サイバーニュース.jp

世界のサイバーなニュースを配信

NDRを活用してネットワーク上のダークウェブ脅威を特定する方法

カテゴリ:

, , , , , , , , ,

NDRでダークウェブ脅威を特定する重要性

サイバーセキュリティの専門家は、企業ネットワークがランサムウェア、不正な内部活動、データ流出といったダークウェブのリスクにとって格好の標的であることを認識しています。しかし、これらの活動の証拠が日常のネットワークトラフィックの中に隠されていることはあまり知られていません。ネットワーク検知・対応(NDR)を利用するセキュリティリーダーにとって、これらの隠れたシグナルは防御の機会となります。ネットワーク上のダークウェブ脅威を特定する方法を知りたいですか?NDRを検知と調査に活用するための、以下の4つの重要なステップから始めましょう。

ダークウェブへのゲートウェイを理解する

パブリックウェブとは異なり、ダークウェブはTorブラウザ、Invisible Internet Project(I2P)、FreenetのP2P(ピアツーピア)ネットワークといった匿名化ツールに依存しています。これらはユーザーの発信元を隠し、トラフィックを暗号化し、検知を回避します。活動を隠蔽する能力があるにもかかわらず、ダークウェブの動きの兆候はネットワークデータに捉えられます。特徴的な兆候には、異常なポート使用、暗号化されたトラフィックパターン、Torのエントリーノードまたはイグジットノードとの通信(ステップ4で詳しく説明)などがあります。

NDR(ネットワーク検知・対応)とは

NDRシステムは、AI、機械学習、行動分析を活用して、疑わしいまたは悪意のあるアクティビティを特定し、ネットワークトラフィックをリアルタイムで監視します。NDRはまた、ネットワークアクティビティの包括的な記録を保持し、不可欠な履歴とコンテキストを提供します。これらの洞察により、チームはNDRをSOCインフラストラクチャとプロセスに統合し、サイバー脅威(ダークウェブによるものを含む)の検知時間(MTTD)と対応時間(MTTR)を改善できます。

包括的なダークウェブ可視性のためのNDR導入

コアネットワーク、エッジ環境、内部セグメント全体でトラフィックを監視します。主な推奨事項は以下の通りです。

  • NDRセンサーを戦略的な場所に配置する: コマンド&コントロール(C2)活動やデータ流出の試みを捕捉するため、高価値資産を収容するネットワークセグメントに焦点を当てます。
  • 南北トラフィックを分析する: 内部から外部への通信をNDRで検査し、ダークウェブとの潜在的な相互作用を検知します。
  • ラテラルムーブメントを追跡する: デバイス間の内部トラフィックを監視し、ダークウェブ関連の脅威を示す可能性のある兆候を探します。

NDRによる検知とハンティング

ネットワークのベースライン設定

NDRの導入は、多くの場合、プラットフォームが組織の通常のトラフィックを学習するための30日間のネットワークベースライン期間から始まります。完了すると、NDRはダークウェブ活動の指標を自動的にフラグ付けできます。これには以下が含まれます。

  • 以前に不明だった外部IPとの新規通信
  • 過剰なピア接続
  • 不審なファイル転送プロトコルまたは異常なドメインへのトラフィック
  • 通常を装った異常なアウトバウンドトラフィック(ダークウェブマーケットプレイスへのデータ流出の可能性を示す)

ベースラインが確立されたら、NDR設定を調整して、ターゲットとなるダークウェブ指標の検知を自動化できます。ネットワークがすでに侵害されている場合、NDRが脅威活動を「正常」と認識しないように注意する必要があります。これが、ネットワークのベースライン設定に積極的な分析と環境の理解が必要な理由です。

Torアクティビティの自動検知

  • デフォルトのTorポート(9001、9030、9050)を介して通信するデバイスに対して動的なアラートを設定します。
  • 圧縮されたTLSヘッダー、独自のネゴシエーション動作、異常に長いセッション、高帯域幅使用量などの不規則なパターンがないか、トンネルログを監視します。
  • 特徴的なパケット長やハンドシェイクを含むTorトラフィックのシグネチャをスキャンします。
  • 既知のTorエントリーノード、リレー、ブリッジ、およびObfourscatorまたは「obfs4」ノードへの接続を追跡します。
  • 複数の外部IP間を頻繁に切り替えるトラフィックや、匿名化サービスとやり取りするトラフィックにフラグを立てます。

CorelightのOpen NDR PlatformとInvestigatorは、ネットワークメタデータ(接続、プロトコル、TLS接続と証明書を含む)、Suricataシグネチャ、機械学習アルゴリズムによる検知を通じて、Tor接続への可視性を提供できます。

I2PおよびP2P接続の監視

  • I2Pポート(7650~7659)およびBitTorrent/P2Pポート(6881~6889)でのトラフィックに対して動的なアラートを設定します。
  • ランダムまたは外部IPへの高帯域幅のアウトバウンドUDPトラフィック(I2Pトンネルを示す)を監視します。
  • I2Pピアディスカバリで一般的な、見慣れないまたは未解決のIPや不明瞭なUDPポートへの定期的なスパイクに注意します。
  • 分散型IP全体で永続的で長時間のP2Pセッションを検知します(Freenetアクティビティを示す)。
  • Freenetやその他の匿名化ツールに典型的な自己署名証明書を探します。
  • 高エントロピーまたはランダムなドメイン名への永続的な接続を示すワークステーションやデバイス(IoTを含む)にフラグを立てます(匿名化サービスの一般的な兆候)。

CorelightのEncrypted Traffic Collectionは、異常な証明書、予期せぬ暗号化、および暗号化されたI2PおよびP2P接続の使用を示す可能性のあるその他のTLS異常を特定するのに役立ちます。

不審なDNSアクティビティの追跡

  • .onionアドレス、珍しいサブドメイン、匿名化ツールに関連するドメインへのアクセス試行についてDNSログを監視します。
  • 評判の低い、めったに使用されない、または悪意のあるドメイン(特にVPNやプロキシにリンクされているもの)へのクエリにフラグを立てます。例えば、旧ソ連のために予約されている.suドメインを含むDNSリクエストは、ほとんどの場合、正当ではありません。
  • 内部DNSを回避し、代わりに外部DNSサーバーを使用するデバイスを検知します。これは匿名化ツールの使用を示す可能性がありますが、組織のネットワークセキュリティポリシーや設定の違反である可能性もあります。

VPN接続の監視

  • よく知られた消費者向けVPNプロバイダー(例:NordVPN、ExpressVPN、ProtonVPN)への接続を検知します。
  • 非標準のVPNポート(OpenVPN: 1194、Layer Two Transport Protocol、またはL2TP: 1701)でアラートを発します。
  • OpenVPN、IPSec、またはWireGuardを介してルーティングされるトラフィック(これらのサービスに関連するカスタムSSL/TLS証明書の使用を含む)にフラグを立て、現在のポリシーと慣行で許可されているかどうかを判断します。

CorelightのVPN Insightsパッケージは、400を超える独自のVPNプロトコル、プロバイダー、およびタイプを識別し、調査のために重要なメタデータ(原産国など)とともにログに記録します。

「不可能移動」や地理位置情報などの異常監視

  • ユーザーまたはデバイスからのIP地理位置情報データを使用して、「不可能移動」のインスタンスを特定します(例:ユーザーがオフィスにいるときに遠隔地からのログイン)。
  • 組織の通常の運用範囲外の疑わしい地域や国からの接続を検知します。
  • 正当なビジネスアプリケーションが特定できないトラフィックを探します。

侵入を示すラテラルムーブメントの検知

  • 複数のシステム間をホップしてから外部エンドポイントに到達する内部トラフィックにフラグを立てます。
  • SOCKSプロキシ/トンネルのような予期せぬプロトコルを使用するなど、内部デバイス間の異常なアクティビティを監視します。

CorelightのEncrypted Traffic Collectionは、暗号化された接続であっても異常なリモート管理トラフィックを特定でき、攻撃者がネットワーク内で横方向に移動する際にSSHやRDPが悪用される可能性を把握するのに役立ちます。

マルウェアとC2ビーコンの検知

  • ネットワークトラフィックから抽出されたファイルをYaraを使用して分析します。
  • マルウェアや疑わしいバイナリを探します。
  • 5分ごと、または1時間ごとなど、定期的な「チェックイン」活動のパターンがないかログを確認します。

CorelightのC2 Collectionは、攻撃を仕掛け、C2を確立し、攻撃を拡大するための追加ツールをダウンロードするためによく使用される数十の攻撃フレームワーク、RAT、マルウェアを特定します。

脅威インテリジェンスの追加

  • 脅威インテリジェンスフィードを追加して、既知のダークウェブ活動を相関させます。
  • フィードを統合して、ハッシュ、IP、C2ドメインなどの侵害指標(IOC)にフラグを立てます。
  • 組織に関するチャットや環境からのデータ漏洩を監視するために、サードパーティの脅威インテリジェンスサービスを雇うことを検討します。
  • 外部の資格情報監視により、疑わしいまたは侵害された場所からのログイン試行を追跡します。

CorelightのIntel Frameworkは、数百万の指標をラインレートで照合し、ピンポイントの検知と調査のためのアラートとログを生成します。

まとめ

適切に調整されたNDRソリューションは、組織のダークウェブ活動検知能力を大幅に向上させ、全体的なサイバーセキュリティ体制を強化します。CorelightのOpen NDR Platformは、統合された多層検知、ファイル分析、高度なプロトコル監視、および包括的な長期ネットワークメタデータ収集を特徴としています。

Corelight NDRの詳細を知りたい場合、またはネットワーク内でこれらのダークウェブ検知機能を有効にする方法について話し合いたい場合は、corelight.comをご覧ください。

元記事: https://www.bleepingcomputer.com/news/security/how-to-spot-dark-web-threats-on-your-network-using-ndr/

投稿をさらに読み込む