセキュリティに関わるインシデントを可視化し、検知、対応が必須であると提唱しております。

EDRとSIEMに関しましては、別の機会にご紹介します。

今回は、”NDR”にフォーカスします。NDRは、ネットワーク全体を監視し、脅威の検知及び処置をするソリューションのことです。本記事ではこの”Network Detection”で、どのようにランサムウェアを早期検知するのか?/できるのか?ご紹介します。

ネットワークトラフィックからランサムウェアを検知する

ランサムウェアとは:その概要と仕組み」でご紹介している様に、現在多数のランサムウェアが跋扈し、政府、教育機関、医療機関、一般企業に甚大な被害を与えております。

ランサムウェアに感染したら何をしても無意味ではなく、早期発見・対処は、現状の被害を最小限に抑えるだけではなく、事業継続にも貢献するのです。日常的なバックアップの実行はもとより、組織内ネットワークトラフィックを日々監視することは、今後ますます重要になります。

ここでは、ネットワークトラフィックから何かしらの予兆・兆候を早期発見するためにチェックする項目をご紹介します。これが、NDRのDetection部分に相当します。

ネットワーク分析による、ランサムウェア早期発見のためのチェック項目

  • 大容量データーの転送など、異常なトラフィックが発生していないか?
  • 怪しいサイトにアクセスしているホストはないか?
  • スキャナーはいないか?
  • DGA(Domain Generation Algorithm)の可能性がないか?
  • 危険なASNと通信を行っていないか?
  • 疑わしいドメインと通信を行っていないか?

これらの危険を素早く検知、対処できる仕組みを作っておくことは重要です。例えば、上記イベントを検知したらアラートを発報するなど。

検知方法は、フロー受信やトラフィックをミラーし、DPI(Deep Packet Inspection)を実行することによって検出可能なものがあります。また、定期的なペネトレーションテストを実施し、セキュリティ対策が組織内システムで適正に行われているか?と同時に、導入したネットワーク可視化システムは正常に動作しているかを定期点検するのもよいでしょう。

フローとは、2つのノード間セッションの初めから終わりまでの一連の通信のことで、送信元、宛先、送信元ポート、宛先ポート、ASなど様々な情報を報告してくれます。
これらの情報を活用し、上述したチェック項目の一部を実現することができます。※DPIが必須なものもあります。

マルウェア・ランサムウェア早期検知の実践方法

それでは、上述した早期検知のチェック項目とそちらに紐づくアラート発報をどのように実現するか?実際に弊社取り扱い製品であるntop社のntopngを使って、ご紹介します。

ネットワークトラフィックの特異点を発見する

ntopngには、TCPパケットの送受が多いホスト、SYNを多く生成しているホスト、ホストスコア(ntopng内のスコアで、特異なホストをカウントアップする仕組み)が高いホストを確認することができます。また、トラフィック全体のグラフ表示で特異なトラフィックを発見することも可能です。

図1 ホストスコア分析(x軸が攻撃者、y軸が被害者)
図2 1日のトラフィック量分析(マウスオーバーで拡大、アプリ分析可能)

アラートエクスプローラーとネットワーク振る舞い検知

ntopngには、ネットワークトラフィックを分析し特異な通信がないか?閾値やルールに従ってイベントを検知するChecksと呼ばれる機能があります。2023年11月現在、バージョン5.7系では約160種類のChecksがインストールされております。この中にマルウェア・ランサムウェアの早期検知のチェック項目を実現するものが含まれており、同時にメールやslack、syslogといったアラートを発報し、外部システムと連携が可能です。これらの機能を活用すれば、前述のマルウェア・ランサムウェア早期発見の仕組みを実装することができます。

図3 アラートエクスプローラー画面(マルウェア・ランサムウェアに関わるアラートもここで確認できる)
図4 マルウェア・ランサムウェア早期発見に役立つChecks

同じくChecksの一部となりますが、ブラックリストを管理するといったこともNDRでは有効です。ブラックリストの管理については、「ntopngによるマルウェア・ボットネット・ランサムウェアの発見と追跡」をご一読ください。

まとめ

ランサムウェアの脅威は衰えることを知りません。SOC Visibility Triadを過不足なく実現している企業は、まだまだ多くはないのが現実です。日常的なシステムバックアップは、ランサムウェア対策では基本的な対策でありかつ効果的ですが、侵入されない、侵入されても早期発見して対処するといった準備も必須です。EDR,SIEM,NDRすべての準備をするといったことが理想ですが、比較的早期に導入が可能でかつ企業全体の監視にもつながるNDRのDetectionについて本日は解説しました。

ntopngお問い合わせ

ntop社製品にご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP