ネットワールドは12月15日、標的型攻撃対策製品「RedSocks Malicious Threat Detection(RedSocks MTD)」で不正な通信を検知した際、統合脅威管理(UTM)アプライアンス「Fortinet FortiGate」で自動遮断できる連携プログラムを独自開発したと発表した。2017年1月から連携プログラムを無償で提供する。
RedSocks MTDは、NetFlowやIPFIXでインターネットへのアウトバウンド通信のフロー情報を監視し、広範囲で高精度なブラックリストとヒューリスティック検知でチェックし、悪意あるサイトなどへの不正な通信をリアルタイムに検知するという。
アラート情報から遮断すべき宛先のURLやIPアドレスの特定に加えて、端末の特定、脅威の内容が把握できるため、直近の脅威に対応できると説明。フロー情報を長期保存し、過去のアクセス状況を遡って確認もできるため、フォレンジックとしても活用できるとしている。
RedSocks MTDのユーザー企業から、検知した不正通信が脅威レベル1の場合に、システムを自動遮断する仕組みの提供を要望するケースが多くなり、対応が急がれていた。
提供されるプログラムでの連携イメージ
1.RedSocksで不正な通信をリアルタイムに検知し、アラートを出力、連携プログラムにプッシュ通知する
2.脅威レベル1の場合、連携プログラムからFortiGateにコマンドを発行
3.FortiGateで該当する宛先への通信を即座に自動で遮断
(ネットワールド提供)
攻撃者の行動や手口、狙っているシステムの脆弱性などの情報を標準化された方法で記述する“脅威情報構造化記述形式(Structured Threat Information eXpression:STIX)”があり、このSTIXで記述された攻撃活動に関連する脅威情報を交換するものとして“検知指標情報自動交換手順(Trusted Automated eXchange of Indicator Information:TAXII)”がある。
ネットワールドは、STIXやTAXIIにのっとることが今後の標準になるとみる。RedSocksはSTIX/TAXIIに対応しているが、インプットとアウトプットの両方に対応しているセキュリティベンダーはまだ多くないという。自動遮断するには、RedSocks MTDからのアラート情報を受け取るインプットでほかのセキュリティベンダーのSTIX/TAXII対応が待たれていると説明している。
こうした状況を受けて、RedSocksのディストリビューターであるネットワールドは、 FortiGateとの自動遮断連携プログラムを開発、無償で提供することになった。同プログラムの提供は、商用利用のみ。
提供方法は、ネットワールドの専用問い合わせフォーム、または、同営業担当経由で利用申し込みを受け付け、その後、ダウンロード専用サイトが案内される。同プログラムは、プログラム自身に対する保守サポートの提供はない。ネットワールドとRedSocksは、事前に動作確認しているが、動作保証はしない。各種カスタマイズは、別途有償対応となる。
