もうEDRしか勝たんという話
株式会社LITALICOでCSIRTはじめセキュリティ万事担当しております@taro-hiroiです。
アドベントカレンダーなどというハイカラなものは若い衆に任せておきたかったのですが
一念発起しCSIRT最前線から熱いEDR推しの怪文書をしたためました。
EDR欲しいが一歩踏み出せないセキュリティ担当者や情シス、駆け出しCSIRTの方に届けこの想い。
EDRはいいぞ。
そもそもEDRってなんぞや
Endpoint Detection and Response の頭文字。
なんのこっちゃ、という話ですが要するに**「エンドポイントの情報(インストールされているアプリケーション、ログ、起動プロセスなど)を収集し、エンドポイントでの脅威検知及び対応を支援するツール」**ってなところです。
所謂アンチウィルスソフトウェアと呼ばれてきたもの(これはこれでEndPointProtection、EPPなんて呼ばれてたりします)は、既知ウィルスの感染を「防御」することにフォーカスした製品群だったわけですが、EDRは「実際に顕在化した脅威を検出し、迅速に対応を行えるようにするもの」という位置付けです。最近主流のEDR製品にはNextGenerationEndPointProtection(以下NGEPP)という、既知脅威のみならず、未知脅威の防御にもフォーカスした機能がセットでついてることが大半ですので、既存EPPのリプレイス先として居座れるのも非常にポイント高いです。
※防御や検知、といった分類やその中身についてはサイバーセキュリティフレームワークがよくまとまってるのでご興味のある方はこちらをどうぞ
EDRがあってCSIRT的に嬉しいこと
リモートワーク対応、求められてませんか?求められてますね?
弊社のバックオフィス側のインフラチームはそれこそ本当に地獄を見ましたがなんとかリモートワークが成立する世界を従業員各位に提供することができたと自負しています。まだまだ発展途上ではありますが、その中でもEDRの担っている役割は極めて大きいです。CSIRT業務が継続できているのもEDRあってこそ、です。
リモートワーク対応でやれゼロトラストだ認証認可基盤だと言われて久しいところではありますが、まず真っ先にユーザの利用するデバイスを境界とした防衛ラインの構築をおススメします。
何がそんな推せるのか?についてかいつまんで説明します。
純粋に防御力がめちゃくちゃ上がる
NGEPP付きのEDRだと純粋にレガシなEPPと比較して防御能力が無茶苦茶上がります。
特に未知のマルウェアへの防御能力に顕著な差が出ます。検知ロジックの違いによる効果ですが、この辺りはどちらかというとNGEPPはいいぞになってしまうので詳細は割愛します。
昨今流行りのファイルレスマルウェアだったり、巷を賑わせているRagnaLockerのようなランサムウェアにもかなり強く、純粋な防御能力だけでも十分元取れるくらいに素敵です。昨今のトレンドとして「攻撃は防ぎきれないもの」という前提で様々な防衛ライン構築するわけですが、それでも事前に防げるものが多いにこしたことはないです。
端末で何が起きたのか本当にすぐわかる
所謂境界型NWの世界ですと、UTMなりEPPのアラートをトリガにえっちらおっちらFWのログを眺めたりプロキシのログを眺めたり、Windowsのイベントログ眺めたり特権アカウントのアクセス履歴やアクティビティログ舐めたり…といった調査活動を実施することになると思います。きちんとしたSIEM(Security Information and Event Management)がすでにあって、有用なログをひとっところでぶつけて分析できる基盤があるならもう少し短縮はできますが、そうでない場合「実際何が起きたのか」の調査だけで半日作業だったりします。
が、EDRだと5秒で不審なアクティビティを起点に、前後のプロセスが一瞥できます。インシデント対応においては、対応の即時性は本当に重要です。白黒付かないからとりあえず調査しよう、とのんびり半日過ごしてる間にラテラルムーブメント(同一NW内での感染拡大を試みる動きのこと)で同一NW内の端末が全滅しました、なんてのも決してない話ではないのです。
具体例でいうと**どこぞの端末でウェブメール経由でダウンロードしてきた.docxファイルからPowerShellが実行されてどこぞのURLと通信を行おうとしていたよ!通信先URLからなんかマルウェアのモジュールぽいものをダウンロードしようとしてたよ!だからプロセス殺したよ!このファイル怪しいからブラックリストいれる?**までが本当に5秒で一瞥できます。接続元グローバルIPやローカルIPはもちろん、製品によっては当該端末で残存してる脆弱性がどの程度あるか、みたいな情報が取れたりもします。仮にSIEMがあったとしても、ここまでの精度で情報を持ってるログソースってなかなか無いはずなので、解像度の高いセンサとしても極めて優秀です。(もちろんSIEMと連携するのもアリ)
いつでもどこでも対応が可能になる
EDRの手足の部分、とでも言える即時対応の支援機能がこれまた素敵です。多くのEDR製品では、GUIから登録端末の隔離やリモートシェルによる各種初動対応が実施できるようになっています。世はまさに大リモートワーク時代。そう、**端末は社内にあるとは限らないし、CSIRTも社内に居るとは限らないんです。**インシデントを検知したとてセキュリティチームによる即時対応はこういった手足になるツールがないと初動対応の不備や遅れに直結します。そして初動対応の不備や遅れはそのまま致命傷になりえます。インシデントの初動対応は迅速な検知、迅速なトリアージと迅速な措置が決め手です。これらを行う上で必要な情報や機能が単体で完結して揃う、という点でEDRは本当に優秀です。メモリのダンプ取れるものもあれば、ファイルPUTができるものもあるのでフォレンジックツール入れてアーティファクトゴッソリ持ってきたり、なんてこともできます。たいへんべんり。
EDRのつらいところ
褒めてばっかりでどっかの回しモンか?実はなんかつらいところあるんじゃないのか?という話なんですが、実はつらいところ今のところそんなに感じたことがありません。
- 安くはない
- 過検知は割とある
- キッティングプロセスで特権使ってたり、内製アプリのexeとかで結構引っかかりがち
強いて上げればこのくらいでしょうか。許容範囲です。
EDRはいいぞ。
EDRはいいぞ
つらつらと褒め称えてはきましたが、**「導入した!無敵!」**という製品では決してなく。
強靭な意思と断固たる決意をもってインシデントレスポンスをやると覚悟を決めた担当者に寄り添い、圧倒的防御力、高精度な情報、即時対応の手段をもってそれを支援してくれるものにすぎません。月並みですが、やはりきちんと運用をしないと持ち腐れる類のツールではあります。
ですが、この覚悟をもってインシデント対応業務に臨んでいる人間にとっては紛れもなく神器です。というかこれ標準装備でないと今後戦っていけないまであります。CSIRTの最前線から導入検討中の各位の背中を押します。
EDRはいいぞ。
明日は@umi_moriさんの記事です。お楽しみに。