Upload
takayoshi-takaoka
View
36
Download
0
Embed Size (px)
Citation preview
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 1
未知の脅威への切り札 :脅威インテリジェンス最前線THREAT INTELLIGENCE for CYBER SECURITYブルーコートシステムズ合同会社
髙岡 隆佳データセキュリティ・スペシャリスト
未知の脅威に対する現状Buzz word “Threat Intelligence”
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3企業 SOHO/ モバイル IoT デバイス
#1 動的なインターネット環境に潜む脅威
70% = ダイナミック *
?
22% = 脅威*24h 以内に消滅する URL/ ホスト
割合はブルーコートラボ調べ
既存のセキュリティ層NGFW, UTM, IPS,Sandbox… etc.
感染ルートの
横展開
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 4
#2 高度化する標的型メール
企業 SOHO/ モバイル
?
既存のメールフィルタ層SEG, Anti-Spam,Sandbox, etc.
Attacker
アカウントハック
BlueCoat Systems CSIRT TeamMalware AnalystJohn Travis
仕事上関係のある既知の送信者
PDF を装ったマルウェア
信頼度を上げてしまう本物の署名
全く別の不正なサイトへ誘導する URL
標的のための標的企業
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 5
#3 攻撃の温床となるクラウド
ストレージサービス
ターゲット
攻撃者UPLOAD
https://yabaibox.com/xkenas
SSL
近年ファイル共有(オンラインストレージ)サービスを悪用した攻撃が多発
Dropbox.com, Box.com, Cubby.com, Copy.com など Amazon, Google, and MS clouds これらはすべて HTTPS(SSL) 通信!!!故に既存のセキュリティで防げない
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 6
SSL
SSL
SSL
企業 SOHO/ モバイル IoT デバイス
#4 増加する SSL 通信に潜むリスク
?
SaaSシャドー IT
シャドー IT
SSL = 20% ~ 70%今後も HTTP/2 や SaaS の普及により増加傾向
既存のセキュリティ層NGFW, UTM, IPS,Sandbox… etc.
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 7
#5 SOC/CSIRT における運用負荷
企業
既存のセキュリティ層NGFW, UTM, IPS,Sandbox… etc.
SOC/CISRT企業における IT/ セキュリティ管理SNMP
SIEM!
!
!
正確性に欠くセキュリティレイヤーによる
誤検知 & 過検知
蓄積する大量の
ログ分析
AD/File
DB
!
!
… その大抵は事後対応
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 8
企業の CISO や CSIRT に関する実態調査 2016
2015 年 IPA 「企業の CISO や CSIRT に関する実態調査2016 」より出典
必要な「見える化」とは ゼロデイ・標的型・水飲み場… リスクとなるユーザの挙動
(ウェブ・メール・ファイルアクセス・BYOD )
感染端末のアクティビティ IoC ( Indicator of Compromise )
SSL 通信( C&C ・シャドー IT など)
目の前の課題しか見ていない現状 課題の見極め・設備投資のプライオリ
ティ付けが重要
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 9
企業への警鐘
目の前の被害に囚われすぎていませんか? 話題の攻撃手法・マルウェアに対応できればよいのですか? 同じ手法がいつまでも使われると思っていますか?( Emdivi?, PlugX? )
場当たり的な対応では未知の脅威に対応することはできません
大事なのは すべての攻撃ベクトルにおいて
未知の攻撃を検知・対処ができる仕組み
のための投資を見極めることです
Web19%
Email 78%
Other 3%
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 10
ゼロデイ・標的型・C&C 通信に対応しうるリアルタイムの脅威検知と防御
拠点 / モバイル /IoT まで
網羅されたセキュリティ対策の施行と証跡管
理
企業のセキュリティ網が見逃すリスクの高いSSL 通信可視化
と情報漏洩対策
今日の企業における課題のまとめ
未知の脅威を特定するためにIdentify dynamic malicious unknowns
12Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
From RSA Conference 2016
事実に基づく知見・前後関係・メカニズム・指針・影響や脅威に対する実施可能なアドバイスなどから脅威に必要な対処を可能にする情報を提供する
内部および外部の脅威についての意図・目的・影響度の詳細、また脅威インテリジェンスはそれらに対する戦略・技術・対処を提供するべきもの2016 RSA Conference Wade Baker “Bridging the Gap Between Threat Intelligence and Risk Management”より転載
13Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
14Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
迅速なサイバーセキュリティ対策に脅威インテリジェンスを活用
脅威インテリジェンス市場調査 (IANS)
脅威インテリジェンス:市場調査IANS CUSTOM REPORT WRITTEN BY DAVE SHACKLEFORD MARCH 2015より転載
15Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
脅威インテリジェンスのサイクル
方向性
収集
処理分析
普及インテリジェンスの利用目的と必要な要件の見極め
要件を満たすための知見収集
知見の集約された結果の配布
知見の評価、統合、読み取り 知見の加工と処理
Threat Intelligenc
e(TI)
16Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
Risk Management Process (NIST 800-39)
枠組み 評価
対応
監視
枠組み : リスクに基づく判断のために前後関係を理解し実行可能な戦略を立てる
評価 : 組織におけるリスクのレベルを決定しうるすべての分析対象を包含する
監視 : 適切な実行方法の確認、効果の測定、リスク値変更時の影響の確認など
対応 : リスクの評価と決定がなされた場合に組織が解決する手段
17Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
Risk Management Process (ISO 27005)
前後関係の把握リスクの確認リスクの分析リスクの評価
リスクへの対応
リスクの容認
リスクの査定
リスクの判断 1査定は十分か?
リスクの判断 2対応は十分か?
リスクの共有と相談
リスクの監視と再調査 監視枠組み
評価 対応
18Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
RMP に基づく TI の適用イメージ
システム設計&内部統制
リスクの確認リスクの分析リスクの評価
リスクへの対応
リスクの容認
脅威インテリジェンス
リスクの判断 1査定は十分か?
リスクの判断 2対応は十分か?
SOC/
CSIR
T
セキュリティ製品 監視枠組み
評価 対応
19Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
脅威情報の共有スキームの利用
「最新セキュリティ情報の分析と洞察」より抜粋https://asmarterplanet.com/jp-security/blog/2015/07/80.html
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 20
ベンダー版脅威インテリジェンスの問題
統一化された分析基準がない
2何を以って怪しいと判断したか公開されない
1
3未知の脅威に対応しうるかどうか確証がない
IP hostTAXII
URL
File MalwarehashSSL
TISTIX
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 21
主要ベンダー脅威インテリジェンスまとめベンダー名 分析・共有されるデータ 連携先
T 社 自社サンドボックス分析による新規シグニチャおよび C&C IP情報
エンドポイント
S 社自社製品から収集されたファイル情報、IP、ドメイン、製品脆弱性情報、マルネット情報
SOAP経由で各製品へ配信
F 社 自社サンドボックス分析によるマルウェア、ファイル名、 C&C IP情報
FaaS経由での対処( IoC に基づくSIEM/ 境界線製品への反映)
W 社 URL/File/IP/ アプリに基づく相関分析 他社境界線製品
C 社自社製品から収集された URL/ ファイル情報、及びオープンソースデータ、侵入検知情報などに基づく
自社製品内での活用
P 社 自社製品から収集されたファイル情報に基づく分析結果
自社コミュニティ経由での参照
自社製品およびマルウェア研究所からのフルパスの URL,ファイル、 IP、 C&C IP および数百のリスク要因に基づく分析結果 ( リスク値 )
自社製品全般(プロキシ、メールフィルタ、クラウド、SSL可視化、フォレンジック、サンドボックス)
22Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
脅威に対する判断力 : 脅威インテリジェンス
未知の脅威に対し自己判断力が乏しい製品は・・・Critical!!
!
誤検知・過検知アラートで運用負担大
…
肝心の脅威に反応できず感染、事後対応の負担
大もしくは;;
未知の脅威に対し自己判断力があれば… 一発屋ホスト 改ざんサイト 水飲み場攻撃
未知マルウェア リスクの高いウェブ、
クラウドアプリ(シャドー IT) ゼロデイ
産業スパイ 内部不正
SSL 悪用マルウェア DNS トンネリング SQL インジェクション
脅威インテリジェンス
このサイトの証明書はあやしい発行元のものだから紐解いてみよう。過去マルネットと通信した経歴のあるリンク先だな、それに今もマルウェアをホストしているな。これはブロックしよう!
脅威インテリジェンス最前線How to recognize “unknown” threats?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 24
何を以って脅威を判断するか
脅威インテリジェンスのゴール「人」ではなく「コンピュー
タ」(すなわち製品側)が脅威を
判断できること
しかし「コンピュータ」には
「感覚」「意思」「脈略」「文
化」の処理が欠如
脅威インテリジェンスもデジタ
ルの世界で人間同様の判断能力が
求められる
色質感
形
動き
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 25
神経言語学に基づくアプローチ
想定できるリスクは?凶器
男性
高速道路
汚い服装
朝方か夕方
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 26
神経言語学に基づくアプローチ
NLP ( Neuro-Linguistic Programming )
心理セラピー的な要素で、正しい判断能
力、思考回路の形成に役立つ
「コンピュータ」が「様々な要素」から
論理的思考に基づき対象を分析
人間に変わり Risk Management Process (枠組みに従い評価・監視)を
実行
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 27
結論
対象のあらゆる情報が可能な限り必
要IP, 通信先国 , カテゴリ , ルートドメイ
ン , ホスティング元 , 証明書発行元 , 通信パターン , コンテンツ(言語 , 文 , リンク , 画像 , ファイル等) , 歴史 , セキュリティ強度 , などなど
送信元 , ヘッダ , 文 , 署名 , リンク , 添付ファイル
ウェブ
メール
インターネットにおいては数百のリスク要因( context )が存在する
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 28
いままでの機械的な分析
“X”“Not-X”
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 29
いままでの機械的な分析
“X”“Not-X”
ゴール : すべての X を捉える
低い「閾値」の設定
問題 : 誤検知の多発
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 30
いままでの機械的な分析
“X”“Not-X”
ゴール : 閾値の最適化 低い「閾値」の
設定問題 : 誤検知の最小化
誤検知はまだある
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 31
これからの AI による識別リスクレベル
(10段階)
リスクグループ
(数十グループ)
リスク要因
(数百項目)
ゴール : すべてのリスク要因を捉える
問題 : リスク要因の収集と高速な分析
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 32
正確な判断のために
AI に求められる正確性より多くの要素と手段を用いること
(正確な情報もあるが、殆どの場合はあいま
いなものとなる)
「識別」システムによる「うんさんく
ささ」の表現
インフラ(ネイバー、ホスティング
元)にフォーカスした分析(新規マル
ネットの発見)
Big Data を高速で回し瞬時に正しい回
答を導き出すリアルタイム性を「ど
こ」に適用するか
どこが怪しいのか?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 33
数百に及ぶリスク要因に応じたレベル分け
正規サイトでもリアルタイムの状態に対する正しいリスクレベルで対応可能
脅威リスクレベル
5
リスクグループ A“ドメイン名の怪し
さ”
リスクグループ C“ネイバーの怪しさ”
リスクグループ G“トラフィックの怪
しさ”
リスク要因 12TLD
リスク要因 25…リスク要
因7
GB スコア
リスク要因6
奇妙度
リスク要因 89…
リスク要因 45…
リスク要因17
IP GEO
リスク要因
173IP範囲
リスク要因 111
…
リスク要因 50…リスク要
因52
妙なポート
リスク要因38
ハンター
7-10: 危険5-6: 怪しい
1-4: 安全
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 34
URL の正確な分析 –フルパスでの評価
a.com
IP: x.x.x.1IP: x.x.x.2
y.a.comx.a.com
/bin
/src1.execrush.exe
SSL? TLS? SPDY?
Index.html
通信先は?
クエリの応答は?
リンクは?
カテゴリは?
言語は?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 35
ブルーコートの脅威インテリジェンス・分析フロー
STAGE 0( データベース )
STAGE 1( リクエスト )
STAGE 4( 分析 )
STAGE 5( バックグラウンド )
STAGE 2
(DNS)STAGE 3
( レスポンス )
DB にはマルウェア研究所のリサーチや、ステージ 5 のバックグラウンド調査、顧客のフィードバックなどを通じて反映されます。
怪しい通信 (Traffic Cops, etc.)
新規・信用できないグループ
怪しい名前( TLDs )
怪しいホスティング (DynDNS, FreeHost, etc.)
サーバ DNA (Malnet Tracker, etc.)
怪しいネイバー (IP, Range, etc.)
怪しい応答 ネットワークエラー うそ発見器検知怪しいコンテンツ
(EXE, JAR/ZIP, PDF, JScript, ...)
フィッシング検知 メタルール・モ
ジュール Yara ルール・モ
ジュール
リスク要因の積み上げでの評価もここで
反映
マルネット追跡 サイトのプロファイ
ル IP プロファイル ハッキングされたサ
イト Chatter (司令・踏
み台) 過去の歴史・経緯
( IP, サイト自体)
DB はカテゴリとリスクレベルを後の処理にて算出し、適宜更新され
ます。
すべてはリクエストから始まります。
( この時点でフルパスのURL と HTTPヘッダ情報
を持ちます)
このステージで IP アドレスの解決をします。
宛先サーバからのレスポンスを分析します。 ( コンテンツがあれば併せ
て )
より深い視点での分析を行います。
多角的な情報を可能な限り積み上げてサイト自体のふるまいを評価
します。
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 36
ブルーコートの脅威分析エンジン : GIN
世界 8000万ユーザー / DC は世界 34ヶ所不正なサーバ検知に対する高い評価と実績
1日に 10億件の未知サイト分析要求 99.9% の正確性 / 最大 4 カテゴリへ分類
世界的な言語対応( 55ヶ国語 ) ウェブ( SSL 通信、シャドー IT含む)・メールに適用
[評価 ]
[ 正確性 ]
[ 対応力 ]
深い知見を元に脅威を見抜く判断力をリアルタイムに提供
Global Intelligence Network
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 37
公開されない脅威インテリジェンスの質
… … … … … … … … …
&すべては無駄なアラート
コンテンツスキャンを減らすため。
URL 上のコンテンツ
マイナーな国の言語
ホストの通信パターン
証明書の状態と中身
マルネット・ボットネット上の新規ホスト
サーバの場所(国)
過去と現在のリスク 訪問者の傾向
・・・など数百におよぶリスク要因から分析
P 社 M 社 C 社 W 社 Z 社 C 社
クラウドサービスブルーコートが特定した一発屋ホスト
SOC/CSIRT などで事中・事後対応必要
(感染リスク)(漏洩リスク)(賠償リスク)
(持ち込み感染端末による二次感染リス
ク)(漏洩リス
ク)(賠償リス
ク)
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 38
攻撃の始点を予測・捉えることができるものを選択すべし
• 攻撃のソースはインターネットから(マルネット、ボットネット、改ざんサイト、水飲み場、クラウド・・・)
リアルタイム性・正確性・適用性の高いものを選択すべし
• 攻撃は世界規模、各国に散らばる攻撃サーバ(改ざんサイト含)のコンテンツをリアルタイムで分析
リスク(マルウェア等)を中に入れないためのポイントに適用すべし
• マルウェアをダウンロードしてからでは遅いので、リスクをユーザから分離して分析できるセキュリティレイヤーにて脅威インテリジェンスを活用すべし
脅威インテリジェンスの押さえどころ
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 39
リスクに基づく URL アクセスの制御リスク
コンテンツスキャン 警告 コンテンツの制御 選択的なブロック
0
全バイナリファイル(安全なサイトであって
も)
なし なし なし
1 なし なし なし
2 なし なし なし
3 なし なしEXE, JAR のブロック
(安全なカテゴリは除く )4 なし
カテゴリに応じて必要なものを選択
EXEs, JAR, アーカイブのブロック
5 なしJavaScript無効化
(カテゴリに応じて) 上記に加え Flash もブロック
6 警告ページ表示上記に加え
動的コンテンツ無効化上記に加え PDF, POST のブロッ
ク
7 正規・非正規問わずリスクが高ければすべてブロック
(従来の Proxy では 90 カテゴリ以上に渡るため複雑なポリシーになる傾向があるが、
リスクレベルに応じたポリシーは管理が容易になりつつもよりセキュアな設定が可能 )
8
9
10
正規サイトにもリスクが埋め込まれている可能性(改ざん、水飲み
場)、ゼロデイ・
標的型マルウェア等のリスク
http://
リアルタイム分析
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 40
インシデン
ト レスポンス
未知の脅威への対応ふるまい分析と迅速な事中対策
コンテンツのフィルタリングダウンロードコンテンツの多層フィルタ
リスクと運用の最小化実装
99.9% の脅威ある
URL アクセスのブロック
27% のスキャン回避
12% の AV 検知
向上
37% のサンドボックス処理の最適化
URL で判定リアルタイム URL評価
残り 1% の未知の脅威の分析と
マルウェアの目的・影響度把握
未知の脅威だけを炙りだす多層防御により運用とリスクを最小化
!
ハッシュ評価
二重 AV処理
静的コード分析
サンドボックス
ふるまいのリスク分析
・・・・・・
SOC/CSIRT
Pin-Point Approach
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 41
従来のアプローチ
インシデント レスポンス
未知の脅威への対応ふるまい分析と迅速な事中対策
?% の脅威ある
URL アクセスのブロック
URL で判定一般的な URL カテゴリ評価
ほぼ 50% の既知・未知の脅威の特定(誤検知・過検知含む)
!
サンドボックス
・・・・・・
SOC/CSIRT
Alert Syndrome…
シグニチャベース
静的コード分析
! !
!
!
! !
!
取りこぼし分の精査によるリスクと CSIRT 運用負荷増大
検知 URLBL へ追加
(過剰分精査必要)
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 42
標的型のベクトルすべてを網羅し、リスクと運用を最小化
WebURL ・
コンテンツフィルタ
Mailメールフィルタ
MTA
SSLプロキシ・SSL可視化
Cloudプロキシ・クラウド
Network
フォレンジック
リアルタイム AI によるリスク排除の自動化 ユーザのリスクの高いウェブアクセス C&C 通信
標的型メール添付 埋め込み URL リンク
証明書発行元 マルネット・ボットネット
リスクの高いシャドー IT コンプライアンス対応
BYOD 端末 /IoC アノマリー通信
GIN脅威インテリジェンス
43Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
RMP に基づく GIN の適用イメージ
システム設計&内部統制
リスクの確認リスクの分析リスクの評価
リスクへの対応
リスクの容認
脅威インテリジェンス
リスクの判断 1査定は十分か?
リスクの判断 2対応は十分か?
SOC/
CSIR
T
セキュリティ製品 監視枠組み
評価 対応GIN
脅威インテリジェンス
Web プロキシSSL可視化メールフィルタクラウドサービスフォレンジックサンドボックス
MC統合管理システム
リスクと運用の最小化