Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
NICTERNetwork Incident analysis Center for Tactical Emergency Response
可視化技術が切り開く未来のネットワークセキュリティ
独立行政法人 情報通信研究機構(NICT)ネットワークセキュリティ研究所
サイバーセキュリティ研究室衛藤 将史
“つながる”新産業創出セミナー~世界に誇れるセキュアなモノづくりに向けて~
(2014/10/24)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTERとそのスピンオフ技術たち
3. ネットワークリアルタイム可視化システムNIRVANA
2. 対サイバー攻撃アラートシステムDAEDALUS
1. インシデント分析センタNICTER
4. サイバー攻撃統合分析プラットフォーム
NIRVANA改
ダークネット観測
ライブネット観測
NICTERNetwork Incident analysis Center for Tactical Emergency Response
サイバー攻撃とは?
• サイバー:仮想空間 インターネット
• サイバー攻撃:
–ネットワークやコンピュータに不正侵入
–データの窃取や破壊、改ざん
–大量のアクセスを集中させて機能不全に
–etc...
重要インフラ一般家庭・個人利用者
企業ネットワーク
政府・官公庁 銀行3
NICTERNetwork Incident analysis Center for Tactical Emergency Response
サイバー攻撃の変遷
20世紀:愉快犯/自己顕示
21世紀:経済犯
Richard Skrenta世界初のウイルスElk Clonerの作者(当時高校生)
2010年代: 示威活動(Hacktivism)諜報活動(Cyber Espionage)
+Anonymous
4
NICTERNetwork Incident analysis Center for Tactical Emergency Response
• Malware = Malicious(悪意のある)+ Software- 情報漏えいやデータの破壊・改竄、他のコンピュータへの攻撃
など、ユーザの望まない不正な活動を行うソフトウェアの総称
サイバー攻撃のツール:マルウェア
コンピュータウイルス
ボット ワーム
5
NICTERNetwork Incident analysis Center for Tactical Emergency Response
インシデント分析センタ NICTER 概要
目的:広域ネットワークにおけるセキュリティインシデント(セキュリティ事故) の迅速な状況把握・原因究明・対策導出
主要コンポーネント:• マクロ解析システム (ネットワークモニタリング)• ミクロ解析システム (マルウェア解析)• マクローミクロ相関分析システム (マクロとミクロの融合)
NICTER = Network Incident analysis Centerfor Tactical Emergency Response
6
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTERの全体像
相関分析システム
相関分析エンジン
分析者ワークベンチ
政府・官公庁
一般ユーザ
インターネットサービスプロバイダ
インシデントアラート発行
インシデントハンドリングシステム
現象
原因
!
!
!
マクロ解析システム
可視化エンジン 分析エンジン
Tiles
Cube
Atlas
ミクロ解析システム
マルウェア 静的解析 マルウェア 動的解析
ネットワークモニタリング
マルウェア検体収集
ウイルス
ボット
ワーム
ハニーポット
Alert------------------------------------
24万アドレスからなるダークネット観測網
1日7000検体のマルウェア解析能力
30秒〜1 分でマルウェアを推定
7
NICTERNetwork Incident analysis Center for Tactical Emergency Response
ダークネットとは?
• ユーザマシンやサーバが接続されていない未使用アドレスブロック
• ダークネットトラフィックはなぜ発生? マルウェアによるスキャンや攻撃 DDoS攻撃の跳ね返り(Backscatter) 設定ミス
Darknet
8
NICTERNetwork Incident analysis Center for Tactical Emergency Response
対サイバー攻撃アラートシステムDAEDALUS
(Direct Alert Environment forDarknet And Livenet Unified Security)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
マルウェア感染対策の現状 – 境界防御の限界 -
• 突破される従来の防御手法– 回避される侵入検知システム
• USBメモリによるネットワーク内部からの感染• 標的型メールによる「人」への攻撃
– 完璧ではないアンチウイルスソフト• 膨大な亜種ウイルスの出現により100%の検知は困難
• マルウェア感染リスクのゼロ化は困難• 事故前提のマルウェア対策が必要
10
NICTERNetwork Incident analysis Center for Tactical Emergency Response
境界防御技術とDAEDALUS
DAEDALUS
組織内ネットワーク
境界防御技術
組織内ネットワーク
組織外からの攻撃をネットワーク境界で検出
相補的
NICTER
組織内からの攻撃をネットワーク広域で検出
11
NICTERNetwork Incident analysis Center for Tactical Emergency Response
基本アイデア
登録されたIPアドレスから
ダークネットに飛んできたら
アラート。
12
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTER
想定環境
: ダークネット
: ライブネット
13
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTER
組織内感染(内部アラート)
: 感染ホスト
ケース1
: ダークネット
: ライブネット
14
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTER
組織外への攻撃(外部アラート)
観測
データ
ケース2
: 感染ホスト
: ダークネット
: ライブネット
15
NICTERNetwork Incident analysis Center for Tactical Emergency Response
膨大なアラートが。。。
ほとんど未読 orz …
DAEDALUS-VIZ16
NICTERNetwork Incident analysis Center for Tactical Emergency Response
『SiteVisor』 『SiteVisor Professional』
DAEDALUSの成果展開:商用展開一般企業へのアラート提供
• SiteVisor:DAEDALUSに基づく商用アラートサービス
• SiteVisor Professional:インシデント発生時のレスポンスサービス
17
NICTERNetwork Incident analysis Center for Tactical Emergency Response
サイバー攻撃統合分析プラットフォームNIRVANA改
NICTERNetwork Incident analysis Center for Tactical Emergency Response
標的型攻撃
• 特定組織を標的にした長期に渡る執拗なサイバー攻撃• 周到な内容のメールに添付されたマルウェアで組織に侵攻• 組織内ネットワークに潜伏・浸透し重要情報を収奪
標的型攻撃のKill Chain諜報 侵攻 潜伏 橋頭堡
確保 索敵 浸透 占領 収奪 撤収
TECH.ASCII.jp「9.5社に1社が対象に!シマンテックが明かす日本の標的型攻撃」http://ascii.jp/elem/000/000/652/652712/ (2011-11-30)
19
NICTERNetwork Incident analysis Center for Tactical Emergency Response
入口対策/出口対策
諜報 侵攻 潜伏 橋頭堡確保 索敵 浸透 占領 収奪 撤収
入口(境界防御)
出口(境界防御)
ネットワークの内側でも対策を!(組織内ネットワークのリアルタイム観測・分析)
NIRVANA改= NIRVANA + セキュリティ分析機能 20
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改
• NIRVANAによるライブネット観測• 各種のリアルタイム分析エンジン(新規開発中)• 既存セキュリティアプライアンスのアラート集約• 各種アラートを基にしたメタ分析• ドリルダウン機能付き可視化エンジン
組織内ネットワークを守る統合分析プラットフォームの確立に向けて研究開発中
21
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改
• NIRVANAによるライブネット観測• 各種のリアルタイム分析エンジン(新規開発中)• 既存セキュリティアプライアンスのアラート集約• 各種アラートを基にしたメタ分析• ドリルダウン機能付き可視化エンジン
組織内ネットワークを守る統合分析プラットフォームの確立に向けて研究開発中
NIRVANA改
22
NICTERNetwork Incident analysis Center for Tactical Emergency Response
まとめ
• NICTER– 日本最大のダークネット観測網+マルウェアの自動収集・解析– 相関分析によるインシデント原因の推定– 多くの外部連携とスピンアウト技術たち
• サイバー攻撃の可視化のメリット:– 訴求力(攻撃の実態・対策の重要性に対する認識を促す)– 理解力(迅速な状況把握、人間の「気づき」の能力を最大化す
る)– 求心力(次世代の研究者を惹き付ける)
Made in Japanのサイバーセキュリティ技術を日本に、そして世界に!
23