“攻撃基地”を除去する3つのポイント
とはいえ、コントロールベースを探しだし取り除くことは簡単ではない。拠点ごとのネットワークを監視することにくわえ、デバイス、アプリケーションなども監視する必要がある。また、ユーザーが適切な操作を行なっているかどうかをユーザーの役割や操作履歴などから特定していくことも求められる。さらに、社内に既知の脆弱性が存在していないか、新たに見つかった脆弱性はないか、送信先のホストは適切なものかといったセキュリティ環境の更新作業も必要だ。
ブラウン氏は、これらを踏まえながら、APT対策の第2段階におけるポイントとして「アプリケーションの検知と可視化」「フルスタックでのネットワーク監視」「コンテキストベースの検知」の3つを挙げる。
アプリケーションの検知と可視化は、ユーザーがどのようなアプリケーションを利用しているかを検知し、管理者がその通信量や通信履歴を把握できるようにすることだ。http/httpsを利用するアプリケーションは、ポートの開閉だけを制御するような通常のファイアウォールでは検知することができない。昨今では、ファイル転送サービスやストレージサービス、SNSといったhttp/httpsを利用するWebベースのコンシューマーサービスを企業内で用いるシーンが増えている。それらへのアクセスを把握しておくことは、APTに対する攻撃にも有効になるという。
また、フルスタックでのネットワーク監視は、こうしたアプリケーションやスマートフォンといった各種デバイスなどをネットワーク上で一元的に管理できるようにしておくことだ。Stuxnetのように、APT攻撃では、特殊な制御機器の脆弱性を突くケースもある。USBメディアやスマートフォンが攻撃の起点として利用されることもある。そもそも、コントロールベースがどこにあるかを把握するためには、ネットワーク全体を把握できる仕組みを取り入れる必要がある。
3つ目のコンテキストベースの検知とは、ユーザーの役割や履歴など、属性を把握するための仕組みだ。ユーザーが普段からどんな行動をとっているかに基づいて、不正な行為が発覚した場合にすぐに分かるようにしておく。
グレッグ・ブラウン氏
そのうえで、ブラウン氏は、同社が提供するIPS製品「McAfee Network Security Platform(NSP)」について「これら3つのポイントを重視し、機能強化を図った」と話す。特に、Network Threat Behavior Analysis(NTBA)と呼ばれるバーチャルアプライアンスを提供することで、アプリケーションの可視化、ユーザー属性の可視化が強化したという。
NSPとNTBAを組み合わせ、統合管理製品「McAfee ePolicy Orchestrator(ePO)」でネットワーク全体を一元管理することも可能だ。実際に、あるサービスプロバイダーでは、NSPをプロバイダー側に設置し、ユーザー企業の拠点にNTBAを設置するという構成をとることで、ネットワーク全体を可視化し、コントロールベースの検知に役立てているという。
また、フォレンジック機能やマルウェア検出機能といった従来から備わる機能のほか、DLP製品「McAfee Data Loss Prevention Endpoint」などを組み合わせることもできるようになっている。機能強化したNSPやNTBAは、6月頃に国内提供を開始する予定だ。あわせて、データセンター向け製品として、80Gbps高パフォーマンスなNSPの提供も開始する予定という。
