セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

サイバー・デセプション(Cyber Deception)とは何か?

2016/08/11に記事の一部を更新しました。

サイバー・デセプション(Cyber Deception)というキーワードをご存知でしょうか?

最近ガートナーが発表した「企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10」にも登場しているキーワードです。

www.sbbit.jp

 デセプション(Deception)とは、日本語で「ごまかし」や「欺くこと」を意味しますが、サイバー・デセプション(Cyber Deception)とは、ハニーポット(やられサーバ)のようなデコイ(囮)サーバを多数用意して、攻撃者が攻撃すべき対象を選定したり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃されてはいけないサーバへの対応への時間を稼ぐ技術のことです。ハニーポットの応用として昔から存在していた概念ですが、標的型攻撃など昨今のセキュリティインシデントの増加やインシデントを前提とした対応の一つとして注目を集めています。

最近は、一般的な企業でこうした環境・準備を整えることは難しいため、サイバー・デセプションに関する製品も登場してきています。現在筆者が知る限りにおいて、以下の製品が存在してます。

サイバー・デセプション製品が備えるべき機能・特徴

サイバー・デセプションの製品が備えるべき機能・特徴は何でしょうか?私見では、以下の機能・特徴を備えるべき製品だと考えています。

  • マネジメント機能 
  • ラビリンス機能
  • 検知・簡易解析機能 
  • 情報共有・連携機能
  • エビデンス保全機能
マネジメント機能

第一の特徴として、Amazon EC2などのクラウド環境と連携して簡単にデコイサーバ・デコイサービスを展開できる特徴が備わっており、管理できる環境が提供される機能が必要です。

また、管理機能以外にも、デコイ環境に対する高度な設定機能を有している必要があります。こうしたセキュリティサービスの特徴は一度攻撃者にパターンを認識されてしまうと有効でなくなってしまうため、攻撃者にデコイ環境であることに気付かれないよう、デコイに対して様々な設定が行えるなど、デコイのカスタマイズ機能が充実しているべきだと考えます。

ラビリンス機能

第二の特徴として、「ラビリンス機能」が挙げられます(名称としてはいまいちですが、良い名称が見当たらないので)。サイバー・デセプションの目的は、デコイに対して攻撃が行われている間に、その兆候を検知してインシデント対応を行うことです。そのため、できるだけ時間を稼ぐ必要があります。一般に、あるデコイサーバへの侵入できた後、攻撃者はそのサーバを踏み台にさらに内部へのサーバへの侵入を試みます。その際に、デコイサーバからは別のデコイサーバだけが見えるようになっていれば、攻撃者は別のデコイサーバを更なる内部サーバと勘違いして攻撃を行い、さらに対処への時間が稼げます。

このように一度侵入を許した後、本来の重要サーバにはアクセスできないように、デコイサーバからはデコイサーバしか見えないようにすることで、攻撃者を迷い込ませる機能が必要だと考えられます。

検知・簡易解析機能

第三の特徴として、「検知・簡易解析機能」が挙げられます。サイバー・デセプションの目的は、デコイに対して攻撃が行われている間に、その兆候を検知してインシデント対応を行うことが目的です。そのため、デコイ環境の攻撃をきちんと検知し、ログ分析できる能力が備わっている必要があります。

情報共有・連携機能

第四の機能として、検知した攻撃をもとにインシデント対応を行うため、スムーズに連携できる仕組みが提供されている必要があります。例えば、攻撃のログをもとにSTIX(脅威情報構造化記述形式)などを作成して攻撃情報の共有情報を自動生成したり、他のセキュリティ製品に連携できるなどの機能が必要だと考えられます。

エビデンス保全機能

第五の機能として、「エビデンス保全機能」が上げられます。攻撃の様子を後で追加で分析したり、必要に応じて法執行機関・警察に被害届を出すためにも、必要なログやメモリダンプ情報などが取得できるようになっているべきだと考えられます。

MazeRunner(Cymmetria社)に関するレビュー

先日、HOPEに参加してきましたがその中でMazeRunnerという製品のワークショップに参加する機会があり、そのソリューションの様子を知ることができました。

www.scientia-security.org

 サイバー・デセプション向け製品であり、上記の4つの特徴を備えています。他の製品のデモを見たことがないため比較できませんが、以下に特徴を書いてみたいと思います。

結論から言ってしまうと、MazeRunnerは非常に今後に期待できる製品と感じる一方、改善すべきと感じる点も多くあり、現時点での実践投入は難しいという印象です。但し、ベンダーも現時点の製品はベータ版(試作品)と言っていますので、その点を考慮してレビューをご覧ください。なお、彼らもコミュニティ版を非営利目的で配布してフィードバックを集めたいという言っていましたし、これから書く内容はそのワークショップで質問をした観点なので、そのうちいくつかは修正されていくと考えています。

そもそもどうやって動くの?

私が受講したデモでは、Amazon EC2に連携しており、管理コンソール上で囮サーバ・囮サービス・囮クレデンシャルと設定していきます。設定自体は非常に簡単です。その後、もし囮サービスに攻撃があればその様子がログに記録され、検知される仕組みです。攻撃の成功有無の様子などもきちんと検知できており、かつその様子をSTIXやメモリダンプで出力できるため、必要な機能はそろっているという心象です。

想定された攻撃シナリオに対して柔軟な設定ができる

MazeRunnerの特徴としては、想定された攻撃シナリオに対して柔軟な設定ができるという点が特徴的だという印象を受けています。現在のベータ版では種類は限られていましたが、今後はもっと囮サービスや囮サーバの種類を増やしてくとのことです。彼らによれば、illusive networksの方が想定シナリオが決まっており、便利ではあるが柔軟性が低いと述べていました。

これは利点でもある一方、弱点でもあると思っています。攻撃トレンドにあわせて柔軟なシナリオが組める人材がいる企業がいればよいですが、日本・米国をみても、そこまでできる人材がそろっている会社はそうは沢山ないと思いますので、ある程度テンプレート化してほしいところです。この点はもベンダーは認識しており、テンプレートを用意する予定と答えています。

エビデンス保全・情報共有・情報連携機能はよさげ

ログが取れる以外にマルウェア感染に備えたメモリダンプ機能や、STIXをダンプできる機能が備わっています。また、将来的にはEDRソリューションとの連携も視野に入れているらしいので、この点も早い段階で実装されればと思います。

管理機能の改善が必要

まだベータ版ということもあり、UIがこなれていない印象を受けます(といっても、直感的に操作可能なUIではありますが。)

また、現時点で囮サーバ・囮サービス・囮用のクレデンシャルを一つ一つ設定する流れとなっていますが、企業のネットワーク環境だと用意すべき囮サーバの数も非常に増えるため、現時点のUIでは展開がめんどくさいという印象があります。これについても、テンプレート化が望ましいと思いますが、この点はもベンダーは認識しており、テンプレートを用意する予定と答えています。

デコイのバラエティが少ない

デコイのバラエティがまだ少ないという印象です。サイバーデセプションの重要な点は、「デコイであることを見破られないこと」だと思います。言い換えれば、攻撃者には管理不足のため侵入できたという印象を与えなければいけません。

また、サーバ名などは各企業のネーミングルールなどに従っていないとデコイであることが簡単にばれてしまいます。(特に、製品がマイナーなうちはいいかもしれませんが、有名になればなるほど攻撃者側も気付きやすくなってしまいます)そのため、製品にはそのようなデコイの細かいパラメータを自動で調整してデコイのバラエティが多数あるようになってほしいと思います。

さらに言うと、囮サーバの種類は複数用意されていましたが、クライアントサイドのデコイもバラエティがほしいと考えています。

検知・分析機能がより充実してほしい

検知・分析機能は備わっていますが、検知の内容やそれに基づく分析がもう少しより詳細にできればより便利になると考えています。但し、検知機能が充実してくると、EDRの検知・分析機能などと共通する部分も増えてくるので、囮サーバにEDRのエージェントを入れるなどして、EDR製品の機能をうまく生かしながら連携をできるとよりよいと思われます。

まとめ

色々と書きましたが、サイバー・デセプションは今後攻撃を防ぐうえでの重要な技術になっていくと思います。特に囮サーバは本来通常利用していればアクセスされない機能ですので、検知をより精緻にしていくという意味では重要な技術になっていくと思います。

また、MazeRunner自体は今後より良い製品になる可能性が非常に高いと思うので、他の製品の動向も踏まえて注目していきたいと思います。