SlideShare a Scribd company logo

HDC2022:Track A - 脅威ハンティング

Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE

Hardening Designers Conference 2022で実施した脅威ハンティングについて話した資料です。

Technology
1 of 13
Download to read offline
Track A : 脅威ハンティング ~Part I:脅威ハンティングの基礎理論~ Hardening Designers Conference 2022 – Day 3 東京海上ホールディングス株式会社 IT企画部 リスク管理G 石川 朝久, Ph.D., CISSP, CSSLP, CISA, CISM, CFE, PMP
自己紹介:石川 朝久(いしかわ ともひさ) 1 • 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ • 専門 :不正アクセス技術・インシデント対応・セキュリティ運用・グローバルセキュリティ戦略 etc. • 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CDPSE, CFE, PMP, 情報処理安全確保支援士, AWS Security, GIACs • 経歴 : • 2009.04 – 2019.03 :某セキュリティ企業 • 脆弱性診断・侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc. • 1年間、米国金融機関セキュリティチームに所属した経験あり • 2019.04 – 現在 :東京海上ホールディングス株式会社 • CSIRT運用・脅威インテリジェンス分析・グローバルセキュリティ戦略・国内外グループ企業のセキュリティ支援 etc. • 対外活動(抜粋): – SANSFIRE 2011 Speaker(2011) – DEFCON 24 SE Village Speaker (2016) – Internet Week 2018 - 2020 (2018-2020) – IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) – IPA 「10大脅威執筆者会」メンバー(2010~2014, 2019~) – オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳(2018) – オライリー社『初めてのマルウェア解析』翻訳(2020) – オライリー社『詳解 インシデントレスポンス』翻訳(2022) – オライリー社『マスタリング Ghidra』監訳(2022) – 技術評論社 『脅威インテリジェンスの教科書』執筆(2022)
目次 2 • 本日お伝えしたいこと: – 本カンファレンスのテーマである「堅牢化実践のデザイン」を実践するため、「脅威ハンティング」は 重要な要素になると考えます。本セッションでは「脅威ハンティング」の基本概念・手法について 解説します。 • 目次: – 脅威ハンティングとは? – 脅威ハンティングプロセス – 脅威ハンティングの4種類のアプローチ – 脅威ハンティングの前提条件・技術 • 注意: • 本内容は全て講演者個人の見解を含んでおり、所属企業、部門、その他所属組織の見解を代表するもので はありません。 • 製品名・ベンダー名・スクリプトなどが登場した場合、利用については各組織にて検証・判断をお願いし ます。
脅威ハンティングとは? 3 脅威ハンティング(Threat Hunting)とは? • セキュアワークス社による定義: – 既存のセキュリティ対策を回避する現在/過去の脅威を能動的・再帰的に調査し、その情報を利用して サイバーレジリエンスを向上させること(=プロアクティブなアプローチ) • なぜ、脅威ハンティングが重要なのか? – 攻撃手法、セキュリティ対策の回避手法が進歩しているため、シグニチャに頼った防御モデルが成立しなくなったため。 – LoLBaS攻撃の割合が増え、正規のアクティビティなのか、攻撃なのか、判断が難しいケースが増えているため。 – 参考: LoLBaS攻撃(Living Off the Land Binaries and Script攻撃) • 侵入環境にインストールされているソフトウェア、OSデフォルト機能、ネイティブツール・スクリプトを悪用して攻撃する手法 • プロセスモデル:どのように脅威ハンティングを実施するか? – 色々なモデルは存在しますが、今日はエッセンスを抽出した簡易版でご紹介します。
参考:脅威ハンティングプロセスモデル 4 • プロセスモデル:どのように脅威ハンティングを実施するか? • Sqrrl社 :Hunting Loop • Carbon Black社 :The Carbon Black Hunt Chain • CyberReason社 :Threat Hunting 8 Steps • SANS Institute :SANS Threat Hunting Model • SANS Institute :Intelligence Driven Threat Hunting • FI-ISAC NL :TaHiTI(Targeted Hunting integrating Threat Intelligence) • TaHiTI: Targeted Hunting integrating Threat Intelligence
脅威ハンティングプロセス 5 脅威ハンティングプロセスは、本質的に3つのフェーズで構成される。 • その中でも、「仮説構築」フェーズが最も重要。 – 仮説により、脅威ハンティングの品質や、実際にHuntingを行う「仮説の検証」フェーズの作業が決まるため。 • 「仮説構築」の具体例:4点を整理する – 仮説構築:(攻撃により)不審なドメインアカウントが作成されている。 – 調査対象:ドメインコントローラサーバ上のWindows Event Log – 調査方法:イベントID(ID : 4720)で絞り込み、サービスデスクが稼働していない時刻にアカウント作成されたログエントリを探す。 – 判断基準: 当該エントリがでた場合、悪性(=攻撃の痕跡あり)と判断する。 検証可能な仮説構築 (Create Hypothesis) 仮説の検証 (Hunting) インシデント対応 (Incident Response) ドキュメント (Documentation) 成功(攻撃の痕跡あり) 失敗(攻撃の痕跡なし) 仮説構築に戻る <脅威ハンティングプロセス>
脅威ハンティングプロセス 6 • 仮説構築の重要性: – 脅威ハンティングは、「既存のセキュリティ対策を回避する現在/過去の脅威」を見つける手法である。 – そのため、「仮説 → 検証」の科学的アプローチを採用しないと以下の危険性がある。 1. 終わりなき作業になってしまう。 2. 再現性がない作業になってしまう。 3. 悪性か否かの判断がアナリストの主観的判断になってしまう。 • 適切な「検証可能な仮説構築」を行うためにはどうすればよいか? – 脅威ハンティングのアプローチ手法: • 「検証可能な仮説」をどのように構築するか、考え方・思考法を整理します。 – 脅威ハンティングの前提条件・技術: • 「検証可能な仮説」を支える前提条件・技術についてご説明します。
脅威ハンティングの4種類のアプローチ 7 • 脅威ハンティングアプローチは、大きく4種類存在する。 • この4種類の観点から、各レイヤーの調査を行っていく。 ABH (Attack based Hunting) DBH (Data based Hunting) EBH (Entity based Hunting) IBH (Intel based Hunting) 概要 MITRE ATT&CKなど、攻撃手法を軸 に仮説構築を行う手法。 データに現れるアノマリー(異常値) に注目して仮説構築を行う手法。 特定のデータ・端末・ユーザなど、高 リスク・高価値のエンティティに注目 して仮説構築を行う手法。 外部から入手した脅威インテリジェン スを軸に仮説構築を行う手法。 事例 • 「不審なドメインアカウント作成」 (T1136.002)の調査を行う。 • 接続先IPアドレスをGeolocation情 報とマッチングして頻度分析を行い、 頻度が低いかつ普段やり取りしない 国のIPアドレスを調査する。 • 脆弱性パッチの当たっていない端末 に対する不信な挙動有無を確認する。 • ドメイン管理者権限を持つアカウン トに対し、不審なログイン挙動がな いか検証する。 • IOCに基づく調査。 • ISACから得た他社攻撃情報をもと に、調査を行う。 • Deceptionを活用する。 ABH DBH EBH IBH データ アカウント ソフトウェア 端末 / OS ネットワーク
脅威ハンティングの前提条件・技術 8 • 脅威ハンティングを実現するための前提条件は以下の通り。 – Full-Spectrum Visibility(徹底的な可視化) • 脅威ハンティングを行う上では、仮説をちゃんと検証できるためのデータが必要となる。 • そのため、「技術的」には検証可能な仮説も、データ収集基盤・データ分析基盤がないと分析ができず 効率的な脅威ハンティングができない可能性がある。 – Know-Normalの原則: • 脅威ハンティングの重要なキーワードの一つにアノマリー(異常値)がある。 • 異常値を把握するためには、普段の状態(Normalな状態)を知っておく必要がある。そのため、 徹底的な可視化を行った後、「普段の状態」を正しく理解する必要がある。 – 例)端末の命名則 – 例)普段利用されているアカウント – 例)ドメイン管理者アカウントの割合・利用状況 – 例)普段組織内で利用されているバイナリ・EXEファイル
脅威ハンティングの前提条件・技術 9 • 脅威ハンティングを支える技術: – Windows Event Logからすると始めやすい! • Hayabusa :https://github.com/Yamato-Security/hayabusa • Sysmon Search :https://github.com/JPCERTCC/SysmonSearch
脅威ハンティングの前提条件・技術 10 登場してきているキーワード・トレンド: • XDR:Extended Detection and Response – XDRの定義はまだ厳密に定まっていない(講演者の観測範囲において) – 参考:Gartnerによる定義 • XDRとは、(予防・検知・対応を支援する)複数のセキュリティ製品からのデータとアラートを 統合・相関・コンテクスト化するプラットフォーム – (講演者の)現時点での理解:製品領域・自由度を減らす代わりに、サービス提供領域を拡大 • 対象製品 :(サービス提供会社の)自社製品 OR 厳選されたパートナー製品に限定 • 分析の自由度 :カスタマイズ性などを減らす代わりに、対象製品の相関分析に特化 • サービスのカバー領域 :Detection & Responseの領域を拡大(例:Endpoint → Endpoint + α) → 脅威ハンティングの新しいプラットフォームとなっていく(と思う)。 • ITDR:ID Threat Detection & Response – Gartner社「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」として挙げている。 – 侵害の多くは、IDの悪用が起点となるため、IDの利用を検知・対応するサービスが少しづつ登場している。 – 脅威ハンティングの観点でも、IDに注目する重要性はより高くなる(と思う)。
まとめ 11 • 脅威ハンティングとは? – 既存のセキュリティ対策を回避する現在/過去の脅威を能動的・再帰的に調査し、その情報を利用して サイバーレジリエンスを向上させること • 脅威ハンティングプロセス – 「仮説構築 → 検証」のプロセス • 脅威ハンティングの4種類のアプローチ – ABH(Attack based Hunting) – DBH(Data based Hunting) – EBH(Entity based Hunting) – IBH(Intelligence based Hunting) • 脅威ハンティングの前提条件・技術 – Full-Spectrum Visibility(徹底的な可視化) – Know Normalの原則 – XDR, ITDR…
12 Thank You!

Recommended

Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down Intruders
Infosec
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
OWASP Delhi
 
Threat Hunting with Splunk
Threat Hunting with SplunkThreat Hunting with Splunk
Threat Hunting with Splunk
Splunk
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
Splunk
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
Digit Oktavianto
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat Hunting
Dhruv Majumdar
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 

Recommended

Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down Intruders
Infosec
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
OWASP Delhi
 
Threat Hunting with Splunk
Threat Hunting with SplunkThreat Hunting with Splunk
Threat Hunting with Splunk
Splunk
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
Splunk
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
Digit Oktavianto
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat Hunting
Dhruv Majumdar
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Cyber Threat Hunting with Phirelight
Cyber Threat Hunting with PhirelightCyber Threat Hunting with Phirelight
Cyber Threat Hunting with Phirelight
Hostway|HOSTING
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
Teymur Kheirkhabarov
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
Splunk
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
Ben Boyd
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
Sqrrl
 
Windows Threat Hunting
Windows Threat HuntingWindows Threat Hunting
Windows Threat Hunting
GIBIN JOHN
 
SEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill ChainSEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill Chain
Erik Van Buggenhout
 
The Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query LanguageThe Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query Language
Ross Wolf
 
Cyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metricsCyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metrics
Mark Arena
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
Panda Security
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Sergey Soldatov
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
Dhruv Majumdar
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2
Smart Grid Interoperability Panel
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement Matrice
Vishal Kumar
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
Morane Decriem
 
Adversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSEAdversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSE
Jorge Orchilles
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
MITRE ATT&CK
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
Sunny Neo
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for Beginners
SKMohamedKasim
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 

More Related Content

What's hot

Cyber Threat Hunting with Phirelight
Cyber Threat Hunting with PhirelightCyber Threat Hunting with Phirelight
Cyber Threat Hunting with Phirelight
Hostway|HOSTING
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
Teymur Kheirkhabarov
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
Splunk
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
Ben Boyd
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
Sqrrl
 
Windows Threat Hunting
Windows Threat HuntingWindows Threat Hunting
Windows Threat Hunting
GIBIN JOHN
 
SEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill ChainSEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill Chain
Erik Van Buggenhout
 
The Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query LanguageThe Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query Language
Ross Wolf
 
Cyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metricsCyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metrics
Mark Arena
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
Panda Security
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Sergey Soldatov
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
Dhruv Majumdar
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2
Smart Grid Interoperability Panel
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement Matrice
Vishal Kumar
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
Morane Decriem
 
Adversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSEAdversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSE
Jorge Orchilles
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
MITRE ATT&CK
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
Sunny Neo
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for Beginners
SKMohamedKasim
 

What's hot (20)

Cyber Threat Hunting with Phirelight
Cyber Threat Hunting with PhirelightCyber Threat Hunting with Phirelight
Cyber Threat Hunting with Phirelight
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
Windows Threat Hunting
Windows Threat HuntingWindows Threat Hunting
Windows Threat Hunting
 
SEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill ChainSEC599 - Breaking The Kill Chain
SEC599 - Breaking The Kill Chain
 
The Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query LanguageThe Hunter Games: How to Find the Adversary with Event Query Language
The Hunter Games: How to Find the Adversary with Event Query Language
 
Cyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metricsCyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metrics
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement Matrice
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
 
Adversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSEAdversary Emulation and Red Team Exercises - EDUCAUSE
Adversary Emulation and Red Team Exercises - EDUCAUSE
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for Beginners
 

Similar to HDC2022:Track A - 脅威ハンティング

Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
Nobukazu Yoshioka
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
 
Security measures
Security measuresSecurity measures
Security measures
shusuke-ichikawa
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
 
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
Trainocate Japan, Ltd.
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチームエーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
Yumiko Tsukada
 
エーピーコミュニケーションズ セキュリティ分析チームのご紹介
エーピーコミュニケーションズ セキュリティ分析チームのご紹介 エーピーコミュニケーションズ セキュリティ分析チームのご紹介
エーピーコミュニケーションズ セキュリティ分析チームのご紹介
APCommunications-recruit
 
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチームエーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
Yumiko Tsukada
 
情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用
Ruo Ando
 

Similar to HDC2022:Track A - 脅威ハンティング (20)

Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
Security measures
Security measuresSecurity measures
Security measures
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチームエーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
 
エーピーコミュニケーションズ セキュリティ分析チームのご紹介
エーピーコミュニケーションズ セキュリティ分析チームのご紹介 エーピーコミュニケーションズ セキュリティ分析チームのご紹介
エーピーコミュニケーションズ セキュリティ分析チームのご紹介
 
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチームエーピーコミュニケーションズ 仕事紹介 セキュリティチーム
エーピーコミュニケーションズ 仕事紹介 セキュリティチーム
 
情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用
 

Recently uploaded

気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
Shinichi Hirauchi
 
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
iPride Co., Ltd.
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
Osaka University
 
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
Takuya Minagawa
 
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
Osaka University
 
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
Seiya Shimabukuro
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
Yuki Miyazaki
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
sugiuralab
 
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
Hideo Kashioka
 
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDDなぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
ssuserfcafd1
 
Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024
Hirotaka Kawata
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
ARISE analytics
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
kitamisetagayaxxx
 

Recently uploaded (13)

気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
 
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
 
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
 
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
 
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
 
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
 
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDDなぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
 
Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
 

HDC2022:Track A - 脅威ハンティング

  • 1. Track A : 脅威ハンティング ~Part I:脅威ハンティングの基礎理論~ Hardening Designers Conference 2022 – Day 3 東京海上ホールディングス株式会社 IT企画部 リスク管理G 石川 朝久, Ph.D., CISSP, CSSLP, CISA, CISM, CFE, PMP
  • 2. 自己紹介:石川 朝久(いしかわ ともひさ) 1 • 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ • 専門 :不正アクセス技術・インシデント対応・セキュリティ運用・グローバルセキュリティ戦略 etc. • 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CDPSE, CFE, PMP, 情報処理安全確保支援士, AWS Security, GIACs • 経歴 : • 2009.04 – 2019.03 :某セキュリティ企業 • 脆弱性診断・侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc. • 1年間、米国金融機関セキュリティチームに所属した経験あり • 2019.04 – 現在 :東京海上ホールディングス株式会社 • CSIRT運用・脅威インテリジェンス分析・グローバルセキュリティ戦略・国内外グループ企業のセキュリティ支援 etc. • 対外活動(抜粋): – SANSFIRE 2011 Speaker(2011) – DEFCON 24 SE Village Speaker (2016) – Internet Week 2018 - 2020 (2018-2020) – IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) – IPA 「10大脅威執筆者会」メンバー(2010~2014, 2019~) – オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳(2018) – オライリー社『初めてのマルウェア解析』翻訳(2020) – オライリー社『詳解 インシデントレスポンス』翻訳(2022) – オライリー社『マスタリング Ghidra』監訳(2022) – 技術評論社 『脅威インテリジェンスの教科書』執筆(2022)
  • 3. 目次 2 • 本日お伝えしたいこと: – 本カンファレンスのテーマである「堅牢化実践のデザイン」を実践するため、「脅威ハンティング」は 重要な要素になると考えます。本セッションでは「脅威ハンティング」の基本概念・手法について 解説します。 • 目次: – 脅威ハンティングとは? – 脅威ハンティングプロセス – 脅威ハンティングの4種類のアプローチ – 脅威ハンティングの前提条件・技術 • 注意: • 本内容は全て講演者個人の見解を含んでおり、所属企業、部門、その他所属組織の見解を代表するもので はありません。 • 製品名・ベンダー名・スクリプトなどが登場した場合、利用については各組織にて検証・判断をお願いし ます。
  • 4. 脅威ハンティングとは? 3 脅威ハンティング(Threat Hunting)とは? • セキュアワークス社による定義: – 既存のセキュリティ対策を回避する現在/過去の脅威を能動的・再帰的に調査し、その情報を利用して サイバーレジリエンスを向上させること(=プロアクティブなアプローチ) • なぜ、脅威ハンティングが重要なのか? – 攻撃手法、セキュリティ対策の回避手法が進歩しているため、シグニチャに頼った防御モデルが成立しなくなったため。 – LoLBaS攻撃の割合が増え、正規のアクティビティなのか、攻撃なのか、判断が難しいケースが増えているため。 – 参考: LoLBaS攻撃(Living Off the Land Binaries and Script攻撃) • 侵入環境にインストールされているソフトウェア、OSデフォルト機能、ネイティブツール・スクリプトを悪用して攻撃する手法 • プロセスモデル:どのように脅威ハンティングを実施するか? – 色々なモデルは存在しますが、今日はエッセンスを抽出した簡易版でご紹介します。
  • 5. 参考:脅威ハンティングプロセスモデル 4 • プロセスモデル:どのように脅威ハンティングを実施するか? • Sqrrl社 :Hunting Loop • Carbon Black社 :The Carbon Black Hunt Chain • CyberReason社 :Threat Hunting 8 Steps • SANS Institute :SANS Threat Hunting Model • SANS Institute :Intelligence Driven Threat Hunting • FI-ISAC NL :TaHiTI(Targeted Hunting integrating Threat Intelligence) • TaHiTI: Targeted Hunting integrating Threat Intelligence
  • 6. 脅威ハンティングプロセス 5 脅威ハンティングプロセスは、本質的に3つのフェーズで構成される。 • その中でも、「仮説構築」フェーズが最も重要。 – 仮説により、脅威ハンティングの品質や、実際にHuntingを行う「仮説の検証」フェーズの作業が決まるため。 • 「仮説構築」の具体例:4点を整理する – 仮説構築:(攻撃により)不審なドメインアカウントが作成されている。 – 調査対象:ドメインコントローラサーバ上のWindows Event Log – 調査方法:イベントID(ID : 4720)で絞り込み、サービスデスクが稼働していない時刻にアカウント作成されたログエントリを探す。 – 判断基準: 当該エントリがでた場合、悪性(=攻撃の痕跡あり)と判断する。 検証可能な仮説構築 (Create Hypothesis) 仮説の検証 (Hunting) インシデント対応 (Incident Response) ドキュメント (Documentation) 成功(攻撃の痕跡あり) 失敗(攻撃の痕跡なし) 仮説構築に戻る <脅威ハンティングプロセス>
  • 7. 脅威ハンティングプロセス 6 • 仮説構築の重要性: – 脅威ハンティングは、「既存のセキュリティ対策を回避する現在/過去の脅威」を見つける手法である。 – そのため、「仮説 → 検証」の科学的アプローチを採用しないと以下の危険性がある。 1. 終わりなき作業になってしまう。 2. 再現性がない作業になってしまう。 3. 悪性か否かの判断がアナリストの主観的判断になってしまう。 • 適切な「検証可能な仮説構築」を行うためにはどうすればよいか? – 脅威ハンティングのアプローチ手法: • 「検証可能な仮説」をどのように構築するか、考え方・思考法を整理します。 – 脅威ハンティングの前提条件・技術: • 「検証可能な仮説」を支える前提条件・技術についてご説明します。
  • 8. 脅威ハンティングの4種類のアプローチ 7 • 脅威ハンティングアプローチは、大きく4種類存在する。 • この4種類の観点から、各レイヤーの調査を行っていく。 ABH (Attack based Hunting) DBH (Data based Hunting) EBH (Entity based Hunting) IBH (Intel based Hunting) 概要 MITRE ATT&CKなど、攻撃手法を軸 に仮説構築を行う手法。 データに現れるアノマリー(異常値) に注目して仮説構築を行う手法。 特定のデータ・端末・ユーザなど、高 リスク・高価値のエンティティに注目 して仮説構築を行う手法。 外部から入手した脅威インテリジェン スを軸に仮説構築を行う手法。 事例 • 「不審なドメインアカウント作成」 (T1136.002)の調査を行う。 • 接続先IPアドレスをGeolocation情 報とマッチングして頻度分析を行い、 頻度が低いかつ普段やり取りしない 国のIPアドレスを調査する。 • 脆弱性パッチの当たっていない端末 に対する不信な挙動有無を確認する。 • ドメイン管理者権限を持つアカウン トに対し、不審なログイン挙動がな いか検証する。 • IOCに基づく調査。 • ISACから得た他社攻撃情報をもと に、調査を行う。 • Deceptionを活用する。 ABH DBH EBH IBH データ アカウント ソフトウェア 端末 / OS ネットワーク
  • 9. 脅威ハンティングの前提条件・技術 8 • 脅威ハンティングを実現するための前提条件は以下の通り。 – Full-Spectrum Visibility(徹底的な可視化) • 脅威ハンティングを行う上では、仮説をちゃんと検証できるためのデータが必要となる。 • そのため、「技術的」には検証可能な仮説も、データ収集基盤・データ分析基盤がないと分析ができず 効率的な脅威ハンティングができない可能性がある。 – Know-Normalの原則: • 脅威ハンティングの重要なキーワードの一つにアノマリー(異常値)がある。 • 異常値を把握するためには、普段の状態(Normalな状態)を知っておく必要がある。そのため、 徹底的な可視化を行った後、「普段の状態」を正しく理解する必要がある。 – 例)端末の命名則 – 例)普段利用されているアカウント – 例)ドメイン管理者アカウントの割合・利用状況 – 例)普段組織内で利用されているバイナリ・EXEファイル
  • 10. 脅威ハンティングの前提条件・技術 9 • 脅威ハンティングを支える技術: – Windows Event Logからすると始めやすい! • Hayabusa :https://github.com/Yamato-Security/hayabusa • Sysmon Search :https://github.com/JPCERTCC/SysmonSearch
  • 11. 脅威ハンティングの前提条件・技術 10 登場してきているキーワード・トレンド: • XDR:Extended Detection and Response – XDRの定義はまだ厳密に定まっていない(講演者の観測範囲において) – 参考:Gartnerによる定義 • XDRとは、(予防・検知・対応を支援する)複数のセキュリティ製品からのデータとアラートを 統合・相関・コンテクスト化するプラットフォーム – (講演者の)現時点での理解:製品領域・自由度を減らす代わりに、サービス提供領域を拡大 • 対象製品 :(サービス提供会社の)自社製品 OR 厳選されたパートナー製品に限定 • 分析の自由度 :カスタマイズ性などを減らす代わりに、対象製品の相関分析に特化 • サービスのカバー領域 :Detection & Responseの領域を拡大(例:Endpoint → Endpoint + α) → 脅威ハンティングの新しいプラットフォームとなっていく(と思う)。 • ITDR:ID Threat Detection & Response – Gartner社「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」として挙げている。 – 侵害の多くは、IDの悪用が起点となるため、IDの利用を検知・対応するサービスが少しづつ登場している。 – 脅威ハンティングの観点でも、IDに注目する重要性はより高くなる(と思う)。
  • 12. まとめ 11 • 脅威ハンティングとは? – 既存のセキュリティ対策を回避する現在/過去の脅威を能動的・再帰的に調査し、その情報を利用して サイバーレジリエンスを向上させること • 脅威ハンティングプロセス – 「仮説構築 → 検証」のプロセス • 脅威ハンティングの4種類のアプローチ – ABH(Attack based Hunting) – DBH(Data based Hunting) – EBH(Entity based Hunting) – IBH(Intelligence based Hunting) • 脅威ハンティングの前提条件・技術 – Full-Spectrum Visibility(徹底的な可視化) – Know Normalの原則 – XDR, ITDR…