Cyber Deception技術とTime Based Security - セキュリティコンサルタントの日誌から

Cyber Deceptionとは、組織のネットワークに対してDecoy（おとり）を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を検知する可能性を高める防御手法です。以前も同じ具体的な製品を通じて考察を行いましたが、今回はホワイトペーパーを利用してその考え方・有効性について検討してみたいと思います。

www.scientia-security.org

Cyber Deceptionとは？

サイバーデセプションとは、組織のネットワークに対してDecoy（おとり）を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を検知する可能性を高める防御手法です。

本論文によれば、この技術は、研究用に利用されたハニーポットの技術を応用したもので、この文献によれば「蜃気楼のネットワークを攻撃者に見せる技術」です。この技術ののアプローチは本来のセキュリティ統制がある程度聞いていることを前提としているため、上級者向けの方法です。

Cyber Deceptionの有効性

Cyber Deceptionの有効性は以下の通りです。

根拠１：攻撃の経済的コスト

「攻撃の経済的コスト」とは、攻撃者が攻撃に成功するまでに投入する時間的リソースを意味します。サイバー・デセプション技術では、経済的コストを増加させて攻撃を諦
めさせることが目的です。この文献によれば、攻撃に成功するまでの時間がかかるほど、サイバー攻撃が減少すると報告します。

根拠２：Time Based Security

TBS（Time Based Security）は、1999 年にWinn Schwartau 氏が提案したセキュリティの防御システムの定量評価手法です。

Pt > Dt + Rt

Pt ：防御の仕組みが機能している時間
Dt ：攻撃を検知するまでに必要な時間
Rt ：攻撃に対応するために必要な時間

上記不等式が成立する限り、防御システムが有効だと判断できる。サイバー・デセプション技術は、Pt を増やし、Dt を減らす技術です。

Cyber Deceptionの種類

OSINT Layer Cyber Deception

OSINTに対するDeceptionとは、以下のアプローチが考えられます。

ダミーとなるネットワーク情報をこっそりインターネット上に公開する。
ダミーのプロファイルとメールアドレスをLinkedInへ公開し、当該メールやプロファイルにアクセスをもとに攻撃の兆候を検知する。
Deception Networkの存在を示し、本来のネットワークではないほうに誘導する。（ただし、ダミーのネットワーク図を公開すると、変なレピュテーションリスクが発生することもあるので、実施の有無は慎重にすることが望ましいといえます）

Network Layer Layer Cyber Deception

Network Layer Cyber Deceptionとは、Deception Networkを用意してそちらを攻撃させる方法が一般的で、以下の製品が有名でしょう。

www.illusivenetworks.com

cymmetria.com

一方、他の方法も多数存在します。

HoneyPot

ネットワーク、サーバ（Honey Server）、端末（Honey Endpoint）、アプリケーション（Honey Application）、テーブル（Honey Table）、サービス（Honey Port）などを装って攻撃者を検知する技術です。

Honey Data

Honey User：偽のユーザ情報
Honey Credentials：偽の認証情報
Hoeny Files：偽のファイル

Honey Tokens

Honey Tokensとは、偽の情報（認証・データレコード・特定の文字列）を正当なデータ群（ファイル・データベース・ソースコード・メールリスト）に挿入しておく方法です。
例えば、SQLインジェクションの漏洩を検知するためにデータベース上にダミーの顧客リストテーブル（ACCOUNT_INFOテーブル）などを用意しておく。