【CrowdStrike】Threat Graphについて

sobar sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。今回はCrowdStrikeのThreat Graphについて纏めましたのでご紹介します。

全世界からイベント収集・学習・モデルを適用する - Threat Graph

CrowdStrike のThreat Graphは全世界からイベント収集・学習・モデルを適用しています。

CrowdStrike Threat Graphによる脅威情報の収集・分析・配信のサイクル図:各国攻撃グループの知見と膨大なイベントデータを活用した人工知能学習
(※世界中のイベントを相関分析するThreat Graphの概念図)

CrowdStrike社は各国のサイバー攻撃グループのTTPs※1. (ターゲット産業/国・攻撃手法、動機等) に関する情報を調査・保持し、米国政府などへの協力実績も豊富にあります。

収集した最新の攻撃手法よりブロック/検知のロジックを組み立て、Falcon EDRに反映することで利用ユーザを脅威から保護します。※アーキテクチャは特許技術となります。このアーキテクチャにより全世界で検出される最新の脅威情報が環境を保護します。

(※1. TTPs: Tactics(戦術)、Techniques(手法)、Procedures(手順))

世界180カ国・2.3万社から収集されるリアルタイムな脅威インテリジェンス

Threat Graph は世界中の端末から1日あたり数兆件ものイベントを受信しています。

スケーラビリティ

Threat Graph はグラフデータベースが使われています。グラフデータベースは「分散処理」との相性が良く、データ量が増えても特定のつながりを辿るスピードが落ちにくい特性があります。

コミュニティ・エフェクト

ある企業の端末で「怪しい動き」が見つかった瞬間、その特徴(インジケーター)がグラフ上で即座に共有されます。これにより、他の企業環境でもまだ被害は出ていないが、同じ特徴を持つつながりがあればリアルタイムで自動ブロックを可能としています。

グラフデータベースが使われていることで、リレーショナルデータモデルなどの既存のデータモデルとは異なり、⾼度に相互接続されたデータセットをシンプルかつ柔軟かつスケーラブルに保存およびモデル化している特徴があります。

攻撃のストーリーを瞬時に描き出す

従来のRDB(リレーショナルデータベース)は、表と表を「JOIN(結合)」してデータを探します。しかし、サイバー攻撃の調査では、「AプロセスがBファイルを書き換え、C通信を行い、D設定を変更した..」といった連鎖を何十段階も遡る必要があります。(RDBの場合は何十回もの「JOIN」が発生し、処理が雪だるま式に重くなります。大規模データでは現実的な時間で終わりません。)

グラフデータベースを利用した Threat Graph の場合、データ同士が最初から線(エッジ)でつながっています。隣のデータを辿るだけなので、数兆個のイベントの中からでも、攻撃の全体像(プロセスツリー)をミリ秒単位で可視化できる作りとなっています。

CrowdStrike Threat Graphによる攻撃のプロセスツリー可視化の例

どのプロセスが何をしたのか、時系列と関係性が一目でわかるため初動対応を劇的に早められます。

未知のパターンを柔軟に見つけられる

攻撃者の手法は日々進化し、新しいタイプのデータが次々と現れます。新しい種類の関係性を後から追加するのが非常に得意です。

そのため、直接の関係はないが、3ホップ先(3つ先のつながり・関連)で同じIPアドレスに繋がっている端末群...といった、複雑な相関関係をスピーディに見つけ出し、高度な標的型攻撃(APT)を検知できるため、未知の相関分析にも対応します。

Threat Graph(CrowdStrikeのソリューション)を利用することでTCOを87%削減

CrowdStrikeによると、従来のオンプレミスソリューションのトータルコストを100%とした場合、Threat Graph を採用したCrowdStrikeのソリューションではそのわずか13%のコストで運用でき、TCOを87%削減可能であることを表します。

従来型オンプレミスとCrowdStrikeのTCO比較グラフ(13%に削減)
(※crowdstrike-threat-graph-solution-briefpdf > THREAT GRAPH DELIVERS 7.5X LOWER TCO より)

  • Deploy & Maintain(導入と維持): 31%

    • サーバーのセットアップ、パッチ適用、ハードウェアの更新など、「動かし続けるためだけ」のコストが全体の約3分の1を占めています。CrowdStrikeはクラウドネイティブなためここが大幅に削れます。⇒ セキュリティ担当者が本来やるべき分析に集中できる環境をクラウドが提供します。

  • Analyze & Capture(分析と収集): 計45%

    • データの収集(22%)と分析(23%)に非常に多くのリソースを割いています。

  • Search & Store & Enrich(検索・保存・情報付加): 計24%

    • ログを保存し、後から検索可能にするためのインフラ維持費もかかりますが、ここもCrowdStrikeのクラウドで実行されるため削減されます。

なぜ Threat Graph でコストが下がるのか?

これらの複雑な工程をすべてクラウド上の Threat Graph が肩代わりします。

自前で分析サーバーやデータベースを持つ必要がなくなりますので管理コストが不要となります。また、Threat Graph がリアルタイムでデータの相関分析が運用の自動化により行われるため、人間が手作業で行う「分析(Analyze)」や「情報付加(Enrich)」の工数が削減されます。

参考

さいごに

CrowdStrike のThreat Graph についてご紹介しました。Threat Graph について調査・整理をすることで、昨今ランサムウェアが猛威を振るうなか、CrowdStrikeがその対策ツールとしても検討の第一候補に上げられる理由のひとつが、こういったThreat Graph の活用にあることが少しわかった気がしました。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!

SaaSバナー_CrowdStrike