サイバーセキュリティ分野では、防御を強化するための脅威インテリジェンスの利用が本格化しつつある。攻撃手法などに着目したインテリジェンスは、かつてのシグネチャベースでは困難な脅威の検知に対応するとともに、状況によっては実際の攻撃が開始される前の段階での防御が可能にもなる。NETSCOUT Arbor(アーバーネットワークス)の最高技術責任者(CTO)を務めるDarren Anstee氏が、分散型サービス妨害(DDoS)攻撃対策における脅威インテリジェンスの取り組みを説明した。
アーバーネットワークスは、DDoS攻撃対策を中心とするセキュリティアプライアンスやクラウド型のセキュリティサービスを企業や通信事業者を含むサービスプロバイダーに提供している。
NETSCOUT Arbor(アーバーネットワークス)最高技術責任者のDarren Anstee氏
DDoS攻撃は、基本的にマルウェアに感染したコンピュータ(ボット)の集団(ボットネット)が大量のトラフィックをウェブサイトやITシステムに送り付けることで、安定的なサービスの提供を妨害する。標的型攻撃などに比べるとその手法は単純だが、狙われる側はサービスが提供できないことによる収益機会の損失(例えば通販サイトで販売ができなくなる、など)といった実害を被る。
これまでは攻撃トラフィックの巨大化がトレンドだったが、攻撃トラフィックを効率的に分散させるなどの対策が普及したことで、実害に至るケースは少なくなった。しかし攻撃者側は、あまり巨大ではない攻撃トラフィックを長期に渡って送り付けることで、相手にダメージを与え続けるなど手法を変えてきている。Anstee氏によれば、同社が脅威インテリジェンスに取り組むのは、こうしたDDoS攻撃の変化に対応するためだという。
同社が提供する脅威インテリジェンスのサービスの1つが、DDoS攻撃の早期警戒情報を発する「DDoS Early Warning Service」となる。DDoS攻撃の発生の兆候を検知すると、狙われる可能性のある顧客組織に対して警戒情報を提供し、DDoS攻撃へ事前に備えるという仕組みだ。
Anstee氏は、「DDoS対策の一環としてマルウェアの解析に長年取り組んでいる。そこでボットのマルウェアに感染したマシンをボットネットの中に配置しており、攻撃者がコマンド&コントロール(C&C)サーバを通じてボットネットへ攻撃実行の指示を出すタイミングを検知できる」と話す。
従来は早期警戒情報を一部の顧客に提供していたが、現在はβサービスに移行。2018年10~12月期にグローバルで正式サービスとして提供するという。
また、脅威インテリジェンスを利用する新たなソリューションとして、2018年後半に「Arbor Edge Defense(AED)」の提供も予定する。AEDは、既存のアプライアンス(Arbor APS)を強化する形で、データーセンターのエッジにおけるDDoSの防御と同時に、ネットワーク内部に潜むボットからC&Cサーバへの接続といった不正な外部通信の対策も講じる。
AEDでは、同社の脅威インテリジェンスの情報をセキュリティ業界共通の記述形式(STIX)や自動交換手順(TAXII)に基づいて他社のセキュリティ製品を共有できるようにするという。他社の脅威インテリジェンスもSTIX/TAXIIを通じてAEDに取り込み、検知や防御に活用できる。
Anstee氏によれば、今後のセキュリティ対策では企業や組織が既に導入、運用するさまざまなセキュリティソリューションを連携させ、総合的な対策システムとして機能させることで、防御能力の実効性を高める必要がある。その中心的な役割を果たすのが、脅威インテリジェンスになる。
脅威インテリジェンスは、セキュリティベンダーが長年にわたってサイバー攻撃などの実態解明に向けた研究や分析の膨大なノウハウのもとに提供される成果でもある。従来は自社製品での検知や防御で利用されていたが、セキュリティ脅威の複雑化や高度化を背景に、単独の製品では対応が難しくなりつつある。企業や組織のセキュリティシステムがマルチベンダーによる多層防御の構造となっている点を踏まえ、今後はさまざまな脅威インテリジェンスを利用し、多層防御の効果を高めていけるかが焦点になる。
Anstee氏は、「長らく続いたトラフィックの大規模化というDDoSの傾向は徐々に抑制されつつあるが、その代わりにこれからも新しい手法が次々に繰り出されていく。残念ながらセキュリティ対策が完了するということは難しく、脅威の変化へすぐに対応し、被害を抑止する取り組みを続けて行く必要がある」と話す。