最新の⾼高度度な脅威に対する検知防御のあり⽅方:ビッグデータのインテリジェンスと連動したブリーチ検知の実現 1 最新の⾼高度度な脅威に対する検知防御のあり⽅方: 最新の⾼高度度な脅威に対する検知防御のあり⽅方: ビッグデータのインテリジェンスと連動した ビッグデータのインテリジェンスと連動 ブリーチ検知の実現 ブリーチ検知の実現 [email protected] | damballa.com/ja DAMBALLA 最新の⾼高度度な脅威に対する検知防御のあり⽅方:ビッグデータのインテリジェンスと連動したブリーチ検知の実現 2 ビッグデータのインテリジェンスと連動したブリーチ検知の⾃自動化 ⾼高度度なマルウェアから⾃自らの業務を守ろうと考える際、今⽇日の IT 部⾨門は⾮非常に不不利利な⽴立立場にあります。攻撃は不不公 平な⼟土俵で展開されパワーバランスは脅威の側に偏っています。そして第⼀一に先⼿手を取るのは脅威の側です。こちら 側が相⼿手を知る以前に、相⼿手はこちらのことを熟知しています。たとえば、脅威の側は、こちらがサンドボックスを 使⽤用しているかどうかを⾒見見極める情報を持っており、サンドボックスを回避できるマルウェアを作成するツールさえ 装備しています。 過去 10 年年にわたり、テクノロジー企業は、このような攻撃から⾝身を守るためのソリューションを構築してきました。 IT 部⾨門もまた、これらのソリューションを⽣生真⾯面⽬目に導⼊入し、根本的な防御⼿手段としてセキュリティコントロールを 幾層にも積み上げてきました。しかし、これらの防御⼿手段については、戦う⼟土俵がわずかに変わるだけでコストや複 雑性が増⼤大し、その上、必ずしも攻撃を防ぎ切切れるとは⾔言い切切れないものでした。IT 部⾨門や脅威防御マーケットのプ レイヤー達は、100%防御できることなどあり得ないと気付いており、また実際にその数値は 100%よりもかなり低 いものとなっています。⾼高度度なマルウェアは、このような従来からの防御⼿手段をすり抜け、IT 部⾨門をブリーチ(感染 による侵害の恐れ)のリスクにさらし続けているのです。 企業はこのギャップを埋めるために、⼈人⼿手に頼る形で感染リスクを軽減しようとしています。ネットワーク上の悪意 ある動きを特定するために、⼈人海戦術でイベントログを精査するといった対応です。しかし、これもまた IT 部⾨門を 不不利利な状況に追い込みます。そもそも、このような作業に対応できるトレーニング済みの⼈人材を探すことは⾄至難の業 であり、仮に集められた場合でも、⼀一旦脅威がネットワークに侵⼊入してしまえば、それを発⾒見見し対処するためには膨 ⼤大な時間がかかります。 さらに IT 部⾨門は、業務部⾨門や管理理部⾨門から、⾰革新をさらに推進しクラウドコンピューティングや BYOD といったテ クノロジーを採⽤用して欲しいというプレシャーを受けています。⾔言うまでもなく、このような対処はビジネスリスク を増⼤大させます。 もしこのような状況を変えようとすれば、セキュリティに対する新たなアプローチが必要になります。感染は発⽣生し 得るものであり、マルウェアは今後も攻撃してきます。それでは、どうすれば全てをカバーできるのでしょう?ある いは、どうすればデータブリーチが起こる前に感染をキャッチできるのでしょう? このようなデータブリーチのリ スクを低減することこそ DAMBALLA のミッションなのです。DAMBALLA では、予防的な防御をすり抜けた感染結 果としてのブリーチによるリスクの防御と削減に努めています。これから解説するように、その回答はマルウェアの 分析ではなく、ビッグデータサイエンスの中にあるのです。 脅威のライフサイクルを理理解する ビッグデータを使うことで、DAMBALLA が過去に防御をすり抜けた脅威をどのように検知するかについて説明する 前に、⾼高度度なマルウェアの動きについて理理解いただくことが重要となります。脅威のライフサイクルは、コンピュー タデバイスにファイルをダウンロードすることから始まります。このようなドロッパーは、オフィスやコーヒーショ ップ、さらに⾃自宅宅など所かまわず現れます。ファイルが⼀一旦デバイスに⼊入ると、ドロッパーは更更新内容を受け取るた めに外部と通信を⾏行行い、脅威からの指⽰示内容を実⾏行行できるようになります。ドロッパーが新しい指⽰示を受け取るたび に、ファイルの内容は再更更新されバイナリが変更更されます。新しいバイナリは暗号化されており、ライフサイクルの 初期段階にはファイルの内容を⾒見見ることができず、マルウェアであることに気付くこともできません。 ⾼高度度なマルウェアは、通常、防御を避けるために次々と変更更されるよう定義されています。変更更されるのはマルウェ アのバイナリ⾃自⾝身であったり、C&C(Command and Control)サーバーがターゲットであったりしますが、唯⼀一の 共通点は、感染したデバイスがネットワーク越しに脅威と通信する必要があるということです。そして、この通信の 必要性こそが、あらゆる攻撃におけるアキレス腱となっています。 [email protected] | damballa.com/ja DAMBALLA 最新の⾼高度度な脅威に対する検知防御のあり⽅方:ビッグデータのインテリジェンスと連動したブリーチ検知の実現 3 このようなマルウェアと C&C サーバーの通信のほとんどは、DNS プロトコルを⽤用いた通常の HTTP ウェブトラフィ ックです。なぜ DNS プロトコルなのでしょうか?実は他のケースと同様、脅威もまた⾃自分のインフラストラクチャ ーにアジリティや⾼高可⽤用性、信頼性などを求めているからです。脅威側のインフラストラクチャーの IP アドレスが 1 つだけの場合、ブラックリストに掲載されてしまえば攻撃は無効になります。毎⽇日⼤大量量のドメイン名を取得するより も、新しい IP アドレスに乗り移る⽅方がより困難なのです。結局、脅威にとって DNS は可⽤用性が⾼高く、信頼性があり、 ⾼高い匿匿名性を確保できる⼿手段になのです。逆に、DNS の悪⽤用を阻⽌止することで、インターネット全般に関わる不不正な 試みを阻⽌止できます。そして、これこそ DAMBALLA が求める⼿手段なのです。 ブリーチ検知プラットフォームの構築 - アラートの⼭山の中からブリーチを特定 DAMBALLA Failsafe は、ネットワークトラフィックから感染の証拠を特定するためのエンジンを搭載したネットワ ークセキュリティアプライアンスです。⼗十分な証拠があれば、アプライアンスはアセットが感染していると判定しそ の旨を通知します。 ここで重要となるのは不不正に関わる指標を 1 つだけ捉えるのではなく、すべてのネットワーク通信や脅威のライフサ イクルにおける動きを捉えた上で、不不正の判定を⾏行行うことです。例例えば、システムが企業のネットワークから隔離離さ れている間は感染することはなく、実際のネットワーク経由のファイル転送も検知できませんが、その後のやり取り (ライフサイクル)における通信状態を検査することで、該当システムが感染していたという事実が分かるのです。 インターネット上の既知の不不良良サイトと通信を⾏行行なっている場合や、P2P などのコミュニケーション⼿手段をネットワ ーク上で使⽤用している場合、それが感染している証拠と⾒見見なされます。 このアプローチの優位性によって、実際のマルウェアに対するシグネチャを誰かが⼿手に⼊入れる何ヶ⽉月も前に、 DAMBALLA は脅威を検知することができます。DAMBALLA は、マルウェア⾃自体をモデリングするのではなく、通信 ⼿手順をモデリングします。脅威のオペレーション⽅方法をモデリングすることで、その動き・振る舞いを理理解できるよ うになり、実際マルウェアの脅威として何が仕込まれたかという点を問題にする必要がなくなります。脅威がどのよ うなオペレーションを⾏行行なうかを知り、その動きを理理解することで、未知のマルウェアも、新しい脅威として認識識す ることができるようになります。 ビッグデータの活⽤用 - DAMBALLA の⽅方程式 簡単な形で DAMBALLA Failsafe を説明すると、ビッグデータの活⽤用が最初にあります。DAMBALLA は、さまざま な情報ソースから、⽇日々225 億件ものレコードを取り込んでいます。また、北北⽶米の ISP のパッシブ DNS データの約 55%、モバイルデータトラフィックデータの 43%を監視しています。パッシブ DNS は階層構造をもち、IP アドレ スとドメイン名をペアで知ることができるという点が⾮非常に重要であり、デバイスがインターネットのどこに向けて 通信しているかを特定できます。 DAMBALLA では、このビッグデータの活⽤用にマシンラーニングを適⽤用しています。DAMBALLA のデータサイエンテ ィストは、データを⾒見見て感染の証跡を発⾒見見します。また、マシンラーニングを使うことで、正常なトラフィックと悪 意あるネットワークトラフィックを⾃自動的に特定する分類機能 (Classifier) を構築。分類機能を使⽤用することで、さ らにプロファイラー (Profiler) を構築することができます。プロファイラーは、Failsafe に検知エンジン (Detection Engine) として組み込まれ、背後で動く分類機能や DAMBALLA におけるビッグデータの継続的な分析結果がリアル タイムに反映されます。 [email protected] | damballa.com/ja DAMBALLA 最新の⾼高度度な脅威に対する検知防御のあり⽅方:ビッグデータのインテリジェンスと連動したブリーチ検知の実現 4 Failsafe には8つの検知エンジンが組み込まれています。 脅威がセキュリティコミィニティで広く知れ渡る前に、ビッグデータによってそれらの脅威を特定する3つの検知エ ンジンについて以下で解説します。 HTTP リクエストプロファイラー マルウェアの 80%が利利⽤用する HTTP は今後も重要な通信チャネルとなるでしょう。しかも、75%以上のマルウェア が従来の防御⼿手段から逃れています。これらのマルウェアは、企業がネットワークの送受信を許可している重要なポ ートやプロトコルを使って、ごくわずかな情報を HTTP で送ることで、 「闇に紛れるように」検知から逃れています。 DAMBALLA Failsafe に組み込まれた HTTP リクエストプロファイラーは、DAMBALLA が持つビッグデータやマシン ラーニングの成果を活かし、HTTP リクエストにおける類似構造を統計的に特定し、隠れた感染デバイスを発⾒見見しま す。HTTP Request Profiler によって、従来のテクノロジーの 5 倍もの感染を検知できたという最近のカスタマー事 例例もあります。 P2P プロファイラー 最近増加するマルウェアの通信パターンを分析するために、DAMBALLA がどのようにビッグデータと連動するかを ⽰示す例例として P2P プロファイラーをあげることができます。マルウェアは進化を続けており、ZeroAccess、TDL v4、 Zeus v3 といった最新のマルウェアは、例例外なく P2P 機能を使⽤用し、従来のシグネチャやサンドボックス、ブラッ クリストといった技術を使った検知から逃れています。 DAMBALLA は、ビッグデータを活⽤用した分類機能を構築し、P2P トラフィックをリアルタイムで観察し、命令令や更更 新を受け取るために C&C と通信する特定のマルウェア群を検知します。DAMBALLA Failsafe は、送信トラフィック のフローを分析し、マシンラーニングのアルゴリズムを利利⽤用することで、P2P に関連するトラフィックを正常なもの か、悪意ある C&C トラフィックかに分類して感染したエンドポイントを特定します。 [email protected] | damballa.com/ja DAMBALLA 最新の⾼高度度な脅威に対する検知防御のあり⽅方:ビッグデータのインテリジェンスと連動したブリーチ検知の実現 5 Domain Fluxing プロファイラー DNS を活⽤用する重要なプロファイラーである Domain Fluxing プロファイラーは、DGA ベースのボットネットを事 前に検知することができます。ドメイン⽣生成アルゴリズム(DGA – Domain-‐‑‒Generation Algorithm)とは、⾼高度度な マルウェアが⼀一般的なウィルス検知・防御メカニズムを回避するために使⽤用する技術です。以前より多くの DGA ベ ースのボットネットが発⾒見見されるようになったことからも分かるように、DGA は、C&C インフラストラクチャーに コールバックするための、代替コミュニケーション⼿手段として数多く⽤用いられています。 DGA の仕組みは次の通りです:マルウェアと脅威は⽇日々攻撃先を探しています。攻撃先が⾒見見つかると、毎⽇日 1,000 を超えるランダムなドメインセットを⽣生成するアルゴリズムを攻撃⽬目標に埋め込みます。脅威側は適当なドメインを 決定し登録します。マルウェア側は、脅威が登録したドメインを発⾒見見するまで 1,000 個のドメインすべてを精査し、 ⾒見見つかるとそのドメインと通信して必要な情報を取得します。そしてこの処理理は毎⽇日繰り返されます。 従来、DGA ベースのボットネットのセキュリティ研究者は、DGA の内容を調査するため、マルウェアをリバースエ ンジニアリングしていました。しかし、この⽅方法では拡張が効きません。マルウェアは毎⽇日のように進化するため、 セキュリティ研究者はマルウェアのリバースエンジニアリングをその都度度最初からやり直さなければならないから です。 DAMBALLA の DGA プロファイラーのアプローチは全く異異なります。ネットワーク上のデータを取得して稼動中の DGA を⾃自動的に特定します。ドメインにアクセスしようと試み、DNS サーバーでそれが解決できない場合、プロフ ァイラーは、該当するドメイン名と IP アドレスを記録した NXDomain (non-‐‑‒existent domain) レコードを⽣生成し ます。NXDomain に対するマシンラーニングによって、ドメイン名の⻑⾧長さ、ランダム性、⽂文字の出現頻度度、ドメイン 名の構造といった特性を割り出し、そこから DGA であることを判断します。 DGA の分類機能を使⽤用することで、私達は、多くのアンチウィルスのコミュニティが確認する 6 週間も前に、新し い PushDo の派⽣生を検知することができました。DAMBALLA は、誰よりも先に悪意あるトラフィックを検知し始め たのです。マルウェアを発⾒見見することで、⼀一部のドメイン名を廃棄して新しい PushDo の派⽣生であると結論論付ける前 に、数多くのことを理理解することができました。さらに、DGA プロファイラーによって発⾒見見できた例例としては、新種 の TDSS/TDL4 マルウェアや Mac Flashback ウィルスなどがあります。 まとめ DAMBALLA のデータサイエンティストが、ビッグデータを使⽤用して構築したアルゴリズムとモデルを、DAMBALLA のネットワークアプライアンスに組み込むことで、実際にマルウェアを検査する必要なく、悪意をもった動きをリア ルタイムで検知することができるようになりました。これにより、感染と除染の間の時間を短縮し、データブリーチ のリスクをより低下することができます。 DAMBALLA Failsafe に関するより詳細な情報については、Web サイト http://www.damballa.com/ja をご覧 いただくか、[email protected] まで⽇日本語でお問い合わせください。 [email protected] | damballa.com/ja DAMBALLA
© Copyright 2024 ExpyDoc