2022年7月22日:

セキュリティインシデントが発生した際、悪意のあるアクティビティやその影響を理解することは、多くの企業／団体にとって難しい問題です。防御側が必要とする、攻撃を封じ込めて被害を最小限に抑えるための貴重な時間とリソースが、まず理解のために使用されてしまうのです。こうしたなか、先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) は、ブルーチーム (防御側) が検知した疑わしい活動の可視性を向上させるための新しいオープンソースツールである『Detectree』を発表しました。

ウィズセキュアのManaged Detection and Resposense (MDR)サービスのシニアスレットハンターであるTom Barrow (トム・バロウ) は、インシデントレスポンス担当者にとってはエンドポイント上の疑わしいイベント間の繋がりを発見することが最も重要だと説明しています。
「視認性は常に優先され、インシデント発生時には不可欠なものです。インシデントレスポンス担当者は、常に時間に翻弄されています。また、攻撃を阻止しなければならないというプレッシャー下においては、大量のテキストデータに目を通し、調査対象となる疑わしい動きとの関連付けを行うことは、問題の解決という観点からは無駄な時間なのです。」

(Detectreeによって、アクティビティをフォレスト／ツリーのように表して可視化)

例えば、インシデントアナリストが疑わしいプロセスの原因を探ろうとする場合、通常はログデータに目を通し、手作業でイベントの繋がりを再構築する必要があります。作業が長引くほどその管理は難しくなります。また、最近の調査*¹によると1日あたり約11,000件とも言われる大企業のブルーチームが直面するセキュリティアラートの数を考慮すると、このプロセスはセキュリティチームにとって大きな負荷となり、アラート疲れや燃え尽き症候群などの問題を悪化させる可能性があります。

Detectree はログデータを構造化し、検出された疑わしいアクティビティと、その検出に関連するプロセス／宛先ネットワーク／ファイル／レジストリキーとの関係を可視化することにより、ブルーチームが調査作業を省力化できるように設計されています。イベントの繋がりを再構築するためにテキストとして表現されたデータを手作業で分類するのではなく、インシデントレスポンス担当者は視覚化されたものを見て、相互作用／親子関係／プロセスインジェクションなどの繋がりだけでなく、繋がりの性質を確認することができます。可視化により、インシデントレスポンス担当者は検出された状況をすばやく確認し、そのデータをシンプルで直感的な方法で関係者と共有し、情報を必要とするすべての人がアクセスできるようにすることができます。

(インシデントレスポンス担当者が直観的に理解できるように、繋がりを視覚化)

「経験豊富な熟練のブルーチームであっても、業務の精度をより向上させるためのツールが必要となります。Detectreeはシンプルなツールですが、セキュリティチームにとっては自分たちの仕事を不必要に難しくし時間を浪費させる真の問題を取り除いてくれるツールなのです。」と、Barrowは締めくくっています。

Detectreeは、WithSecure CounterceptのGitHubページでダウンロードが可能です。
https://github.com/countercept/detectree
また、Detectreeのデモ動画はこちらよりご覧いただけます。
https://www.withsecure.com/content/dam/with-secure/ja/resources/Detectree_demo.mp4

*1: https://www.eweek.com/security/challenges-of-the-soc-decision-intelligence/

【本件に関する報道関係者からのお問合せ先】

ウィズセキュア株式会社
広報部　 　秦　和哉
TEL: 03-4578-7745 (直通) 080-6842-8222 (モバイル)
press-jp@withsecure.com