SURGe：ブルーチームのためのブルーカラー

要約： Splunkは先日、最新のサイバーセキュリティインシデントを詳しく分析し、Splunkを使用した対応策を一般に公開する、専門のセキュリティ調査チームを立ち上げました。詳しくは、Splunkの新しいサイト、splunk.com/surgeをご覧ください！

この記事の所要時間：約4分

冷たい風が吹きすさぶ12月13日の夜、私が所属するさまざまな"秘密探偵" Slackグループに「SolarWinds」という言葉が現れ始めました。「SolarWindsを使ってる人いる？」、「DGAで生成されたAvsvmcloud[.]comドメインを含むログを探せ」、「CISAからのアラートを見逃すな」といった投稿が次々と寄せられ、私は何か大きな問題が起こりつつあると直感しました。そして、CISA (米国サイバーセキュリティ/インフラセキュリティ庁)が緊急指令21-01を発令したとき、事の重大さを悟ったのです。FireEye社、CISA、Microsoft社が公開したレポートを確認し、午後11時に独自の調査を開始して、社内Slackで協力の要請を出すと、オーストラリアにいたRyan LaitとShannon Davisがそれに応じました。そして午前4時頃にブログの作成をShannonとRyanに引き継ぐと、ようやくベッドにもぐりこみました。その後、Splunk社内での迅速な調整の後、12月14日午後9時にそのブログを投稿しました。

SolarWinds騒動の後片付けをしながら、私はSplunkが抱える「穴」に気付きました。Splunkのテクノロジーやプロセスは誇るべきものですが、問題解決の重要要素である「人」への対応が不十分だと感じたのです。私たちは、包括的なセキュリティの問題をお客様が検出するだけでなく、解決する手助けもしなければなりません。緊急事態の発生時に全力でお客様を支援する体制が必要なのです。そこで私は、Splunkで新しいミッションに取り組むことにしました。それは、セキュリティに関する大きな問題をSplunkで解決する方法を探ると同時に、お客様が最新のセキュリティインシデントにいち早く対応できるようサポートする、専門のセキュリティ調査チームを新たに立ち上げることです。

SURGeの構築

私は今までにないものを作りたいと思いました。正直なところ、世界がYASVRT (Yet Another Security Vendor Research Team：さらに追加のセキュリティベンダー調査チーム)を必要としているかどうかは疑問でした。そこで、遠い未来にサイバー魔法使いが解決するような未知の問題ではなく、今日や明日にも直面する目前の問題を解決することを旨としたミッションステートメントを打ち立てました。するとすぐに、Mick Baccioがそのミッションステートメントを「Blue-Collar for the Blue Team (ブルーチームのためのブルーカラー)」と要約してくれました。それは「SURGe」の本質を簡潔に言い表しています。SURGeは、誰かが解決してくれればいいのにと皆が思う問題に新しい発想で取り組む、実務家、ストーリーテラー、古いUNIX修理屋のような気質を持った人が集まったチームです。

SURGeのメンバーには、1990年代半ばからネットワークをハッキングおよび防御してきたMarcus LaFerrera、最近ジャーナリズムからサイバーセキュリティへとキャリア転向したAudra Streetman、かつて大統領選でCISOを務め、ホワイトハウスで脅威インテリジェンスチームを率いた経験を持つMick Baccioがいます。また、Splunkで長年にわたってお客様のサイバーセキュリティに関する問題解決に携わってきたベテラン社員のShannon Davis、James Brodsky、Dave Herrald、John Stonerもいます。さらに、プロ並みの腕前を持つゲーマーのTamara ChaconとSplunkのマトリックス組織も加わって、チーム始動の準備が整いました。

完璧さを求めない

SURGeはまず、活動の重点を、サイバーセキュリティ速報の提供と、より規模の大きい「実用的な」セキュリティ調査プロジェクトの推進の2つに絞り込むことにしました。1月以降、私たちは「protoSURGe」と呼ぶ取り組みを開始し、CISAが発行するすべてのアラートと緊急指令をレビューすることを社内で宣言しました。発行されたアラートに対してSplunkに何かできることがあれば、世界中の関係者と協力して、タイムリーで教育的で(願わくば)楽しめるブログを作成し、「ベストエフォート」の検出サーチを紹介します。これらのサーチは多くの場合、未完成で拡張性もなく、誤検知や検出漏れも多く発生する、私たちが親しみを込めて呼ぶところの「Splunkspiration：Splunkスピレーション」つまり「Splunkでのインスピレーション」に過ぎません。では、なぜそんなに急いで情報を発信するのでしょうか。それは、お客様にとっては情報がまったくないよりも早く対策を打てると考えたからです。ブログを投稿した後、SURGeはSplunkの脅威調査チーム(STRT)と協力して、長期的な高品質の検出サーチを開発し、Enterprise Security Content Update (ESCU)を介してリリースします。

それまでの期間をやり過ごすには、いわば「生茹で」の検出サーチに頼ることになります。緊急対応アラート、Splunkspiration、生茹でサーチにご興味がある方は、ぜひsplunk.com/surgeで緊急対応アラートの受信登録をお願いします！

重点的な活動の2つ目は、調査プロジェクトです。SURGe立ち上げのきっかけはSolarWindsであったため、私たちはまずソフトウェアサプライチェーン攻撃の検出サーチの調査に取り組みました。その成果は、主にMarcus LaFerreraによるもので、ホワイトペーパーとしてまとめられ、.conf21では「SEC1745C - Hunting the Known Unknown: Supply Chain Attacks (既知の未知のハンティング：サプライチェーン攻撃)」の講演で取り上げられました。また、今後数週間のうちに、関連するブログや調査結果を順次公開する予定です。さらに、Dave HerraldとJohn Stonerの尽力でプラットフォームと教育ワークショップを開発し、bots.splunk.comで公開しました。来年はさらに多くの調査プロジェクトを推進する計画です。免責事項として申し上げますと、これらのプロジェクトの成果はあくまで「前のめり」の精神で臨んだ結果であることをご了承ください。

世間にアピールする

splunk.com/surgeのコンテンツを充実させるだけでは十分とは言えません。SURGeのもう1つの目的は社会への広報です。Mick Baccio、Audra Streetman、私、そしてプロデューサーのDrew Churchは2週間に1回、Linkedin Liveで「Coffee talk with SURGe (SURGeコーヒートーク)」を開催しています(#coffeetalkwithsurgeタグで検索！)。また、SplunkブログではSURGeタグ付きのブログを毎月2～4本公開し、世界中のカンファレンスに参加して講演を行う予定です。今後の予定については、splunk.com/surgeにアクセスするか、Twitterで@splunkアカウントの#SURGeタグをチェックしてください。

さて、SURGeが何者であり、この先何をしようとしているかおわかりいただけたと思います。そうなると、SURGeの名前の由来、とりわけ「e」がなぜ小文字なのか疑問に思われるかもしれません。その秘密を知りたければ、ぜひコーヒートークで私に直接お尋ねください。;-)

#splunkconf21のハッシュタグが付いたツイートをぜひご確認ください。

@splunkをフォロー