Embed Size (px)
Citation preview
W H I T E P A P E R
LATERAL MOVEMENT
Enterprise DataInternal Assets
Evasion
ExploitInternet-Facing
Assets
Figure 1: Perimeter-based Security
Figure 3: Advanced security controls
+ Intrusion Prevention
+ Malware Detection
+ Data Loss Prevention
+ Anomaly Detection
+ Reputation Analysis
Network Security Based on ACLs
Plus Advanced ControlsNetwork Security
Based on ACLs Only
セキュリティ制御に効果的なマイクロ・セグメンテーション
Ponemonによると、組織は情報流出の事件1件につき平均4百万ドルの損失を蒙るという状況に直面しています(1)。 攻撃者は、高度なハッキング技術を迅速かつ絶え間なく革新するという戦略をとっていて、そのため組織がすべての可能性のある攻撃を予見し防御することが不可能となるため、攻撃の成功の余地が残り、攻撃者は攻撃を達成できてしまいます。 さらに攻撃者は、実質的に侵入コストが低くても攻撃を実行できるという利点も生かし(2)、彼らがその攻撃という目的を最終的に達成した場合に十分に収益が上がるという状況を作り出しています。
セキュリティは状況に適合してゆかなくてはならない
今日のビジネス上クリティカルなインフラの大部分は、高度に仮想化されたデータセンター、プライベートクラウドやパブリッククラウド、及びプロバイダサービスによって提供される複雑な集合体もしくはマルチクラウド環境へと変革を遂げました。 ITセキュリティの戦略、戦術及びそれに対応する組織は、これらのアプリケーションやインフラの技術の急速な変化と、絶え間なく変化する攻撃者の技術の双方に対応していく必要があります。 組織とそのデータを攻撃から守るための戦いには大きな前進と成果がありましたが、残念ながら企業における情報流出は続いています。
結果、これらのマルチクラウド環境を保護するためには従来の境界防御型のやり方では今日の非常に複雑な攻撃活動全般に対しては不十分だという考え方が広く受け入れられるようになりました。 マルチクラウド環境の入口にセキュリティの対策を施すだけでは、セキュリティ担当者は一旦進入された攻撃者の攻撃を止めたり、それを可視化したり、進行状況を追跡することはできません。
SDN(Software Defined Networking)の出現に伴い、マルチクラウド環境に跨ってアプリケーションが動作する状況において、Forresterが提唱するゼロ・トラスト・モデル(3)はラテラル・ムーブメントによるアタック、高付加価値資産へのアクセス及びそれに続く機密データの抜き取りの攻撃から保護するための最も進んだ方式となってきました。この方式の基盤となる要素の1つは、マイクロ・セグメンテーションの使用です。 ESGの調査では、企業組織の68%がソフトウェアベースのマイクロ・セグメンテーション技術を使用していますと述べていますが(4)、その実装にはまだいくつかの課題があり、今日の普及している攻撃に対しては未だ不十分です。
ACLベースのマイクロ・セグメンテーションでは不十分
マイクロ・セグメンテーションは、従来のファイアウォール、サブネット、VLANなどを用いネットワークをセグメント化する手法をソフトウェアによって拡張したものです。ネットワークを個別のワークロード単位に分割し、それらのワークロード間の細かいアクセス制御を強制するものです。 マイクロ・セグメント化されたネットワークでは、セキュリティ境界はもはやデータセンターの入り口といくつかのセキュリティゾーンに限定されません。 代わりに、複数のクラウド環境内の各ワークロードのすぐ周囲に境界線が設定されることになります。
マイクロ・セグメント化は、最低限の特権という原則(Principal of Least Privilege)に基づいており、進入された後の攻撃者の活動を阻止するために使用されます。 最低限の特権の原則は、コンピューティング環境において抽象化されたレイヤのあらゆるモジュール(プロセス、ユーザー、プログラムなど)は、その正当な目的において必要な情報もしくはリソースのみにしかアクセスできない状態を構築します。マルチクラウドを使用するアプリケーションにおいては、各ワークロードがタスクを達成するために必要なコネクションのみが張られる事が許される事を意味します。
(1) Ponemon Institute. (2016). 2016年の情報流出による損害額:以下からの引用 https://securityintelligence.com/media/2016-cost-data-breach-study/(2) Jacobson, D., & Idziorek, J. (2013). Computer Security Literacy. Staying Safe in a Digital World. Boca Raton, FL: Taylor & Francis Group, LLC.(3) 2009年にForresterはゼロ・トラスト・モデルと呼ばれる新たな情報セキュリティのモデルを開発した、これは広く世に受け入れられ取り入れられ始めている(4) Oltsik, Jon (2017). エンタープライズに於けるマイクロ・セグメンテーション活用の見積り: http://www.csoonline.com/article/3187176/security/micro-segmentation-projects-span-enterprise-organizations.html
2 | S
HIE
LD
X | W
HIT
E P
AP
ER
| S
EC
UR
ITY
CO
NT
RO
LS
FO
R E
FF
EC
TIV
E M
ICR
O-S
EG
ME
NTA
TI
ON -
LATERAL MOVEMENT
Enterprise DataInternal Assets
Evasion
ExploitInternet-Facing
Assets
Figure 1: Perimeter-based Security Figure 2: Micro-segmented network
LATERAL MOVEMENT
FIGURE 1: PERIMETER -B ASED S ECURIT Y
Internal Assets
Figure 2: Micro-segmented network Figure 3: Advanced security controls
Evasion
Exploit
Exploit
LATERAL MOVEMENT
Internet-Facing Assets
Enterprise Data
Network Security Based on ACLs Only
FIGURE 2: MICRO-SE GMENTED NETW ORK
LATERAL MOVEMENT
Enterprise DataInternal Assets
Evasion
ExploitInternet-Facing
Assets
Enterprise DataInternal Assets
Exploit
LATERAL MOVEMENT
Figure 6: Mirco-segmentation with APEIRO
LATERAL MOVEMENT
Internal Assets
Evasion
ExploitInternet-Facing
Assets
LATERAL MOVEMENT
Enterprise DataInternal Assets
Evasion
ExploitInternet-Facing
Assets
Figure 1: Perimeter-based Security Figure 2: Micro-segmented network
図1は、入り口での境界における防御のみに依存するセキュリティのやり方を示しています。個々の攻撃がこれらの防御を回避できる可能性は低いですが、通常攻撃者は非常に大量の攻撃を生成することによって攻撃が成功する可能性を高くします。この攻撃は自動化で行われ攻撃に対する限界費用がゼロに近づくことも可能となります。 結果として、攻撃者は境界ベースの防御を回避し、インターネットに面したシステムに侵入します。
機密なデータはインターネットに接続されたシステムに格納されないよう推奨されていますが、攻撃者は最初の回避を成功させ、その後横方向へ移動して付加価値の高いデータを格納するシステムへと近づいて行きます。境界防御より後には防御手段がないため、最初の進入が成功したことによって攻撃者は無制限に動き回ることができ内部資産の利用と最終的な目標の達成即ち機密性の高いエンタープライズデータの取得が可能となります。
図1と同じ構成に対してマイクロ・セグメンテーションを適用すると、図2に示すように別の保護レイヤが追加されます。一般的に実測実施されるマイクロ・セグメンテーションは、基本的なACL(Access Control List)によって環境の中における許可されたコネクションのみを成立させることでの防御を提供します。そのため攻撃者は最初に侵入できたとしてももはやマルチクラウド環境内を自由に移動することはできません。もし、インターネットに面している進入されてしまったシステムが通常の運用で必要とされない接続を行おうとすると(デスティネーション、プロトコル、ポート)そのコネクションは拒否されます。
しかし実際には、ACLは攻撃者が攻撃する速度を低下させるかもしれませんが、攻撃者を完全に止めることできません。マルチクラウド環境内においては多くの必要なコネクションが存在するため、攻撃者はこれを利用する事によってシステムに進入する事が可能で、その被害者が通常許可しているコネクションやプロトコルを使って横方向の移動を行います。この場合、攻撃者はConfused Deputy (プログラムがほかの人間に騙されてそのもっている権威を悪用してしまう事)として知られる進入によってそのマシンによる支援を得たことになります。この権威者(deputy)は騙されて割り当てられた特権を使用して価値の高いターゲットに移動することになります。このような方法で、攻撃者はACLが設置されていても検出されることなく横方向への移動が可能です。
Confused Deputyの問題は新しいものではなく、単純なACLを超えたセキュリティの必要性も新しいものではありません。1980年代後半には、基本的なACLポリシーを課すように設計されたファイアウォールが、インターネットに接続された組織には一般的になりました。 Morrisワームのような脅威の出現により多くの組織ではファイアウォールによって最低限の特権の原則を強制させるようになったのです。
マイクロ・セグメンテーションがネットワークを保護する方法を理解するために、高度な攻撃がどう行われるかを見てみましょう。
Figure 3: Advanced security controls
+ Intrusion Prevention
+ Malware Detection
+ Data Loss Prevention
+ Anomaly Detection
+ Reputation Analysis
Network Security Based on ACLs
Plus Advanced ControlsNetwork Security
Based on ACLs Only
Enterprise DataInternal Assets
Exploit
LATERAL MOVEMENT
Evasion
ExploitInternet-Facing
Assets
3 | S
HIE
LD
X | W
HIT
E P
AP
ER
| S
EC
UR
ITY
CO
NT
RO
LS
FO
R E
FF
EC
TIV
E M
ICR
O-S
EG
ME
NTA
TI
ON
+ Intrusion Prevention
+ Malware Detection
+ Data Loss Prevention
+ Anomaly Detection
+ Reputation Analysis
Network Security Based on ACLs
Plus Advanced ControlsNetwork Security
Based on ACLs Only
FIGURE 3: ADVANCED SE CURIT Y CON TR OLS
Workload
L7
L4
L3
Figure 4: Extending Least Privilege to L7
DPI (L7)
ACLs (L3/4)
Workload
L7
L4
L3
FIGURE 4: E XTE NDING L EAST PRIVILE GE TO L7
Figure 2: Micro-segmented network Figure 3: Advanced security controls
Internet-Facing Assets
Enterprise Data
+ Intrusion Prevention
+ Malware Detection
+ Data Loss Prevention
+ Anomaly Detection
+ Reputation Analysis
Network Security Based on ACLs
Plus Advanced ControlsNetwork Security
Based on ACLs Only
しかしすぐにITチームは攻撃が成功した範囲を制限してネットワークを守るというセキュリティの制御が必要であるということに気づきました。レイヤ3/4での最低限特権の原則を拡張して、侵入検知と防止、マルウェア検出、データ流出防止、アノマリー検出、レピュテーション分析などが可能な高度なDPI (Deep Packet Inspection)セキュリティ制御によってレイヤ7までの拡張を行いました。(図3) 今日、これらの高度な制御なくして境界のセキュリティを考えることはできません。
単純なマイクロ・セグメンテーションは標的型攻撃及び攻撃の横方向への拡散から守るための最初のステップですが、攻撃者はConfused Deputyの手法により横方向の移動を行い機密性の高いデータの取得が可能なためそれだけでは十分ではありません。単純なマイクロ・セグメンテーションは仮想化されオーケストレーションされた環境において多層セキュリティのフレームワークを構築するために重要な基本要素となりますが、それだけでは決して十分とは言えません。
包括的な横方向防御に対するセキュリティ制御
スパニッシュアメリカンの哲学者George Santayanaは「過去を覚えていない人はそれを繰り返すと宣告する」と書きました。25年前に境界の防御で学んだように、ACL単独でネットワークのEast/Westのトラフィックを防御する事では仕事は終わらないのです。境界だけでなくマルチクラウドの環境内においても、DPIベースでの高度なセキュリティ制御を用いたマイクロ・セグメンテーションが必要となります。
ネットワークを完全に保護しConfused Deputyの問題を解決するには、最低限特権の原則をL3 / 4からL7に拡張する必要があります(図4)。 L3 / 4で最低限の特権を適用するのは比較的簡単で標準ACL(ホワイトリスティング)によって実現されます。 しかし、L7プロトコルははるかに多く複雑でホワイトリストに基づいたアプローチは現実的ではなく代わりにブラックリスト方式を使用することができます。 ブラックリストに掲載された行動や活動をL7で定義し、そのポリシーを積極的に実施することでConfused Deputyの問題が解決され、ACLだけでは部分的にしか対応できなかった問題に対して完全な対応が可能となります。
それぞれのセキュリティの方式は異なる行動や活動を対象としているため、ブラックリスト方式は可能な限り幅広いセキュリティの方式を適応しようとする場合には最も効果的です。この方式により最低限の特権をL7に拡張した場合、そのソリューションには、AppID、侵入防止、マルウェア検出、データ流出防止、アノマリー検出(フロー・メタデータとL7コンテンツの両方を含む)などのACL及びL7レベルでの可視化を可能とするTLSの複合化を含んでいる必要があります。
アプリケーション及びインフラに関して最新の革新的技術を使用している環境において、包括的なネットワークベースのセキュリティはL7レベルでの最低限の特権を実施できるように拡張してゆく必要があります。マイクロ・セグメンテーションにおける拡張はネットワークの保護観点に止まるのではなく、マルチクラウド環境全体にわたる可視性、自動化、及び全体を連携させる機能とともに一連のセキュリティ制御が含まれている必要があります。そうする事により、ネットワークの1つの領域において情報の流出が検出されレポートされ閉じ込められるために、他の領域に拡散や侵入されることはありません。
Enterprise DataInternal Assets
Exploit
LATERAL MOVEMENT
Figure 6: Mirco-segmentation with APEIRO
Exploit
Exploit
APEIRO Virtual Chassis
LATERAL MOVEMENT
Internal Assets
Evasion
ExploitInternet-Facing
Assets
Workload
L7
L4
L3
Figure 4: Extending Least Privilege to L7Figure 6: Mirco-segmentation with APEIRO
DPI (L7)
ACLs (L3/4)
Evasion
Exploit
Exploit
APEIRO Virtual Chassis
LATERAL MOVEMENT
Internet-Facing Assets
Enterprise DataInternal Assets
Enterprise DataInternal Assets
Exploit
LATERAL MOVEMENT
Exploit
LATERAL MOVEMENT
Internal Assets
Evasion
ExploitInternet-Facing
Assets
Enterprise DataInternal Assets
Exploit
LATERAL MOVEMENT
Figure 6: Mirco-segmentation with APEIRO
LATERAL MOVEMENT
Internal Assets
Evasion
ExploitInternet-Facing
Assets
FIGURE 5: EFF ECTIVE MICRO-S EGMENTATI ON
4 | S
HIE
LD
X | W
HIT
E P
AP
ER
| S
EC
UR
ITY
CO
NT
RO
LS
FO
R E
FF
EC
TIV
E M
ICR
O-S
EG
ME
NTA
TI
ON
© 2017 ShieldX N etworks, Inc. All rights reserved. F or trademark, copyright, patent, and other intellectual property and legal information, visit www.shieldx.com/legal
September 2017
ShieldX N etworks, Inc.2025 G ateway P lace, Suite 400San Jose, C A 95110 U SA
+1 408.758.9400 [email protected]
先の例を踏まえて、図5はマイクロ・セグメンテーションがマルチクラウド環境をいかに効果的に保護するかを示しています。 DPIによって強化された機能によってその許可された横方向のトラフィックを検査するACLは、既に境界線を突破して内部で横方向へ動こうとする攻撃者を阻止するのに必要なセキュリティ機能を追加してくれます。これにより価値の高い情報とそれに含まれる機密データは安全なままです。
EternalBlueやEternalRomanceといった謀略に基づく攻撃の成功が継続していることは、マイクロ・セグメンテーションがこれらのタイプの横方向の攻撃に対してどのように効果的に保護が可能かということを示唆しています。これらは境界での防御を回避して、Server Message Block version 1(SMBv1)などの一般的なプロトコルを使用して横方向に伝播します。 SMBv1のようなコネクションは一般的であり通常のマルチクラウドの環境においては許容されるべきプロトコルなので、単純なACLベースのマイクロ・セグメンテーションでは適切に構成されていたとしてもその伝播速度を低下させられるかもしれない程度となってしまいます。
適切なソリューションはパケット、フロー、及びファイルのレベルでそれをインラインでトラフィックを完全に検査してConfused Deputyから悪意のある接続を検出できるものです。またこのソリューションで攻撃をリアルタイムで阻止するために脅威抑止機能を使用し、積極的に攻撃が広がるのを防ぎ、最終的に組織とその資産が傷つけられるのを防ぐべきです。
まとめ今日マルチクラウド環境に対応した単純なACLベースのマイクロ・セグメンテーション製品が提供されていますが、どれ1つとしてプロトコル・スタックの全てのレイヤにおいてこれらの環境に対して完全に安全ではなく、また経済的でもなく、運用する上で適正でもありません。
マルチクラウド環境向けの新しいセキュリティソリューションを検討する場合、IT組織はマイクロ・セグメンテーションの拡張を、効果的に組み込むことのできるDPI機能により強化されたネットワーク・セキュリティの機能により、L7レベルまでとする評価基準を設定すべきです。それにより、たとえ最初の進入が発生したとしてもその組織はその環境において長期間に亘る複数のステージにおける攻撃者の複雑な攻撃の進展を検出して、損害が発生する前に行動を起こすことが可能となります。
ShieldXは、重要なデータがどこにあろうと、またそれがパブリッククラウド、プライベートクラウド、及びマルチクラウドの環境の中でどう動き回ったとしてもそれに関わりなく、サイバー攻撃から組織をより安全に守るためにクラウドセキュリティを再定義します。ShieldXの顧客はAPEIRO™のセキュリティをスケールさせマイクロ・セグメンテーション・オン・デマンドのためやビジネス革新をサポートするため、またコンプライアンス要求に合致するための使用や、最新のサイバー・アタックに対応するためにも使用しています。ShieldXはカリフォルニアのサンノゼを拠点に2015年に個人的な資金提供により設立されました。
ShieldX
