|
多くの企業は通常、ファイアウォール、ウイルス対策ソフトウェア、侵入検知、認証といったサイバーセキュリティ対策の構築から始めます。これらの保護対策が整うと、企業は徐々にリソースを、脅威ハンティングといったより複雑なプロアクティブなセキュリティ対策へと移行していきます。脅威が発生した後にのみ対処する従来のセキュリティ対策とは異なり、脅威ハンティングは異なるアプローチを提供します。 脅威ハンティング・プログラム導入の主目的は、脅威の出現から攻撃完了までの時間差、いわゆる「滞留時間」を短縮することです。攻撃者が企業環境に長く留まるほど、潜在的に大きな被害をもたらします。より正確には、脅威ハンティングは、従来のセキュリティツールでは検知できないリスクを発見し、既存の脅威検知メカニズムとプロセスの有効性を分析・改善し、合理的なセキュリティ最適化の推奨事項を提示する必要があります。さらに、新たな攻撃手法、戦術、技術、手順(TTP)を特定し、全く新しい脅威対応タスクを開始できることも必要です。 セキュリティアナリストはこれらのタスクを手動で実行できますが、効率性と時間的制約により、企業の実務ニーズを満たすことができない場合が多くあります。より効果的な脅威ハンティングは、UEBAや機械学習などのテクノロジーを活用し、アナリストを支援する高度に自動化されたプロセス内で実施する必要があります。脅威ハンティングツールを選択する際には、企業は以下の機能に重点を置く必要があります。
この記事では、セキュリティアナリストが現在好んでいる 10 個の無料およびオープンソースの脅威検出ツールをまとめて要約し、そのアプリケーション特性を分析します。 1. AIエンジンAIEngineは、Python、Ruby、Java、Luaで動作するパケットセキュリティ検査エンジンをサポートする、脅威ポスチャドリブン型の典型的な識別ツールです。このインタラクティブなツールを通じて、企業はネットワークシステムの侵入検知機能をさらに向上させることができます。 AIEngineの主な機能には、次世代インタラクティブ侵入検知システム、DNSドメイン分類、ネットワークコレクター、ネットワークフォレンジック分析、その他のセキュリティ検出機能が含まれます。AIEngineを使用することで、セキュリティアナリストはスパムを迅速に検出し、ネットワーク情報を収集できるため、ネットワークフォレンジック分析能力をさらに強化できます。また、このツールを使用することで、トラフィックをより深く理解し、ファイアウォールやセキュリティソフトウェア用の脅威シグネチャを作成することもできます。 ポータル: https://github.com/camp0/aiengine. 2. APTハンターAPT-Hunterは、Ahmed Khlief氏が設計・開発したWindowsイベントログ向けの脅威ハンティングツールです。疑わしいアクティビティを検知し、APT(Advanced Persistent Threat)活動を追跡できます。脅威アナリスト、インシデント対応者、フォレンジック調査担当者にとって非常に役立ちます。ツールのデフォルトルールは、Mitre ATT&CK戦術をWindowsイベントログのIDにマッピングし、攻撃の兆候(APT手法を含む)を迅速に検出します。 APT-Hunterの無料版は、検出されたAPT攻撃情報に基づいてシステム内のAPT活動を特定し、攻撃の迅速な検知と迅速な封じ込め・排除によって対応時間を短縮します。多くのセキュリティチームは、APT-Hunterをアラートフィルターとして使用し、数百万件ものアラートイベントを精査して、迅速な対応が必要な高リスクイベントを特定しています。APT-Hunterには、ユーザーに必要なデータを提供する2つのコンパニオンコンポーネントがあります。このプログラムはWindowsログ分析を高速化するために使用できますが、Windowsログ分析の一部にしか代替できません。 ポータル: https://github.com/ahmedkhlief/APT-Hunter. 3. 攻撃者KB新たな脆弱性が出現するたびに、企業のセキュリティチームは次のような点を強く求めます。この脆弱性はどの程度広がっているのか?攻撃者や脅威アクターはこれを悪用するのか?脆弱性の修正や軽減のための他の作業を放棄する価値があるのか?多くの場合、セキュリティ専門家は脆弱性悪用状況や性質の理解においてハッカーに遅れをとっています。Attacker KBは、様々なセキュリティコミュニティから脆弱性悪用に関する専門知識を文書化し、紹介し、集約することを目的としています。 脅威検出ソリューションであるAttacker KBは、セキュリティアナリストが脆弱性(情報漏洩、技術評価、結果、悪用可能性、実際の可用性など)をより深く理解するのに役立ちます。この情報により、セキュリティアナリストは最近および過去の脆弱性を迅速に特定し、優先順位付けを行い、組織内に既に存在する可能性のある脆弱性を特定できます。 リンク: https://attackerkb.com/ 4. 自動化Automaterは、TekDefenseが提供する脅威検出ツールです。URL、ドメイン、ハッシュを分析し、侵入分析を簡素化します。Automaterを使用することで、企業は特定のターゲットパラメータを選択し、公開されている幅広い情報源から関連情報を収集できます。 AutomaterはGitHubで公開されているPythonツールです。無料かつオープンソースです。Automaterはユーザーフレンドリーなインターフェースを備えており、初心者でもPythonコードを変更することなく簡単に使いこなすことができます。さらに、ユーザーは検査したい情報ソースや種類をカスタマイズできます。 アナリストはAutomationを使用して、IPアドレス、MD5ハッシュ、ドメインを検索することもできます。企業は、Unshorten.me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、Labs.alienvault.com、ThreatExpert、VxVault、VirusTotalなど、信頼できるウェブサイトからAutomation関連ツールを入手できます。 ポータル: https://github.com/1aN0rmus/TekDefense-Automater. 5. ボットスカウトBotScoutは、ボットによる悪意のあるフォームへの入力、スパムの送信、ウェブサイト上のフォーラムへの登録を阻止する脅威検出ツールです。このツールは、ボットの名前、IPアドレス、メールアドレスを追跡し、それらを主要な特性として保存・記録します。ユーザーは、アプリを使用してBotScoutが提供する特性データを照会し、インターネットに送信されたフォームのセキュリティを評価できます。 BotScoutデータベースでフォーラム上のボットを手動で検索するだけでなく、問い合わせフォームやその他のウェブアプリケーションを使用してボットをテストし、結果に基づいて適切なフォローアップアクションを実行することもできます。BotScoutは、カスタマイズされた悪意のあるボット対策プラグインも提供しています。このツールの代表的なユーザーには、Oracle、ドイツ銀行、ナポリ銀行、ワシントン大学、ミラノ大学などがあります。 リンク: https://botscout.com/ 6. クラウドFMSCrowdFMSは、フィッシングメールのサンプルを収集・処理する自動プログラムです。従業員が悪意のあるフィッシングメールを受信すると、自動的にアラートを発動します。独自のAPIアーキテクチャを活用し、CrowdFMSはVirusTotalからフィッシングメールのサンプルを自動的に収集・処理するためのフレームワークを提供します。フレームワークが最新のサンプルをダウンロードすると、ユーザーを狙った悪意のあるメールやフィッシング通知が特定され、アラートが発動されます。ユーザーは、これらのサンプルをCrowdFMSで実行するためのコマンドをカスタマイズすることもできます。 ポータル: https://github.com/CrowdStrike/CrowdFMS をご覧ください。 7. カッコウサンドボックスCuckoo Sandboxは、マルウェアを分析するためのオープンソースツールです。無料でダウンロードして使用できますが、依存関係が多数存在するため、インストールと設定は比較的複雑です。しかし、一度インストールしてしまえば、ユーザーにとって非常に役立ちます。 このツールは、実行ファイル、オフィス文書、PDF、メール、スクリプト、ウェブサイトなど、様々な悪意のあるファイルを分析できます。オープンソースであることと堅牢なモジュール設計により、ユーザーは分析環境、データ処理、レポート作成の各段階をニーズに合わせてカスタマイズできます。 Cuckoo Sandboxを使用すると、Windows、Linux、macOS、Androidの仮想化環境における悪意のあるファイルやウェブサイトを検出できます。また、VolatilityとYARAにより、感染した仮想化システムのプロセスごとに高度なメモリ分析が可能になります。 Cuckoo Sandboxには2つの主要コンポーネントがあります。まず、Windows 7オペレーティングシステムを内蔵したLinux Ubuntuホストシステムです。PythonベースのCuckooメインパッケージはUbuntuホストにインストールされ、同時にインストールされるいくつかの依存関係を設定することで、Cuckooのモジュール性を最大限に活用できます。さらに、UbuntuホストにVirtualBoxがインストールされ、Windows 7クライアントが作成されます。CuckooエージェントはWindows 7システムにインストールでき、2つのデバイス間の通信をサポートします。 ポータル: https://github.com/cuckoosandbox 8. ディープブルーCLIDeepBlueCLI は、Eric Conrad によって開発されたオープンソース ツールで、ELK (Elasticsearch、Logstash、Kibana) を実行している Linux/Unix システムまたは Windows (PowerShell バージョン) 上のセキュリティ イベント ログを自動的に分析できます。 DeepBlueCLIは、Windowsのセキュリティ、システム、アプリケーション、PowerShell、Sysmonログで見つかった特定のイベントを迅速に検出できます。さらに、DeepBlueCLIは保存またはアーカイブされたEVTXファイルを迅速に処理できます。アクティビティイベントログサービスへのクエリには若干時間がかかりますが、それでも全体的には非常に効率的です。 ポータル: https://github.com/sans-blue-team/DeepBlueCLI をご覧ください。 9. サイバーシェフCyberChefはGCHQによって開発されたウェブアプリケーションで、業界では「ウェブのスイスアーミーナイフ」とも呼ばれています。Apache 2.0ライセンスに基づきライセンスされており、Crown Copyrightによって保護されています。 ユーザーは、Web ブラウザで CyberChef を直接使用して、バイナリおよび 16 進ダンプを作成し、データを圧縮/解凍し、ハッシュとチェックサムを計算し、IPv6 と X.509 を解決し、XOR および Base64 エンコーディングを含む文字エンコーディングを変更できます。 このプログラムを使用すると、セキュリティアナリストは、データのエンコード、デコード、フォーマット、解析、圧縮、抽出などの操作や、大規模な数学演算の実行など、非常に簡単な方法でデータを変更および使用できます。 ポータル: https://github.com/gchq/CyberChef. 10. フィッシングキャッチャーPhishing Catcherは、証明書透明性ログ(CTL)に送信された疑わしいTLS証明書情報を検査することで、主に潜在的なフィッシングやサイバー詐欺を検出します。最大の利点は、ほぼリアルタイムで動作することです。また、Pythonで記述され、YAMLで設定できるため、非常に使いやすいです。 GitHubによると、Phishing CatcherはYAML設定ファイルを使用して利用ポリシーを設定でき、ユーザーはデフォルト設定をダウンロードして実行することで迅速に導入できます。ただし、セキュリティ上の理由から、企業ユーザーはできるだけ早くデフォルト設定を調整することをお勧めします。macOSへのPhishing Catcherのインストールは難しい場合があるため、企業はツールのコンテナ化を検討することをお勧めします。 ポータル: https://github.com/x0rz/phishing_catcher. 参考リンク: https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/. |
