FineArt News

コラム

偽装デコイによる内部脅威の検知

内部社員による企業の情報漏えい

インターネットで繋がれている世界で、企業のセキュリティ保護は今までよりさらに重要視されています。しかし具体的な対策になると、なかなか適しているソリューションを選ぶことができません。2020 Data Breach Investigations Reportによると、内部脅威が明らかに増えていて、外部から侵入したAPTやランサムウェアも基本的に内部に潜伏して感染の機会を伺うので、直接攻撃による漏洩のパターンが減っています。

漏えい理由は危機意識不足?不注意?意図的?産業スパイ?

外部の攻撃者だけでなく、内部にいる意図的な漏えい行動にも対応する必要があります。Verizonが依頼を受けて実施した企業の内部脅威報告によると、漏えい原因となる内部社員のタイプは今まで思っているより多いことがわかりました。

  • Careless Worker 不注意による漏えい
  • Inside Agent インサイダースパイ
  • Disgruntled Employee 不満を持つ社員
  • Malicious Insider 悪意ある社員
  • Feckless Third Party セキュリティが脆弱なサードパートナー(協力会社)

ここからでも分かる通り、内部脅威は組織内の社員・外部委託企業・元社員による場合が多いです。具体的な行為はIT設備の破壊・詐欺・知財窃取などがあります。内部社員は不注意で間接的に外部脅威の協力者になります。さらに産業スパイは正規な操作でデータを取得できるので、旧来のPC防御ではそもそも検知できません。

旧来方法による検知の不足点

UEBA(User and Entity Behavior Analytics:ユーザおよびエンティティの振る舞い解析)、DLP(Data Loss Prevention:情報漏えい防止システム)、APT(Advanced Persistent Threat:持続的標的型攻撃)、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)、IDS(Intrusion Detection System:不正侵入検知システム)、IDP(Intrusion Detection and Protection:侵入検知防御)は基本似たような方法で脅威を検知します。

  1. 既知の特徴との比較
  2. 行為観察、サンドボックス
  3. 信頼度評価、脅威評価モデル

しかし、これらは未知の脅威を有効的に検知できません。また警告メッセージ過多な傾向があり、誤報がどうしても増えてしまいます。担当者の負担を増やすばかりで、本当の侵入者に辿り着けない場合も多いです。

偽装と能動デコイ

偽装は能動的な防御方法だと言えます。ただ、実際の実装は見えにくく、力押しによるブロックをせず黙々と侵入者を誘い込む形になっています。有効な偽装は侵入者の活動自体を変えさせることができます。大量なリソースと時間を使っても成果が得られなければ、侵入行為が無駄になります。偽装対策は侵入のハードルを上げているだけでなく、セキュリティ担当者も侵入を検知・対策しやすくなります。

偽装技術の本質は侵入者の動機を理解し、ターゲットに対する意図を利用して偽装を実装します。

  1. トラップ
    偽装したホストやシステムメッセージを意図的に侵入者に送信する。これらのメッセージは侵入者を本物のネットワークリソースから引き離し、偽装サーバに誘導します。
  2. デコイ
    侵入者に向けて偽装メッセージを送って、それを侵入者が取得することでデコイサーバの活動を本物だと信じ込ませることができます。

このような対策はセキュリティインシデントの予防と防御に大きな価値を持っていますが、脅威自体を狩るプロセスで要求されるコストが高く、複雑すぎるという見方が強いです。トラップの効果を発揮させるため、セキュリティチームは自身の環境を十分に把握し、侵入者が興味を持ちそうなターゲットでデコイを作成する必要があります。偽装が不十分な場合、侵入者もなかなか引っかかりません。ある程度ユニークでないと、警告自体が溢れて検知の意味を失います。偽装による侵入者狩りをどういう技術で、どの部分から始めるかが重要になってきます。

実際の環境システムをシミュレート

この技術の原理はデコイを作成して、実際の資産に見せる偽装を施します。(ドメイン・データベース・サーバ・アプリケーション・ファイル・Cookie・接続セッションなど)これらの偽装資産と本物を企業の環境に一緒に配置します。侵入者は本物と偽装資産の区別がつかないので、デコイにもアクセスします。デコイがアクセスされるとサイレント警告を発信し、侵入者の操作と意図に関連する情報を収集します。

セキュリティインシデントの誤報はチーム全体のパフォーマンスに影響して、IT担当メンバーの作業を妨害する恐れがあります。一般的に、警告の検証は被害の復旧より時間がかかります。その点、デコイの罠は実際の環境に応じたシナリオで設計されているので、自然と誤報の確率が低くなります。例えば、通常作業でまずデコイファイルにアクセスしません。デコイアプリケーション・デコイ認証・デコイサーバへのアクセスによる警告前後の文脈からも侵入者の意図を判断しやすくなります。例えるなら、開発メンバーが会計関連システムにアクセスするのは普通ではないというような判断になります。

結論

セキュリティ防御について、受動的なブロックやインシデント検知だけでなく、偽装やデコイによる能動的なソリューションで潜在脅威をおびき出すことも考慮すべきです。孫子曰く「兵は詭道なり、ゆえに能なるもこれに不能を示し、用なるもこれに不用を示し」、セキュリティ攻防においては、双方の技術・時間・強度はそもそも対称的ではありません。24時間気が抜けない受動的なブロックよりも、戦場の主導権を取り戻す方が有益です。偽装ソリューションは防御として先手必勝のスタンスを取り、攻撃を受けてからではなく能動的に侵入や潜在脅威を引きずり出すことができます。エンドポイント保護や次世代ファイアウォールソリューションを導入している企業は次なるステップとして偽装ソリューションの導入をおすすめします。また孫子の言葉を借りると、「戦わずして人の兵を屈するは、善の善なる者なり」です。