【CrowdStrike】【Netskope】SSEを利用する環境においてEDRの必要性について整理した件

» Netskope » 技術 » CrowdStrike
sobar sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。今回はNetskope(SSE)を利用できる環境において、Netskope(SSE)で検知・ブロックできる通信、できない通信例をそれぞれ確認し、改めてCrowdStrike(EDR)の必要性について整理します。

CrowdStrike(EDR) を利用しない場合に検知・ブロックできない通信例

たとえば以下のようなC2サーバへ誘導する攻撃シナリオにおいて、メールに記載されているC2サーバへのリンクを誤ってクリック時(③)、NetskopeがC2サーバへの通信を検知・ブロックできなかった場合(※例を次項で説明)、CrowdStrike(EDR)が未導入の場合は後続の端末内部での攻撃を検知・ブロックできないため、端末(端末_A)、サーバ(機密情報)は非常に危険な状態となります。

Netskope単体利用時に、メールのリンククリックからマルウェアが実行され、非Webポート(4444等)を通じてC2サーバとリバースシェル通信が確立されるまでの攻撃フロー図
(③で)Netskopeが検知・ブロックできるケース

Netskope(SWG + Threat Protection)は、以下の要素でブロックを試みます。

  • URLフィルタリングとして、リンク先のドメインやIPが悪意あるサイトとして登録されている場合

  • ダウンロードされるマルウェアの「ハッシュ値」が既知のもの(Signature)であったり、静的解析で不審なコードが含まれている場合

  • NetskopeのAdvanced Threat Protection(ATP)ライセンスをしようしている状況の場合、未知のファイル(ハッシュ値が登録されていないもの)をSandbox(Netskopeクラウドの安全な仮想環境)で実行・挙動を確認し、黒判定した場合

(③で)Netskopeが検知・ブロックできずすり抜けてしまうケース(EDRが必要な理由)

以下のようなパターンでは、Netskope(SSE)を突破してマルウェアがダウンロード&実行&リバースシェル実施(④)へ進んでしまい、結果、攻撃(⑤)や横展開が実施されてしまいます。

  • 作成直後の攻撃用ドメインや、信頼されている正規サイトが乗っ取られてダウンロードリンクが設置されている場合

  • メールやリンク先で「パスワード付きZip」をダウンロードさせる手法(PPAPの悪用など)や、その他の暗号化されているファイルダウンロード等、NetskopeクラウドでSSLインスペクションが実行されない場合(※Netskope のCASB・DLPを利用することで暗号化ファイルのダウンロードを一律ブロックする設定を行うことは可能)

  • メールリンク以外で侵入が行われるケースとして、USBメモリや持ち込み端末から侵入された場合

NetskopeとCrowdStrikeの守備範囲について

Netskopeは、既知の脅威を入り口で9割以上検知・ブロックします。

しかし、前項で示したような攻撃者はパスワードつきの暗号化されたファイルや、作られたばかりの未知のサイトを駆使して残り数%のすり抜けを狙ってきます(③)。ひとたび端末で実行されると、Netskopeの監視外(非Webポート)で勝手にバックドアを作られます。(④)

Netskope を突破された後の、端末内での異常な動きを検知し、即座に封じ込めをするためにはCrowdStrike(EDR)が必要となります。

NetskopeとCrowdStrikeの守備範囲比較図

攻撃フェーズ Netskope (SSE/SWG) の守備範囲 CrowdStrike (EDR) の守備範囲
1. 侵入前 (誘導) 【通信のゲートウェイ】
・URLフィルタリングで悪意あるサイトを遮断
・フィッシングサイトへのアクセス防止		 【対象外】
※通信の入り口自体は監視しない
2. 侵入時 (DL/実行) 【ファイルの検査】
・既知のマルウェア検知(Signature)
・サンドボックスによる未知のファイル解析		 【プロセスの監視】
・ファイル実行時の振る舞い検知
・メモリ上での不審な動きを遮断
3. 侵害後 (C2通信) 【Web通信の制御】
・80/443ポートのC2通信を遮断
・CASBによるデータ持ち出し防止		 【全ポート/全挙動の監視】
・非Webポート(4444等)のリバースシェル通信を検知
・PowerShell等の悪用(IOA)を停止
4. 被害拡大 (横展開) 【限定的】
・セグメントを跨がない同一ネットワーク内の通信(横移動)はNetskopeクラウドを通過しないため、可視化・制御ができない		 【強力な封じ込め】
・端末のネットワーク隔離
・他端末への感染拡大を即座に防止

CrowdStrike(EDR) を利用する場合に通信・攻撃が検知・ブロックされる

CrowdStrike(EDR) を利用する場合においては、③で前項でNetskopeが検知・ブロックできなかった場合においても、CrowdStrike(EDR)が導入されエンドポイントが保護され、不審なふるまい、攻撃が検知・ブロック(④⑤⑥)されます。結果としてサーバ(機密情報)も守られます。

crowdstrike-organizing-the-necessity-of-edr-in-environments-using-sse_17

参考

さいごに

今回はNetskope(SSE)を利用できる環境において、Netskope(SSE)で検知・ブロックできる通信、できない通信の一例と、そういった脅威についてCrowdStrike(EDR)を導入することで防げることをご紹介させていただきました。

ゼロトラストが求められる現在、SSE(Netskope)で「外」を守り、EDR(CrowdStrike)で「中」を守る、この両輪があって初めて、どこでも安全に働ける環境が整います。

Netskopeでアラートが出た際、CrowdStrikeの管理画面ですぐにその端末の『前後5分間の動き』を確認することで安全な状態にあるか、そうでないか確認することをお勧めいたします。

この記事によってなにか新たな気づきがあり、皆さまの Netskope & CrowdStrike運用の一助となれば幸いです。

Netskope & CrowdStrike についてのお問い合わせ

ネクストモードでは、Netskope & CrowdStrikeをはじめ、OktaやKeeperを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ぜひお気軽にご相談ください!

SaaSバナー_CrowdStrike