EDR は最初2013年 のGartner 専門家であるAnton Chuvakinで提唱され、業界の専門家達の間で熟議されて最終的にはエンドポイント保護製品Endpoint Threat Detection & Response (ETDR)に分類されています。2015年になるとGartnerのほとんどのリサーチはEDRツールと呼んでいます。
伝統的なセキュリティツールがネットワーク・悪意のあるプログラム・アナウンスしたセキュリティイベント等にフォーカスしているのと比較して、この呼び方はエンドポイント上での主な用途をそのまま表しています。すなわち脅威の検知とイベントの反応ツールです。
脅威、つまりThreatという名前は外部の攻撃だけでなく、内部による不適切な活動も含まれています。各ベンダーがこのコンセプトのもとにそれぞれXDR・NextGen等の進化系を開発しています。得意な領域も製品によって異なります。今までのツールに比べて、これらのEDR製品は旧来のログ証跡取得、 映像ディスク(Disk Image)の取得と解析などが不得意とされています。
もちろん一部の関連情報取得機能や証跡解析機能を備えている場合もあります。一方で、次世代エンドポイントツールは予防/阻止/隔離にポイントを絞ってXDR(Expended Detection and Response:より広範囲に対しての検知・分析・対応・修復)、NextGenなどの新しいジャンルの製品に進化しています。
エンドポイントで守る理由?エンドポイントEDRのメリット
悪意のあるサイトへの閲覧によるウイルス感染は前々から存在しているケースではありますが、現在ではよりありふれたものになっています。悪意のあるプログラムはしばしばシステムの標準ファイルを使って感染していくので検知自体が難しく、さらにランサムウェアなどのようなウイルスもファイルを暗号化、破壊することで企業に多大な被害を与えます。新旧によらず、これらの攻撃手段には一定の被害を受けてしまいます。これらの脅威に対応するため、エンドポイントでの先進的な予防・検知・反応などの制御機能は不可欠です。
エンドポイント制御に際して、しばしば聞かれる疑問があります。そもそも外部に次世代ファイアウォール (NGFW)を配置して、トラフィックを集中的に解析したほうがメンテしやすいではないかという疑問です。しかし、現実的にファイアウォールと他ネットワーク制御デバイスなどが収集している情報は可視性に乏しいです。例えば、暗号化プロトコル (SSL)通信はそもそもパケットの内容が読み取れません。
また、ドメインからログアウトしたノートPCなどもPCのイベントなどは検知できません。一般的にデスクトップPC、ノートPCに役に立ちます。ランサムウェアを例にすると、暗号化ツール(BitLocker)や標準APIが利用されたり、マイネットワークへの複数スキャンや接続動作、大量なファイル変更操作が行われたなどの痕跡が残る可能性があります。
旧来のEDRではだめなのか?受動的機能では不十分な理由
各種セキュリティシステムと同じように、EDR製品も初期に宣伝した目標を全て達成できたわけではありません。SIEM導入時の理想論に近いと言えます。Gartner ”Why Traditional EDR Is Not Working—and What to Do About It”の研究結果によると、旧来EDRの欠点は主に以下の要素にあります。
他ソースで取得したログと統合できない場合がある
EDR が脅威と判断するためのログや情報ソースは他デバイスやSIEMで回収したものが多く、そうなるとフォーマットの異なる情報を統合整理する必要があります。通常はSIEMから取得したものが多いので、SIEMが対応するログ種類のみという制限があると、達成できない検知が出てきます。
実際の調査と鑑識に使える情報の品質が不十分
旧来EDRのもう1つの欠点は、調査用の情報品質が低いことです。例えば、実行中のプロセス一覧・レジストリ項目・レジストリ値・接続中の接続などは侵入検知に有用な情報ですが、これらの情報に歯抜けが出ることが多いので、前後のコンテクストもなく誤検知を区別する他のツールもないと、正確な検知が難しくなります。
解析するためには大量なピボットグラフが必要
調査するためには完全なログが必要不可欠ですが、しかし現実には必要なログが足りない場合が多いです。なぜなら検索自体が難しいからです。例えば、よく使うDHCPを例に挙げると、システムログにはIPしかない場合やホスト名しかない場合が多いです。仮に両方とも備えていたとしても保存できる時間帯の量が足りないこともあります。足りない分だけ解析のクオリティが下がり、調査の確度が落ちます。
セキュリティ分析担当が陥る出口のない迷路
EDRシステムには大量なメニューがあるので、過剰なメニューは管理者の操作コストを大幅に上げてしまいます。EDRを積極的かつ効果的に運用するには相応なコストが掛かります。EDRを正確に運用するには導入組織で起きる問題を把握して、セキュリティ解析担当にとって負担の大きい項目を整理する必要があります。例えば、イベントログの保存期間をどのくらいに設定すべきか、SIEMに保存すべきログはどれか、ログ間の関連性があるか、異なるシステムで生成されるそれぞれのログを自動で連携できるか、記録すべきログは何かなどです。もっと難しいのはこれらの事柄は日常の業務で知ることが難しく、いざインシデント調査を実施して初めて判明することばかりです。
検知だけではなく理想としてのEDRに期待する技術
ここまではEDRシステムの検知機能と作業フローを紹介しましたが、EDRは検知だけでなく、対応することも重要な要素の1つです。一般的に事後対応は検知機能をフォローする形で実装することになります。セキュリティチーム内の決定者(CISO)は検知機能にフォーカスしがちですが、EDRの資産収集やイベント検知機能だけなら、旧来のIT資産管理ソフトウェアでも可能です。積極的にEDRのアクティブ対応機能を利用して、初めてEDRを導入するメリットが見えてきます。
以下でEDRシステムにおける理想な対応処理機能をピックアップします。
EDRシステムの理想的な対応処理
- 実行しているプロセスを停止する
- プロセスを停止する根拠にプロセス名、パス、パラメーター、上層プロセス、発行者、ハッシュを参照できる
- 特定プロセスにおけるネットワーク通信をブロックできる
- プロセスが特定ホスト名やIPに対する通信をブロックできる
- アンマウントしてサービスを停止できる
- レジストリ項目やレジストリ値を編集できる
- 端末を再起動/シャットダウンできる
- 端末上のユーザアカウントを削除できる
- OSから使用中のファイルやフォルダも削除できる(再起動する可能性がある)
これらは前述の次世代EDRに対する期待を満たせるような対応になっています。すなわち予防→ブロック→隔離のフローです。これらは組織の被害を軽減するとともに、被害の拡大を防止できます。
旧来のルールポリシーによる制限と比べてEDRはより柔軟に対応できる
旧来のセキュリティ保護システムにおけるポリシールールは事前に定義したもので、すべての行動や計画はルールで固定しています。しかし実際の業務ではこれらのルールが完璧に適用できるかと言われると、なかなか難しい場合が多いです。特に、業務自体に変化がある場合はなおさらです。セキュリティだけがすべてを優先するわけもなく、普段の業務への影響に大きく干渉しないことも重要です。それに比べて、EDR ルールは検知と判断をした上で対応した処置を実施するので、作業の柔軟性を保ちつつ情報漏えいにも対処できます。さらに情報システム部門(MIS)による頻繁な業務中断も過去のものとなり、ある意味理想なソリューションになります。