昔のお仕事でUTM(次世代FW)のあれこれをしていたりしたのと、現職でもセキュリティを意識する立場に有るので興味が湧いた。というわけで行ってきたのでメモ。ちなみに金曜日まで開催しているらしいです。
特別講演は2つあって、ケンブリッジ大のニコールイーガンさんのサイバー攻撃対策を機械学習と絡めた講演と、インターポールの中谷さんのサイバー攻撃対策をグローバルな視点でみたとき見えてくるものについての講演でした。
ケンブリッジ大のニコールイーガンさんの講演
攻撃の手法も日々変化しているが、攻撃の目的の変化が目立っている
昔:金銭を奪ったり、何かを破壊することが目的
今:金銭を奪ったりも有るが、どちらかというと信頼を破壊することが目的になるものが増えた
攻撃手法に見られる変化として一番驚いたものがインドで観測されたもので、定常NWに溶け込んでなりすます攻撃だった
- 機械学習アルゴリズムを用いて定常状態のNWを学習して、異常な状態にならないよう溶け込んで攻撃を仕掛けようとするものだった
- 紛れ込む前に異常に気づいたから防げた
- 機械学習アルゴリズムを用いて定常状態のNWを学習して、異常な状態にならないよう溶け込んで攻撃を仕掛けようとするものだった
このような攻撃は従来のシステムでは防げない、なぜなら異常な状態に見せないように溶け込まれたら、そもそも検出ができないから
- かつ、侵入されないシステムはないという前提を置くと、侵入されてからすぐに、できるだけ早く検出することが必要になる
- DarkTraceで実現してます、というセールスポイント
- かつ、侵入されないシステムはないという前提を置くと、侵入されてからすぐに、できるだけ早く検出することが必要になる
DarkTraceはケンブリッジ大で開発されたシステムで、彼らはこれを 免疫システム と呼んでいる
- 人間の免疫に例えるとわかりやすくて、正常状態を学習して異常を検知して異常な部分だけを攻撃(システムの場合は隔離)をするイメージ
DarkTraceが従来のIDSと何が違うかというと、IDSはマルウェアに感染したり攻撃にあっているシステムをNWから隔離する。これは、Web上でサービスを提供しているサーバが対象になった場合サービスを止めることになるが、DarkTraceは隔離するのではなく、攻撃によって発生した不正な通信のみを弾くことができるのでサービスを止めない
これはサービスを止めないが、同時に根本的な攻撃をなくすということでもないが攻撃による影響をゆっくりにすることができる
- どんな攻撃であれ人間がどう対処するか判断して、対処する必要があり、それには時間がかかる。DarkTraceは時間を稼いでくれる
DarkTraceの実績
銀行のインフラが変に重たくなっている原因を調査し、突き止めた
- インフラが乗っ取られていてビットコインを掘るのに使われていた。攻撃をしているとかデータを盗んだとかでもないのでログをみてもわからなかった。
生体認証システムに、本来登録されていないはずの指紋のデータが挿入されていた
- この手のシステムは盗まれることには敏感で対策をしているがデータを入れられることに対しては無頓着なことが多い
LanScopeCat
- SkySeaのような感じの監視ツールらしく、OSXはEl Capitanまでに対応している。Sierraはまだっぽい。
- マルウェアに感染した端末が、どういう経路でマルウェアに感染したかをログに残してくれるので根本的にどこにアクセスしちゃいけない、というような共有ができる
Protect Cat
PaloAltoのような振る舞い検知型のものはマルウェアをどこかしらで実行した振る舞いを見る。これは誤検知が多かったが、Protect Catはバイナリのパターンを機械学習エンジンで学習した学習データをもとにバイナリを検証してマルウェアかどうかを判定するものでご検知が少ない、らしい。
- 裏を返せば学習したバイナリの傾向からずれたものは検知できないということになるけど、PaloAltoのようなUTMと一緒に導入すると堅牢なNWになりますよーとのこと
あの手の展示会には去年にも行った記憶がありますが、本当に変化が早くて去年とはまた違うものがたくさんありましたね。楽しかった。
追伸
タチコマがいた。かわいい。
