高度な持続的脅威(Advanced Persistent Threat:APT)は、現在、情報セキュリティ業界でホットな話題となっています。標的型・組織型攻撃であるAPTは、そのプロセスにおいて通常の攻撃と大きな違いはありませんが、具体的な攻撃のステップにおいて、APTは以下のような特徴を体現しており、その破壊力はより大きなものとなっています:
攻撃動作の特徴を抽出するのは困難です。APTは一般的に0day脆弱性を利用して、未知のトロイの木馬を介してアクセスやリモート制御を行いますが、従来の特徴マッチングベースの検知装置は、特徴を抽出し、それに基づいて攻撃を特定する前に、常に悪意のあるコードサンプルをキャプチャする必要があり、これには固有のタイムラグがあります。
強力な一点隠蔽能力:従来の検知装置を回避するため、APTは動的な振る舞いや静的なファイルの隠蔽により注意を払います。例えば、隠しチャネルや暗号化チャネルを利用してネットワークの挙動が検知されるのを回避したり、正規のシグネチャを偽造して悪意のあるコードファイル自体が特定されるのを回避したりすることで、従来のシグネチャベースの検知に大きな困難をもたらします。
攻撃チャネルの多様化:現在、よく知られているAPTイベント、ソーシャル攻撃、0day脆弱性の悪用、物理的な揺さぶりなど、その露出の仕方は無限にあります。従来の検知では、境界の防御にのみ焦点が当てられることが多いのですが、いったんシステムの境界が迂回されると、その後の攻撃ステップの実行の難易度は大幅に下がります。
長い攻撃期間:APT攻撃は、最初の情報収集から情報窃取に至るまで複数のステップに分かれており、その期間は数カ月からそれ以上に及ぶことも少なくありません。従来の検知手法は、ある時点のリアルタイム検知を基本としているため、このような長期間にわたる攻撃を効果的に追跡することは困難です。
APT攻撃には上記のような特徴があるため、従来のリアルタイム検知やリアルタイムブロックといった防御手法が有効に機能しにくくなっています。APTとの対決においては、新たな課題に対応するための発想の転換と新たな検知手法の導入も必要です。
メモリベースのAPT検出の原理
APT攻撃の検知を探るにあたり、まずは検知の意味合いを分析してみましょう。本来、検知とは、検知対象が置かれている環境から、検知対象を特定することです。検知対象を特定するためには、検知対象の特徴を反映できるデータを検知環境からサンプリングして検知ドメインを形成し、特定の背景知識に依拠して基準ライブラリを形成し、特定の判定アルゴリズムを採用して判定メカニズムを形成し、最終的に、検知ドメイン、基準、判定メカニズムの共同役割において、検知対象の存在を主張する必要があり、そのプロセス全体を図1に示します。
図1 検出ロジックモデル
従来の侵入検知システムを例にとると、検知対象はネットワークの攻撃行動であり、検知環境は攻撃行動データを含むネットワークトラフィックデータです。攻撃を検出するために、ネットワークトラフィックのリアルタイム収集の必要性、IDSの形成は、ドメインを検出しました。IDSの証拠ベースとして、特徴ライブラリの構築のネットワーク特性上の攻撃の様々なタイプを抽出する必要性、IDSは、トラフィックが判断メカニズムへの攻撃が含まれているかどうかを判断するために、特徴マッチングアルゴリズムの必要性。トラフィックデータ、特徴ライブラリ、特徴マッチングアルゴリズムを使用すると、ネットワーク内の既知の攻撃動作があるかどうかを検出することができます。
従来の攻撃に対処する上で大きな役割を果たしてきた検知手段である従来のIDSが、APTに対しては無力に見える主な理由です:
従来のIDSの検知領域はリアルタイムのネットワークトラフィックであり、リアルタイムのネットワークトラフィックに攻撃行動が含まれているかどうかを判断するだけです。一方、APTの全過程のタイムスパンは非常に長く、APTの全体像を一時点の視点で把握することは不可能であり、攻撃者の真の意図を特定することもできません。APTの効果的な検知を実現するには、長期間にわたる疑わしい行動を相関分析するしかありません。
従来のIDSの判定メカニズムは特徴照合であり、攻撃シグネチャを抽出した既知の攻撃しか検知できませんが、APTのプロセスでは0dayや特殊なトロイの木馬、隠しチャネル送信などの未知の攻撃を使用することが多く、誤用検知では正確に特定できず、異常検知によって初めて疑わしい攻撃を特定することが可能です。
上記の欠点に鑑み、APTに効果的に対抗するためには、一方では、検知領域を拡大し、一時点に基づくリアルタイム検知を過去のタイムウィンドウに基づく非同期検知に変更し、他方では、既知の攻撃の検知を未知の攻撃の検知に同時に考慮できるように、判定メカニズムを充実させる必要があります。そのために、新しいメモリベースの検知モデルを提案します:
拡張:すなわち、検出されたドメインを拡大し、完全なトラフィック・データを保存して分析します。このようにして、不審な挙動が検出された場合、攻撃に関連する過去のトラフィックデータをバックトラックして相関分析を行うことができます。 すでに発生し、アナリストの注意を引くことができなかったアラームには、意図的な攻撃意図が隠されている可能性があり、このバックトラック相関分析によって効果的な特定が可能になります。ストレージのフルフローにより、新しい検出機能と検出技術を使用して、トラフィックが発生した任意の粒度の分析のために、任意の過去の瞬間にさかのぼることが可能であり、これがこのシステムの最大の特徴です。
集中:蓄積されたビッグデータを劣化させ、攻撃と関係のないデータは削除して容量を節約する一方、攻撃に関連するデータは保持してその後の分析に利用します。集中には攻撃検知モジュールの助けが必要で、IDSアラームのようなサードパーティの検知デバイスによって劣化させるか、データのフルフローで直接異常を検知して疑わしいアラームを生成し、アラームイベントに基づいて劣化させることができます。
正確:生成された疑わしい攻撃データをさらに詳細に分析することで、攻撃動作に関する正確なアラームを生成します。多次元的なデータの可視化と分析を使用して疑わしいセッションを特定し、さらに詳細なプロトコル解析とトラフィック・データのアプリケーション復元を実行して、異常な動作や通常業務に見せかけた攻撃を特定することができます。本セッションでは、人と機械を組み合わせて解析の効率と精度を向上させるために、アナリストの参加が必要です。
シナリオ:さまざまなタイプの攻撃アラームを関連付け、アラーム間の攻撃レイヤーのセマンティックな関係を識別し、孤立したアラームに基づいて完全な攻撃シナリオを構築します。通常、関連ルールの形式で攻撃シナリオの知識ベースを構築し、アラームを照合および関連付けることで攻撃シナリオの構築を完了します。#p#
システムフレームワーク
データ-情報-知識をレイヤーごとに精緻化するモデルに従って、メモリベースのAPT攻撃検知システムの構造は3つのレベルに分けられ、システム全体のアーキテクチャ図は以下のようになります:
図2.メモリベース検出システムのアーキテクチャ
1.ストレージ層
ストレージ層は、インターネットから直接取得したリアルタイムデータストリームの前処理とストレージ管理を行います。リアルタイムデータストリームは、まず伝送層でセッション削減が行われ、その後の分析におけるネットワーク条件による無秩序、再送、遅延の干渉を排除します。次に、アプリケーションプロトコルの識別が行われ、データストリームで伝送される特定のアプリケーションを判断します。
前処理後の生データストリームには、完全なフルフローデータと抽出されたメタデータの両方が含まれます。膨大なデータの保存圧力を考慮すると、さまざまなタイプのデータに対して柔軟な管理戦略を採用することができます:
フルフローデータについては、数週間のウィンドウ長で保存を行います。フルフローデータは大量の記憶領域を占有するため、長期保存は適切ではありませんが、フルフローデータはその後のバックトラッキング分析に必要です。このため、過去数週間のフルフロー情報のみを保存し、期限を過ぎたデータは劣化させるという妥協的な保存戦略が採用されています。
メタデータについては、年間レベルの保存が行われます。抽出されたメタデータには、アプリケーション層セッションの主要情報のみが含まれ、そのデータ量は全トラフィック情報の約5%に相当します。この種の情報は、その後の統計、相関、データマイニングにおいて重要な役割を果たし、許容可能な容量を占めるため、プラットフォームに長期間保存されます。
2.分析層
分析レイヤーは、生のトラフィックデータから独立したアラームメッセージを生成する作業を完了します:
DDoS、スキャニング、ワーム伝播など、ネットワーク・トラフィックに重大な異常を引き起こす攻撃は、異常トラフィックの検出と統計分析によって特定することができます。ネットワーク・トラフィックの異常は、包括的で完全なセキュリティ・ベンチマーク指標システムを確立することにより、迅速に特定することができ、統計分析により異常の場所と原因を正確に突き止めることができます。
トラフィックの異常を引き起こさない未知の攻撃については、疑わしい動作のモデリングによって識別することができます。例えば、まだ特徴が抽出されていないトロイの木馬の場合、未知の暗号化通信、ハートビート信号が疑われる断続的な接続、悪意のあるドメイン名へのアクセス、コンソールに接続する際の異常なアップストリームとダウンストリームのトラフィック比率などが考えられ、これらの疑わしい動作を相関させることでトロイの木馬の接続動作を検出できる可能性があります。
異常検知モジュールを通じて生成される様々な種類のアラームについては、検証のための攻撃シグネチャ情報がないため、その精度は特徴マッチングに基づく誤用検知よりも低くなることがよくあります。このため、元のメッセージと組み合わせることで、アラームの有効性をさらに確認する必要があります。メッセージによって運ばれるアプリケーション層オブジェクトのきめ細かいプロトコル解析と削減は、セッション・コンテンツに攻撃データが含まれているかどうかを判断する際にアナリストを支援し、正確なアラームをさらに生成することができます。
3.表示レイヤー
プレゼンテーション層は、孤立した攻撃アラーム情報から完全な攻撃シナリオを生成する関連付け作業を完了し、アナリストが保存されている膨大な履歴データから知識を得るための視覚的な分析フロントエンドツールを提供します。攻撃シナリオの関連付けでは、関連付けルールに基づいて攻撃シナリオをマッチングさせるのが一般的なアプローチです。APTの攻撃手法は複雑であるため、実際の環境では、アラームイベントの不足により、完全な攻撃経路グラフをマッチングできないことが多く、その結果、APTシナリオの確立に失敗することがあり、不完全な攻撃経路に基づく攻撃シナリオのマッチングの問題を解決する必要があります。多次元データの可視化と分析のためには、アドレス、ポート、プロトコルタイプ、およびその他の次元でデータを統計的に表示し、異なる粒度に従ってデータをドリルダウンできる一連のツールをアナリストに提供することが重要です。#p#
代表的なアプリケーションシナリオ
典型的なAPT攻撃のプロセスには、通常、情報収集、侵入ポイントの取得、遠隔操作の実施、攻撃対象の横移動、重要な資産データの発見、データ漏えいなどが含まれます。攻撃防御側にとっては、その特徴のタイムリーさや検知手段の限界から、攻撃開始時に効果的な検知を行うことができない場合があります。しかし、APTのような時間スパンが長く、攻撃目的が明確な攻撃では、攻撃プロセス全体において必ず多くの攻撃暴露ポイントが存在し、これを基にバックトラッキングや関連するトラフィックの相関を取ることで、攻撃者の完全な攻撃意図を把握することが可能です。
攻撃プロセスの一例として、攻撃者は情報システムの重要データへのアクセスを試みました。このため、攻撃者はまず情報システムの一部のユーザのメールアドレスを収集し、これらのユーザに0day脆弱性を悪用したファイルを含む添付ファイルをメールで送信し、ユーザが添付ファイルを開くと悪意のあるコマンドが実行され、未知のトロイの木馬が埋め込まれました。攻撃者は、暗号化されたコマンド・アンド・コントロール・チャネルを通じてユーザーのホストを遠隔操作し、情報システムから重要なデータを取得することができました。この攻撃プロセスでは、攻撃者が悪用した脆弱性や埋め込まれたトロイの木馬の特徴が不明であり、使用された遠隔制御チャネルが暗号化されているため、攻撃シグネチャに基づく既存の検知手法では効果的な検知が困難です。
本稿で紹介するメモリベースのAPT攻撃検知システムでは、異常検知手法に加え、攻撃プロセス全体のデータを保存することが可能です。例えば、不審な動作の特定を通じて、システムはユーザーのホスト上で不審な暗号化された送信動作を検出することができます。不審なアラーム、関連ホストのデータのバックトラック分析、プロトコル解析、アプリケーションの特定、関連する履歴トラフィックの復元に基づいて、電子メールの添付ファイル、移植されたトロイの木馬ファイルを取得することができます。分析者は復元されたコンテンツをさらに確認し、攻撃者の真意と既に発生した攻撃、自社の情報資産の損失を評価します。
概要
APTの出現は、従来の検知技術に課題をもたらすと同時に、新たな技術を応用する機会をももたらしました。ハードウェア技術の発展により、プロセッサの演算能力が向上し、単位容量あたりのストレージ・コストが低下しているため、ビッグデータに基づくAPT検知に必要な条件が整っています。
APT攻撃への対抗策は、時間と時間との戦いであり、単一の時点に基づく特徴照合という従来の状況を変え、長い時間ウィンドウのデータを相関分析し、異常検知アルゴリズムで補完することで、既存の検知手段の欠陥を解決します。検出領域を拡大し、検出メカニズムを充実させることで、新世代のメモリベースのインテリジェント検出システムが形成されます。ビッグデータ技術の発展と様々な検知アルゴリズムの充実により、メモリベースのインテリジェント検知システムはAPT攻撃への対処においてより大きな役割を果たすでしょう。
