SentinelOneで実現するID脅威検知と対応~Singularity Identity~

SentinelOneが提供するITDR製品、Singularity Identityをご紹介いたします。

ID保護における課題

情報セキュリティにおいて、サイバー攻撃の手法は日々多様化を極め、組織全体にとって深刻な脅威となっています。

近年、その中でも、Active Directoryを乗っ取り、認証情報を窃取する事例は増大しており、

企業側としては、脅威を早期に発見し、効果的に防ぐ対策が必要です。

認証情報を窃取する主な攻撃としては、大きく分けて下記の2パターンとなります。

デバイスに対する攻撃の場合、マルウェアへの感染・侵入段階や、端末内の偵察活動の段階でEPPやEDRで検知・防御が可能です。
一方、認証に対する攻撃の場合は、感染・侵入の段階では正規のアカウントIDでログインが行われるため、アンチウイルスやEDR等の製品では正検知か過検知かの脅威判断がしにくく、対応が難しいのが現状です。

そのため、資格情報の盗難や他システムへの侵入に対して、検知・対応できるような専門的なツールが必要となります。
そこで、今回ご提案したいのが Identity Threat Detection and Response（ITDR）という製品になります。

ITDRとは　

ITDRは、ID・アクセス管理製品とは異なり、
侵入を前提とした防御でセキュリティ強化を図るEDR（Endpoint Detection and Response）やNDR（Network Detection and Response）などに近い新しいカテゴリのソリューションです。EDRがエンドポイント内の振る舞いをモニタリング・分析するように、ITDRは、Active Directoryなどで行われるIDの振る舞いを継続的に監視・分析し、インシデントの対応を早期に行うことを目的としています。

SentinelOneのITDRのソリューション「Singularity Identity」

先述したように、主な攻撃の流れとして、攻撃者はまずエンドポイントに侵入後偵察活動を行い、そこで得られた情報を元に水平移動をして、ADサーバに対して攻撃を行います。一般的なITDRの製品は、このADサーバーへの攻撃の段階で防御を行う製品群が多いです。

一方で、SentinelOneではADサーバーへの攻撃の段階はもちろんのこと、それ以前の偵察活動・水平移動の段階で検知・防御が可能な実装になっております。

攻撃者がエンドポイントに侵入した後、エンドポイント内のファイルをスキャンしたり、企業全体を攻撃するためにそのPCが属しているドメインやアクセスしているサーバーをスキャンする動きに対して、Singularity Identityの検知機能、「おとり」機能を使って捕獲をし、そもそも水平移動をさせない、という考え方になっております。

Singularity Identityの特徴

１．Active Directoryの脆弱性を簡単な操作で修復
　　　パスワードスプレー攻撃などへの対策として、
　　　ADの脆弱性や構築ミスの検出を行い、容易な修正手順を提供します。

２．Active Directoryに対する高度な攻撃を検知し防御
　　　ADアクティビティに対する詳細なモニタリングと行動分析により、
　　　Kerberos攻撃などの高度な攻撃に対して検知・防御が可能です。

３．「おとり」機能を用いて資格情報へアクセスさせない
　　　エンドポイント内での偵察活動に対して、おとり機能を使用し、
　　　実在しないADに対してアクセスさせます。
　　　同時に、実際の認証情報へのアクセス制限を行い、実環境への攻撃自体を
　　　抑止します。

４．統合管理
　　　XDR製品と同一コンソールによる一元管理が可能です。
　　　検知した脅威の駆除、変更されたシステムやユーザーデータを復旧させること
　　　ができます。

まとめ

本ブログでは、認証情報に対する保護としてSentinelOneのITDR製品「Singularity Identity」をご紹介いたしました。

EPPやEDRの対策がお済みのお客様のネクストステップとして、是非ご検討いただければと思います。
本ソリューションに関して、より詳細な情報を入手したいお客様はぜひ弊社にお問合せください。