セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Cyber Deception技術とTime Based Security

Cyber Deceptionとは、組織のネットワークに対してDecoy(おとり)を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を検知する可能性を高める防御手法です。以前も同じ具体的な製品を通じて考察を行いましたが、今回はホワイトペーパーを利用してその考え方・有効性について検討してみたいと思います。

www.scientia-security.org

Cyber Deceptionとは?

サイバーデセプションとは、組織のネットワークに対してDecoy(おとり)を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を検知する可能性を高める防御手法です。

本論文によれば、この技術は、研究用に利用されたハニーポットの技術を応用したもので、この文献によれば「蜃気楼のネットワークを攻撃者に見せる技術」です。この技術ののアプローチは本来のセキュリティ統制がある程度聞いていることを前提としているため、上級者向けの方法です。

Cyber Deceptionの有効性

Cyber Deceptionの有効性は以下の通りです。

根拠1:攻撃の経済的コスト

 「攻撃の経済的コスト」とは、攻撃者が攻撃に成功するまでに投入する時間的リソースを意味します。サイバー・デセプション技術では、経済的コストを増加させて攻撃を諦
めさせることが目的です。この文献によれば、攻撃に成功するまでの時間がかかるほど、サイバー攻撃が減少すると報告します。

根拠2:Time Based Security

TBS(Time Based Security)は、1999 年にWinn Schwartau 氏が提案したセキュリティの防御システムの定量評価手法です。

  •  Pt > Dt + Rt
    • Pt :防御の仕組みが機能している時間
    • Dt :攻撃を検知するまでに必要な時間
    • Rt :攻撃に対応するために必要な時間

上記不等式が成立する限り、防御システムが有効だと判断できる。サイバー・デセプション技術は、Pt を増やし、Dt を減らす技術です。

Cyber Deceptionの種類

OSINT Layer Cyber Deception

OSINTに対するDeceptionとは、以下のアプローチが考えられます。

  • ダミーとなるネットワーク情報をこっそりインターネット上に公開する。
  • ダミーのプロファイルとメールアドレスをLinkedInへ公開し、当該メールやプロファイルにアクセスをもとに攻撃の兆候を検知する。
  • Deception Networkの存在を示し、本来のネットワークではないほうに誘導する。(ただし、ダミーのネットワーク図を公開すると、変なレピュテーションリスクが発生することもあるので、実施の有無は慎重にすることが望ましいといえます)

Network Layer Layer Cyber Deception

Network Layer Cyber Deceptionとは、Deception Networkを用意してそちらを攻撃させる方法が一般的で、以下の製品が有名でしょう。

www.illusivenetworks.com

cymmetria.com

一方、他の方法も多数存在します。

  • HoneyPot
    • ネットワーク、サーバ(Honey Server)、端末(Honey Endpoint)、アプリケーション(Honey Application)、テーブル(Honey Table)、サービス(Honey Port)などを装って攻撃者を検知する技術です。
  • Honey Data
    • Honey User:偽のユーザ情報
    • Honey Credentials:偽の認証情報
    • Hoeny Files:偽のファイル
  • Honey Tokens
    • Honey Tokensとは、偽の情報(認証・データレコード・特定の文字列)を正当なデータ群(ファイル・データベース・ソースコード・メールリスト)に挿入しておく方法です。
    • 例えば、SQLインジェクションの漏洩を検知するためにデータベース上にダミーの顧客リストテーブル(ACCOUNT_INFOテーブル)などを用意しておく。
  • Breadcrumbs
    • BreadCrumbs(パン粉)とは、Deceptionへ誘導するためにばらまく目印です。

より詳しい情報は以下を参照してください。

insightidr.help.rapid7.com

info.varmour.com

なお、Honeypotを検出するHoneypot Busterというツールも作成されているようなので、より巧妙なDeception Technologyを用意する必要があるかもしれません。

jblog.javelin-networks.com

Web Application Layer Cyber Deception

Web Application Layer Cyber Deceptionは、Web ApplicationにDeceptionを仕掛ける技術です。

  • /admin/ や .htaccess へアクセスした場合通信を遮断したり、逆に攻撃を仕掛けたりする。あるいは、こうしたファイルないに偽情報を流し、別のところに誘導する。
  • パラメータ名を毎回変化させ、攻撃を妨害する。
  • ダミーパラメータを用意し、その値が改竄された場合に攻撃と検知する。

まとめ

Deception Technologyは、攻撃者にアクティブに立ち向かう手法です。もちろん、こうした技術を活用するためには、基本的なセキュリティ対策がしっかりしている、またきちんとしたセキュリティ運用チームを持っているという前提になりますので、検討する際は注意する必要があります。