前文
あなたがエンドポイントアーティファクトの開発者であると想像してください。 従来のシェルコードインジェクションやランサムウェアのイノベーションに対する保護を確保するための取り組みを行った後、それを世に送り出す前に、それが実際に機能していることをどのように確認するのでしょうか?
まず、エンドツーエンドのシステムをセットアップしますが、これにはいくつかのサービス、インフラストラクチャ、ネットワーク構成などの設定が含まれます。 次に、マルウェアを実行します。収集したデータは、性能や有効性に関する疑問に答えるもので、将来的には重要な研究リソースとなる可能性があります。 1日かけてテストを行い、結果を収集した後、複数の種類のオペレーティングシステムやマシンタイプに対して数百のハッシュを実行したいと思うかもしれませんが、完全に手動で行うと大変な作業になります。
このプロセスを自動化し、保護を大規模にテストするために、セキュリティリサーチエンジニアがElasticセキュリティソリューションの有効性を自動的に測定するシステムであるDetonateを構築しました。 私たちの目標は、セキュリティ研究者が数回クリックするだけでマルウェアに対する保護をテストできるようにすることです。 (つまり、クリック、クリック...ドカーン!
このシリーズの記事では、 - Detonateとそれを開発した理由の紹介 - Detonateの仕組みと技術的な実装の詳細を探る - ElasticのチームによるDetonateの使用方法に関するケーススタディの説明 - 世界が攻撃からデータを保護するために、コミュニティに有効性テストを公開することについて話し合う
Detonateの他の投稿に興味がありますか? パート 2 - Into The Weeds: How We Run Detonate では、Detonate の仕組みを分析し、技術的な実装について詳しく説明します。
デトネイトとは?
大まかに言うと、Detonateは、Elasticセキュリティの全機能が有効になっている制御された(つまり、サンドボックス化された)環境で、マルウェアやその他の潜在的に悪意のあるソフトウェアを実行します。 Detonate はファイルハッシュ (通常は SHA256) を受け入れ、次のアクションを実行します。
- デトネーションに必要なすべてのファイル (悪意のあるファイルを含む) を準備します
- サンドボックス環境で仮想マシン (VM) インスタンスをプロビジョニングし、外部への接続を制限します
- ファイルの実行が完了するまで待機します。これは、たとえば、実行結果ファイルが見つかった場合や、VM インスタンスが停止した場合、またはタスクのタイムアウトよりも古い場合に発生します
- 実行中のVMインスタンスを停止し(必要な場合)、サンドボックス環境をクリーンアップします
- デトネーション中に生成されたテレメトリとアラートに基づいてイベントの概要を生成します
これらの爆発の結果は、研究開発の目的でチームに公開されます。 爆発中に収集されたログ、イベント、アラートを後処理することで、サードパーティのインテリジェンスやその他のソースでそれらを強化して、新規および既存のElasticセキュリティ保護機能の有効性を評価できます。
それは私たちに何を助けますか?
有効性の測定
市場で最高のEPPを構築するためには、最新の脅威に対する製品の有効性を継続的に測定する必要があります。 Detonateは、データフィードから毎月数万のサンプルを実行するために使用されます。 補償範囲のギャップは自動的に特定され、当社の保護の改善を優先するために使用されます。
既存の保護をサポート
Microsoft の保護の多くには、定期的に更新される成果物 (機械学習モデルやルール定義など) が関連付けられています。 これらの更新プログラムは、ユーザーの環境に最終的に到達する前に、リグレッションを特定して修復するためのテストが必要です。
Detonate は、このテスト プロセスに関連する分析を自動化するためのフレームワークと一連のツールを提供します。 既知の良いソフトウェアと悪いソフトウェアを含むハッシュのコーパスを活用することで、ユーザーに展開する前に保護を検証できます。
脅威調査
当社のセキュリティ研究者の中には、新たに出現する脅威がないか毎日インターネットを精査している人もいます。 実際に見つけた悪意のあるソフトウェアをテストするための使いやすいプラットフォームを提供することで、Elasticセキュリティがこれらの脅威に対してどのように防御するか、または保護を更新する必要があるかどうかをより深く理解できます。
新しい保護の評価
既存の保護をテストするだけでなく、新しい保護は、既存の階層化された機能スイートとの不利な相互作用のリスクを冒します。 新しい保護は単独で簡単にテストできますが、テストによって意図しない相互作用や既存の保護との競合が隠される可能性があります。 Detonateは、Elastic Stackの設定と個々の保護をカスタマイズする方法を提供し、開発の早い段階でそのような競合をより簡単に見つけて特定する方法を提供します。
What’s next?
本書では、DetonateとElasticでの使用目的についてご紹介しました。 私たちは、セキュリティアーティファクトのパフォーマンスを評価する際にチームにもたらす利点について話し合いました。
それが何であるかがわかったので、Detonateがどのように機能するかを分析します。 次回の記事では、Detonateの技術的な実装と、このサンドボックス環境を実際にどのように作成できるかについて詳しく説明します。