Bc threat intelligence_rev2.1

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 1

未知の脅威への切り札 :脅威インテリジェンス最前線THREAT INTELLIGENCE for CYBER SECURITYブルーコートシステムズ合同会社

髙岡隆佳データセキュリティ・スペシャリスト

未知の脅威に対する現状Buzz word “Threat Intelligence”

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3企業 SOHO/ モバイル IoT デバイス

#1 動的なインターネット環境に潜む脅威

70% = ダイナミック *

?

22% = 脅威*24h 以内に消滅する URL/ ホスト

割合はブルーコートラボ調べ

既存のセキュリティ層NGFW, UTM, IPS,Sandbox… etc.

感染ルートの

横展開


#2 高度化する標的型メール

企業 SOHO/ モバイル

?

既存のメールフィルタ層SEG, Anti-Spam,Sandbox, etc.

Attacker

アカウントハック

BlueCoat Systems CSIRT TeamMalware AnalystJohn Travis

仕事上関係のある既知の送信者

PDF を装ったマルウェア

信頼度を上げてしまう本物の署名

全く別の不正なサイトへ誘導する URL

標的のための標的企業


#3 攻撃の温床となるクラウド

ストレージサービス

ターゲット

攻撃者UPLOAD

https://yabaibox.com/xkenas

SSL

近年ファイル共有（オンラインストレージ）サービスを悪用した攻撃が多発

Dropbox.com, Box.com, Cubby.com, Copy.com など Amazon, Google, and MS clouds これらはすべて HTTPS(SSL) 通信！！！故に既存のセキュリティで防げない


SSL

SSL

SSL

企業 SOHO/ モバイル IoT デバイス

#4 増加する SSL 通信に潜むリスク

?

SaaSシャドー IT

シャドー IT

SSL = 20% ~ 70%今後も HTTP/2 や SaaS の普及により増加傾向



#5 SOC/CSIRT における運用負荷

企業


SOC/CISRT企業における IT/ セキュリティ管理SNMP

SIEM!

!

!

正確性に欠くセキュリティレイヤーによる

誤検知 & 過検知

蓄積する大量の

ログ分析

AD/File

DB

!

!

… その大抵は事後対応


企業の CISO や CSIRT に関する実態調査 2016

2015 年 IPA 「企業の CISO や CSIRT に関する実態調査2016 」より出典

必要な「見える化」とはゼロデイ・標的型・水飲み場… リスクとなるユーザの挙動

（ウェブ・メール・ファイルアクセス・BYOD ）

感染端末のアクティビティ IoC （ Indicator of Compromise ）

SSL 通信（ C&C ・シャドー IT など）

目の前の課題しか見ていない現状課題の見極め・設備投資のプライオリ

ティ付けが重要


企業への警鐘

目の前の被害に囚われすぎていませんか？話題の攻撃手法・マルウェアに対応できればよいのですか？同じ手法がいつまでも使われると思っていますか？（ Emdivi?, PlugX? ）

場当たり的な対応では未知の脅威に対応することはできません

大事なのは　　　　　　　　　　すべての攻撃ベクトルにおいて

　　　　　　　　　　　　　　　　　未知の攻撃を検知・対処ができる仕組み

　　　　　　　　　　　　　　　　　のための投資を見極めることです

Web19%

Email 78%

Other 3%


ゼロデイ・標的型・C&C 通信に対応しうるリアルタイムの脅威検知と防御

拠点 / モバイル /IoT まで

網羅されたセキュリティ対策の施行と証跡管

理

企業のセキュリティ網が見逃すリスクの高いSSL 通信可視化

と情報漏洩対策

今日の企業における課題のまとめ

未知の脅威を特定するためにIdentify dynamic malicious unknowns

12Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.

From RSA Conference 2016

事実に基づく知見・前後関係・メカニズム・指針・影響や脅威に対する実施可能なアドバイスなどから脅威に必要な対処を可能にする情報を提供する

内部および外部の脅威についての意図・目的・影響度の詳細、また脅威インテリジェンスはそれらに対する戦略・技術・対処を提供するべきもの2016 RSA Conference Wade Baker “Bridging the Gap Between Threat Intelligence and Risk Management”より転載



迅速なサイバーセキュリティ対策に脅威インテリジェンスを活用

脅威インテリジェンス市場調査 (IANS)

脅威インテリジェンス：市場調査IANS CUSTOM REPORT WRITTEN BY DAVE SHACKLEFORD MARCH 2015より転載


脅威インテリジェンスのサイクル

方向性

収集

処理分析

普及インテリジェンスの利用目的と必要な要件の見極め

要件を満たすための知見収集

知見の集約された結果の配布

知見の評価、統合、読み取り知見の加工と処理

Threat Intelligenc

e(TI)


Risk Management Process (NIST 800-39)

枠組み評価

対応

監視

枠組み : リスクに基づく判断のために前後関係を理解し実行可能な戦略を立てる

評価 : 組織におけるリスクのレベルを決定しうるすべての分析対象を包含する

監視 : 適切な実行方法の確認、効果の測定、リスク値変更時の影響の確認など

対応 : リスクの評価と決定がなされた場合に組織が解決する手段


Risk Management Process (ISO 27005)

前後関係の把握リスクの確認リスクの分析リスクの評価

リスクへの対応

リスクの容認

リスクの査定

リスクの判断 1査定は十分か？

リスクの判断 2対応は十分か？

リスクの共有と相談

リスクの監視と再調査監視枠組み

評価対応


RMP に基づく TI の適用イメージ

システム設計＆内部統制

リスクの確認リスクの分析リスクの評価


リスクの容認

脅威インテリジェンス



SOC/

CSIR

T

セキュリティ製品監視枠組み

評価対応


脅威情報の共有スキームの利用

「最新セキュリティ情報の分析と洞察」より抜粋https://asmarterplanet.com/jp-security/blog/2015/07/80.html


ベンダー版脅威インテリジェンスの問題

統一化された分析基準がない

2何を以って怪しいと判断したか公開されない

1

3未知の脅威に対応しうるかどうか確証がない

IP hostTAXII

URL

File MalwarehashSSL

TISTIX


主要ベンダー脅威インテリジェンスまとめベンダー名分析・共有されるデータ連携先

T 社自社サンドボックス分析による新規シグニチャおよび C&C IP情報

エンドポイント

S 社自社製品から収集されたファイル情報、IP、ドメイン、製品脆弱性情報、マルネット情報

SOAP経由で各製品へ配信

F 社自社サンドボックス分析によるマルウェア、ファイル名、 C&C IP情報

FaaS経由での対処（ IoC に基づくSIEM/ 境界線製品への反映）

W 社 URL/File/IP/ アプリに基づく相関分析他社境界線製品

C 社自社製品から収集された URL/ ファイル情報、及びオープンソースデータ、侵入検知情報などに基づく

自社製品内での活用

P 社自社製品から収集されたファイル情報に基づく分析結果

自社コミュニティ経由での参照

自社製品およびマルウェア研究所からのフルパスの URL,ファイル、 IP、 C&C IP および数百のリスク要因に基づく分析結果 ( リスク値 )

自社製品全般（プロキシ、メールフィルタ、クラウド、SSL可視化、フォレンジック、サンドボックス）


脅威に対する判断力 : 脅威インテリジェンス

未知の脅威に対し自己判断力が乏しい製品は・・・Critical!!

!

誤検知・過検知アラートで運用負担大

…

肝心の脅威に反応できず感染、事後対応の負担

大もしくは;;

未知の脅威に対し自己判断力があれば… 一発屋ホスト改ざんサイト水飲み場攻撃

未知マルウェアリスクの高いウェブ、

クラウドアプリ（シャドー IT) ゼロデイ

産業スパイ内部不正

SSL 悪用マルウェア DNS トンネリング SQL インジェクション


このサイトの証明書はあやしい発行元のものだから紐解いてみよう。過去マルネットと通信した経歴のあるリンク先だな、それに今もマルウェアをホストしているな。これはブロックしよう！

脅威インテリジェンス最前線How to recognize “unknown” threats?


何を以って脅威を判断するか

脅威インテリジェンスのゴール「人」ではなく「コンピュー

タ」（すなわち製品側）が脅威を

判断できること

しかし「コンピュータ」には

「感覚」「意思」「脈略」「文

化」の処理が欠如

脅威インテリジェンスもデジタ

ルの世界で人間同様の判断能力が

求められる

色質感

形

動き


神経言語学に基づくアプローチ

想定できるリスクは？凶器

男性

高速道路

汚い服装

朝方か夕方


神経言語学に基づくアプローチ

NLP （ Neuro-Linguistic Programming ）

心理セラピー的な要素で、正しい判断能

力、思考回路の形成に役立つ

「コンピュータ」が「様々な要素」から

論理的思考に基づき対象を分析

人間に変わり Risk Management Process （枠組みに従い評価・監視）を

実行


結論

対象のあらゆる情報が可能な限り必

要IP, 通信先国 , カテゴリ , ルートドメイ

ン , ホスティング元 , 証明書発行元 , 通信パターン , コンテンツ（言語 , 文 , リンク , 画像 , ファイル等） , 歴史 , セキュリティ強度 , などなど

送信元 , ヘッダ , 文 , 署名 , リンク , 添付ファイル

ウェブ

メール

インターネットにおいては数百のリスク要因（ context ）が存在する


いままでの機械的な分析

“X”“Not-X”



“X”“Not-X”

ゴール : すべての X を捉える

低い「閾値」の設定

問題 : 誤検知の多発



“X”“Not-X”

ゴール : 閾値の最適化低い「閾値」の

設定問題 : 誤検知の最小化

誤検知はまだある


これからの AI による識別リスクレベル

（10段階）

リスクグループ

（数十グループ）

リスク要因

（数百項目）

ゴール : すべてのリスク要因を捉える

問題 : リスク要因の収集と高速な分析


正確な判断のために

AI に求められる正確性より多くの要素と手段を用いること

（正確な情報もあるが、殆どの場合はあいま

いなものとなる）

「識別」システムによる「うんさんく

ささ」の表現

インフラ（ネイバー、ホスティング

元）にフォーカスした分析（新規マル

ネットの発見）

Big Data を高速で回し瞬時に正しい回

答を導き出すリアルタイム性を「ど

こ」に適用するか

どこが怪しいのか？


数百に及ぶリスク要因に応じたレベル分け

正規サイトでもリアルタイムの状態に対する正しいリスクレベルで対応可能

脅威リスクレベル

5

リスクグループ A“ドメイン名の怪し

さ”

リスクグループ C“ネイバーの怪しさ”

リスクグループ G“トラフィックの怪

しさ”

リスク要因 12TLD

リスク要因 25…リスク要

因7

GB スコア

リスク要因6

奇妙度

リスク要因 89…

リスク要因 45…

リスク要因17

IP GEO

リスク要因

173IP範囲

リスク要因 111

…

リスク要因 50…リスク要

因52

妙なポート

リスク要因38

ハンター

7-10: 危険5-6: 怪しい

1-4: 安全


URL の正確な分析　–フルパスでの評価

a.com

IP: x.x.x.1IP: x.x.x.2

y.a.comx.a.com

/bin

/src1.execrush.exe

SSL? TLS? SPDY?

Index.html

通信先は？

クエリの応答は？

リンクは？

カテゴリは？

言語は？


ブルーコートの脅威インテリジェンス・分析フロー

STAGE 0( データベース )

STAGE 1( リクエスト )

STAGE 4( 分析 )

STAGE 5( バックグラウンド )

STAGE 2

(DNS)STAGE 3

( レスポンス )

DB にはマルウェア研究所のリサーチや、ステージ 5 のバックグラウンド調査、顧客のフィードバックなどを通じて反映されます。

怪しい通信 (Traffic Cops, etc.)

新規・信用できないグループ

怪しい名前（ TLDs ）

怪しいホスティング (DynDNS, FreeHost, etc.)

サーバ DNA (Malnet Tracker, etc.)

怪しいネイバー (IP, Range, etc.)

怪しい応答ネットワークエラーうそ発見器検知怪しいコンテンツ

(EXE, JAR/ZIP, PDF, JScript, ...)

フィッシング検知メタルール・モ

ジュール Yara ルール・モ

ジュール

リスク要因の積み上げでの評価もここで

反映

マルネット追跡サイトのプロファイ

ル IP プロファイルハッキングされたサ

イト Chatter （司令・踏

み台）過去の歴史・経緯

（ IP, サイト自体）

DB はカテゴリとリスクレベルを後の処理にて算出し、適宜更新され

ます。

すべてはリクエストから始まります。

( この時点でフルパスのURL と HTTPヘッダ情報

を持ちます）

このステージで IP アドレスの解決をします。

宛先サーバからのレスポンスを分析します。 ( コンテンツがあれば併せ

て )

より深い視点での分析を行います。

多角的な情報を可能な限り積み上げてサイト自体のふるまいを評価

します。


ブルーコートの脅威分析エンジン : GIN

世界 8000万ユーザー / DC は世界 34ヶ所不正なサーバ検知に対する高い評価と実績

1日に 10億件の未知サイト分析要求 99.9% の正確性 / 最大 4 カテゴリへ分類

世界的な言語対応（ 55ヶ国語 ) ウェブ（ SSL 通信、シャドー IT含む）・メールに適用

[評価 ]

[ 正確性 ]

[ 対応力 ]

深い知見を元に脅威を見抜く判断力をリアルタイムに提供

Global Intelligence Network


公開されない脅威インテリジェンスの質

… … … … … … … … …

&すべては無駄なアラート

　　　コンテンツスキャンを減らすため。

URL 上のコンテンツ

マイナーな国の言語

ホストの通信パターン

証明書の状態と中身

マルネット・ボットネット上の新規ホスト

サーバの場所（国）

過去と現在のリスク訪問者の傾向

・・・など数百におよぶリスク要因から分析

P 社 M 社 C 社 W 社 Z 社 C 社

クラウドサービスブルーコートが特定した一発屋ホスト

SOC/CSIRT などで事中・事後対応必要

（感染リスク）（漏洩リスク）（賠償リスク）

（持ち込み感染端末による二次感染リス

ク）（漏洩リス

ク）（賠償リス

ク）


攻撃の始点を予測・捉えることができるものを選択すべし

• 攻撃のソースはインターネットから（マルネット、ボットネット、改ざんサイト、水飲み場、クラウド・・・）

リアルタイム性・正確性・適用性の高いものを選択すべし

• 攻撃は世界規模、各国に散らばる攻撃サーバ（改ざんサイト含）のコンテンツをリアルタイムで分析

リスク（マルウェア等）を中に入れないためのポイントに適用すべし

• マルウェアをダウンロードしてからでは遅いので、リスクをユーザから分離して分析できるセキュリティレイヤーにて脅威インテリジェンスを活用すべし

脅威インテリジェンスの押さえどころ


リスクに基づく URL アクセスの制御リスク

コンテンツスキャン警告コンテンツの制御選択的なブロック

0

全バイナリファイル（安全なサイトであって

も）

なしなしなし

1 なしなしなし

2 なしなしなし

3 なしなしEXE, JAR のブロック

(安全なカテゴリは除く )4 なし

カテゴリに応じて必要なものを選択

EXEs, JAR, アーカイブのブロック

5 なしJavaScript無効化

（カテゴリに応じて）上記に加え Flash もブロック

6 警告ページ表示上記に加え

動的コンテンツ無効化上記に加え PDF, POST のブロッ

ク

7 正規・非正規問わずリスクが高ければすべてブロック

(従来の Proxy では 90 カテゴリ以上に渡るため複雑なポリシーになる傾向があるが、

リスクレベルに応じたポリシーは管理が容易になりつつもよりセキュアな設定が可能 )

8

9

10

正規サイトにもリスクが埋め込まれている可能性（改ざん、水飲み

場）、ゼロデイ・

標的型マルウェア等のリスク

http://

リアルタイム分析


　　インシデン

ト　レスポンス

未知の脅威への対応ふるまい分析と迅速な事中対策

コンテンツのフィルタリングダウンロードコンテンツの多層フィルタ

リスクと運用の最小化実装

99.9% の脅威ある

URL アクセスのブロック

27% のスキャン回避

12% の AV 検知

向上

37% のサンドボックス処理の最適化

URL で判定リアルタイム URL評価

残り 1% の未知の脅威の分析と

マルウェアの目的・影響度把握

未知の脅威だけを炙りだす多層防御により運用とリスクを最小化

!

ハッシュ評価

二重 AV処理

静的コード分析

サンドボックス

ふるまいのリスク分析

・・・・・・

SOC/CSIRT

Pin-Point Approach


従来のアプローチ　

　インシデント　レスポンス

未知の脅威への対応ふるまい分析と迅速な事中対策

?% の脅威ある

URL アクセスのブロック

URL で判定一般的な URL カテゴリ評価

ほぼ 50% の既知・未知の脅威の特定（誤検知・過検知含む）

!

サンドボックス

・・・・・・

SOC/CSIRT

Alert Syndrome…

シグニチャベース

静的コード分析

! !

!

!

! !

!

取りこぼし分の精査によるリスクと CSIRT 運用負荷増大

検知 URLBL へ追加

（過剰分精査必要）


標的型のベクトルすべてを網羅し、リスクと運用を最小化

WebURL ・

コンテンツフィルタ

Mailメールフィルタ

MTA

SSLプロキシ・SSL可視化

Cloudプロキシ・クラウド

Network

フォレンジック

リアルタイム AI によるリスク排除の自動化ユーザのリスクの高いウェブアクセス C&C 通信

標的型メール添付埋め込み URL リンク

証明書発行元マルネット・ボットネット

リスクの高いシャドー IT コンプライアンス対応

BYOD 端末 /IoC アノマリー通信

GIN脅威インテリジェンス


RMP に基づく GIN の適用イメージ

システム設計＆内部統制

リスクの確認リスクの分析リスクの評価


リスクの容認




SOC/

CSIR

T

セキュリティ製品監視枠組み

評価対応GIN


Web プロキシSSL可視化メールフィルタクラウドサービスフォレンジックサンドボックス

MC統合管理システム

リスクと運用の最小化

Internet

Bc threat intelligence_rev2.1