ビッグデータの時代において、データの膨大な量と幅広い分布はセキュリティに新たな課題をもたらしました。実空間とデータ空間の間には対応する並列の関係があり、実空間におけるあらゆる活動、相互作用、行動はデータ空間に対応する現れを持っています。したがって、データ空間に存在する手段と解決策は、現実空間に影響を与えることができます。データ空間が果たしうる役割はユビキタスであり、ビッグデータの価値はここにあります。しかし現実には、モバイルインターネットやクラウドコンピューティング、モノのインターネットなど、企業や個人、さらにはモノの情報が、ビッグデータを生み出し、真に存在する担い手であると同時に、攻撃の担い手にもなっています。
APT攻撃は、組織化され、標的が特定され、秘密裏に行われ、破壊的で長期にわたる新しいタイプの攻撃であり脅威です。その主な特徴は、多様な手段、明確な目標、長期にわたる持続時間です。現在、APT攻撃はインターネット・セキュリティの分野で大きな関心事となっており、その勢いはとどまるところを知りません。
防ぐことのできないAPT
APTは高度な持続的脅威であり、いわゆる「高度」とは、その攻撃行動の特徴を抽出することの難しさ、攻撃チャネルの多様性、攻撃空間の不確実性に反映されています。まず第一に、APTはゼロデイ攻撃によって特権を得ますが、対応する攻撃のフィンガープリント特性を取得し分析することによって攻撃を特定するには大きなタイムラグがあり、APT攻撃を発見するためのリアルタイム監視は実行不可能です。 APTは動的な挙動と静的なファイル隠蔽に重点を置いており、例えば、隠しチャネル、暗号化チャネルなどがあり、APTのほぼすべてがそのような特性を持っています。第二に、APTの攻撃チャネルの多様化により、技術的手段を使用して防御シールドを確立することが困難になっています。そして最後に、APTの攻撃空間の不確実性、すなわち、限界ノードや非中核ノードを含め、どの段階、どのネットワークも攻撃の標的になる可能性があることです。
ネットワーク上のセキュリティ脅威を人体における何らかの病気や腫瘍とみなすならば、APT攻撃は慢性的で段階的な侵食、すなわち「慢性病」に相当し、慢性病は多くの場合、治療が最も困難です。ビッグデータの特徴は、データサイズが大きく、データが偏在していることで、データの価値密度が小さくなり、分散しているため、価値の高いデータに焦点を当てることが難しく、ビッグデータそのものがもたらす攻撃の検知の難しさです。統計によると、攻撃が発生してから検知されるまでに平均5年かかると言われていますが、その5年の間、特定のデータにずっと着目し続ける保証はあるのでしょうか。データがどこにでもあるサイバー空間はともかく、物理的な世界でそれを保持するのは困難です。しかし、攻撃者はこの機密データに継続的な関心を持ち、APT攻撃を防御不能にする可能性があります。
ビッグデータとAPT攻撃検知
現在、APT攻撃の検知は、悪意のあるコードの検知、ホストアプリケーションの保護、ネットワーク侵入検知の3つの分野を中心に展開されています。
悪意のあるコードの検知やホストアプリケーションの保護は、APT攻撃への防御に単独ではほとんど有効ではありません。第一に、APTのキャリアはビッグデータの中に存在し、APTの検知と対策に一連の困難をもたらしますが、ビッグデータを活用してAPTの検知と対策をある程度実施することも可能です。第二に、完全なフロー分析です。その中核は、年間を通じてデータを保存し、これを基にマクロ分析、ミクロの特定イベントの検出を行うことです。APT攻撃は分散して行われるため、ビッグデータを利用して関連情報を整理・照合することで、攻撃者の攻撃経路を傍受できる可能性が高まります。もう1つの可能性は、攻撃対象が確定している場合です。この場合、データを保存していわゆる履歴パターン・データを形成し、履歴パターン・データのリプレイを使用して攻撃の手がかりを発見します。
ビッグデータの4つの難しさ
上記のすべての方法は、関連するすべてのデータの完全な処理と分析を行います。通常、ビッグデータには4つの特徴があります:大容量、高速、異なるデータ形式とタイプ、リアルで正確なデータ。これはデータ保存に一連の困難をもたらします。AP Tの場合、それはむしろサイバースペースのためのものであり、それ自体が異なるデータタイプとデータフォーマット、ログ情報の異なる挙動、内容、構造化の特徴を持っています。効果的な監視のためのビッグデータの活用は、APT攻撃の問題解決だけでなく、他の関連分野にも応用できます。ビッグデータには共通する普遍的なものがあり、その中には注意が必要な4つの課題も含まれています:
1.データの複雑さビッグデータのサイズは、ネットワークをつなぐより複雑な関係性など、複雑さをもたらす最初の要素ではなくなりました。データの中にはある種の違法な振る舞いを含むものがあるため、いわゆる尺度を用いてデータの複雑性を定義することは不可能であり、いくつかの新しいルールを用いる必要があります。データの複雑さを正しく理解するには、データの伝播経路を見つける必要があります。伝播経路を見つけるには?一つの方法は探索、つまり可能性のある経路をすべて見つけ、その中から異常な経路、問題のある経路、悪意のある経路を判断することです。この判定方法は、すべての可能性を保存してから判定に入るため、どうしても膨大な規模になってしまいます。そこから拡散行動、攻撃行動などの安定した構造的特徴が特定されれば、一連のステップを踏むことができます。このような計算にビッグデータを利用することは、構造的な規則性やネットワークの重複パターンを見つける方法であり、ひいては既存の困難を解決することにつながります。
2.計算の複雑さ。データが全空間に存在する場合、実際には複数の状態に存在する1つの主体。現れたオンライン攻撃を保存し、それを分析し、分析し、そしてオンライン攻撃を入手し、それをふるいにかけるという、止まることのない作業のプロセス。最も独創的な入力は、サイバースペースで、APTの持続的な攻撃が外部にあるデータの完全な流れの中で、ノンストップの状況で、伝統的な製造方法、データの計算、および実際の望ましい結果からの乖離のアイデア、あるいはその逆のいくつかの情報かもしれません。したがって、データ分析の適切な量のための新しい、簡略化された集中コンピューティングを見つける必要があります、全額ではありません。分析のためにすべてのデータを丸ごと保存することは実現不可能です。
3.システムの複雑さ。取得したデータはバラバラであるため、詳細な分析のために保存する必要があります。データを管理し、クエリを実行する際には、構造化、非構造化、半構造化のさまざまな処理が必要です。一般的なリレーショナルクエリ、ネットワーククエリ、確立クエリには様々な手段や技術が必要であり、すべての問題を解決する技術や手段は存在しません。ビッグデータを利用したAPT攻撃検知には、当該データのライフサイクルに基づいた柔軟なシステム・アーキテクチャが必要です。
4.ビッグデータからの学習学習とは、発見されたことに基づいて未知の事柄や知識を決定することを指します。APTの領域では、学習とは予測や一般化を意味します。これはビッグデータ環境におけるデータの断片化とボーダレス化により、従来のソリューションにおける基本的な前提の一部を実現することが可能になったためです。
