可視化技術が切り開く未来のネットワークセキュリ …...DAEDALUS 1. インシデント分析センタ NICTER 4. サイバー攻撃統合分析プラットフォーム

NICTERNetwork Incident analysis Center for Tactical Emergency Response

可視化技術が切り開く未来のネットワークセキュリティ

独立行政法人情報通信研究機構（NICT）ネットワークセキュリティ研究所

サイバーセキュリティ研究室衛藤将史

“つながる”新産業創出セミナー～世界に誇れるセキュアなモノづくりに向けて～

(2014/10/24)


NICTERとそのスピンオフ技術たち

3. ネットワークリアルタイム可視化システムNIRVANA

2. 対サイバー攻撃アラートシステムDAEDALUS

1. インシデント分析センタNICTER

4. サイバー攻撃統合分析プラットフォーム

NIRVANA改

ダークネット観測

ライブネット観測


サイバー攻撃とは？

• サイバー：仮想空間インターネット

• サイバー攻撃：

–ネットワークやコンピュータに不正侵入

–データの窃取や破壊、改ざん

–大量のアクセスを集中させて機能不全に

–etc...

重要インフラ一般家庭・個人利用者

企業ネットワーク

政府・官公庁銀行3


サイバー攻撃の変遷

20世紀：愉快犯/自己顕示

21世紀：経済犯

Richard Skrenta世界初のウイルスElk Clonerの作者（当時高校生）

2010年代：示威活動（Hacktivism）諜報活動（Cyber Espionage）

+Anonymous

4


• Malware = Malicious(悪意のある)+ Software- 情報漏えいやデータの破壊・改竄、他のコンピュータへの攻撃

など、ユーザの望まない不正な活動を行うソフトウェアの総称

サイバー攻撃のツール：マルウェア

コンピュータウイルス

ボットワーム

5


インシデント分析センタ NICTER 概要

目的：広域ネットワークにおけるセキュリティインシデント(セキュリティ事故) の迅速な状況把握・原因究明・対策導出

主要コンポーネント：• マクロ解析システム（ネットワークモニタリング）• ミクロ解析システム（マルウェア解析）• マクローミクロ相関分析システム（マクロとミクロの融合）

NICTER = Network Incident analysis Centerfor Tactical Emergency Response

6


NICTERの全体像

相関分析システム

相関分析エンジン

分析者ワークベンチ

政府・官公庁

一般ユーザ

インターネットサービスプロバイダ

インシデントアラート発行

インシデントハンドリングシステム

現象

原因

!

!

!

マクロ解析システム

可視化エンジン分析エンジン

Tiles

Cube

Atlas

ミクロ解析システム

マルウェア静的解析マルウェア動的解析

ネットワークモニタリング

マルウェア検体収集

ウイルス

ボット

ワーム

ハニーポット

Alert------------------------------------

24万アドレスからなるダークネット観測網

1日7000検体のマルウェア解析能力

30秒〜1 分でマルウェアを推定

7


ダークネットとは？

• ユーザマシンやサーバが接続されていない未使用アドレスブロック

• ダークネットトラフィックはなぜ発生？マルウェアによるスキャンや攻撃 DDoS攻撃の跳ね返り（Backscatter）設定ミス

Darknet

8


対サイバー攻撃アラートシステムDAEDALUS

(Direct Alert Environment forDarknet And Livenet Unified Security)


マルウェア感染対策の現状 – 境界防御の限界 -

• 突破される従来の防御手法– 回避される侵入検知システム

• USBメモリによるネットワーク内部からの感染• 標的型メールによる「人」への攻撃

– 完璧ではないアンチウイルスソフト• 膨大な亜種ウイルスの出現により100%の検知は困難

• マルウェア感染リスクのゼロ化は困難• 事故前提のマルウェア対策が必要

10


境界防御技術とDAEDALUS

DAEDALUS

組織内ネットワーク

境界防御技術

組織内ネットワーク

組織外からの攻撃をネットワーク境界で検出

相補的

NICTER

組織内からの攻撃をネットワーク広域で検出

11


基本アイデア

登録されたIPアドレスから

ダークネットに飛んできたら

アラート。

12


NICTER

想定環境

: ダークネット

: ライブネット

13


NICTER

組織内感染（内部アラート）

: 感染ホスト

ケース1



14


NICTER

組織外への攻撃（外部アラート）

観測

データ

ケース2

: 感染ホスト



15


膨大なアラートが。。。

ほとんど未読 orz …

DAEDALUS-VIZ16


『SiteVisor』『SiteVisor Professional』

DAEDALUSの成果展開：商用展開一般企業へのアラート提供

• SiteVisor：DAEDALUSに基づく商用アラートサービス

• SiteVisor Professional：インシデント発生時のレスポンスサービス

17


サイバー攻撃統合分析プラットフォームNIRVANA改


標的型攻撃

• 特定組織を標的にした長期に渡る執拗なサイバー攻撃• 周到な内容のメールに添付されたマルウェアで組織に侵攻• 組織内ネットワークに潜伏・浸透し重要情報を収奪

標的型攻撃のKill Chain諜報侵攻潜伏橋頭堡

確保索敵浸透占領収奪撤収

TECH.ASCII.jp「9.5社に1社が対象に！シマンテックが明かす日本の標的型攻撃」http://ascii.jp/elem/000/000/652/652712/ （2011-11-30）

19


入口対策/出口対策

諜報侵攻潜伏橋頭堡確保索敵浸透占領収奪撤収

入口（境界防御）

出口（境界防御）

ネットワークの内側でも対策を！（組織内ネットワークのリアルタイム観測・分析）

NIRVANA改= NIRVANA + セキュリティ分析機能 20


NIRVANA改

• NIRVANAによるライブネット観測• 各種のリアルタイム分析エンジン（新規開発中）• 既存セキュリティアプライアンスのアラート集約• 各種アラートを基にしたメタ分析• ドリルダウン機能付き可視化エンジン

組織内ネットワークを守る統合分析プラットフォームの確立に向けて研究開発中

21


NIRVANA改

• NIRVANAによるライブネット観測• 各種のリアルタイム分析エンジン（新規開発中）• 既存セキュリティアプライアンスのアラート集約• 各種アラートを基にしたメタ分析• ドリルダウン機能付き可視化エンジン

組織内ネットワークを守る統合分析プラットフォームの確立に向けて研究開発中

NIRVANA改

22


まとめ

• NICTER– 日本最大のダークネット観測網＋マルウェアの自動収集・解析– 相関分析によるインシデント原因の推定– 多くの外部連携とスピンアウト技術たち

• サイバー攻撃の可視化のメリット：– 訴求力（攻撃の実態・対策の重要性に対する認識を促す）– 理解力（迅速な状況把握、人間の「気づき」の能力を最大化す

る）– 求心力（次世代の研究者を惹き付ける）

Made in Japanのサイバーセキュリティ技術を日本に、そして世界に！

23

Documents

可視化技術が切り開く 未来のネットワークセキュリ …...DAEDALUS 1. インシデント分析センタ NICTER 4. サイバー攻撃統合分析プラットフォーム

可視化技術が切り開く未来のネットワークセキュリ …...DAEDALUS 1. インシデント分析センタ NICTER 4. サイバー攻撃統合分析プラットフォーム