Network Security NSX NSX Data Center Uncategorized セキュリティ ネットワーク

デモ解説!VMware NSX 分散IDS/IPS : 高度標的型攻撃の検知(IDS)と防御(IPS)をやってみる

今回のブログでは、以前ご紹介したVMware NSX Data Center 分散IDS/IPSの概要の続きとして、デモを通して操作感やメリットをお伝えできたらと思います。

分散IDS/IPS を利用することで、East-West通信を含めてフルカバレッジでセキュリティチェックが行えるためゼロトラストを容易に導入でき、企業ネットワーク内で抜け漏れなくセキュリティ解析が可能です。分散IDS/IPS の特徴や概要は、こちらの記事で紹介していまして、「この機能初めて知ったよ」という方は、まずそちらをお読みいただくのがおすすめです。

 

過去の関連記事はこちら

 

デモ解説の前に少し前置きが入りますが、お付き合いのほどよろしくお願いします。

 

はじめに

 

IDSや IPS (IDPS) のような次世代ファイアウォールの機能は、昨今の高度標的型(ATP)攻撃から防御する手段の一つとして長く利用されている技術です。また、IDPSがどういった攻撃に効力があるのかといったことを、MITRE ATT&CKなどのフレームワークを参照しながら「組織のセキュリティ対策に対する投資の観点から網羅できてるかな?」と言ったことを、皆様も日々評価されていらっしゃるのではと思います。
MITRE ATT&CK フレームワークでは、Initial Accessといった初期侵入行為を起点に12個の攻撃ステージを提示しています。

 

 

このフレームワークでは、「探索行為やクレデンシャル盗取、内部探索やラテラルムーブメント、データ盗取、データ破壊など」といった「技術を使って攻撃活動を行い達成するゴールや目的」のことをTacticsと表現していまして、攻撃ステージとも捉えることができます。
昨今の高度標的型(ATP)攻撃を紐解いてくと、実際はさまざまな攻撃ステージから構成されています。また、一連のサイバー攻撃は、マルチステージの攻撃活動の中で、様々な攻撃手法(Technics)を組み合わせることによって、データ破壊など最終目的を達成させていると言えます。

 

 

入口・出口対策のような境界型セキュリティを経由する攻撃活動だけでなく、企業ネットワーク内に閉じた活動、いわゆる内部活動も複数ステージで実施されていることになります。このように、データ盗取などのような最終目的には、多くの East-West活動をともないます。East-West が新たなバトルフィールドになってきているとも言えます。

 

 

デモ解説

それでは、APT攻撃 の 一連のタイムライン を通して、VMware NSX-T 分散IPS/IDS による 攻撃の検知と防御のデモをご覧いただきます。

 

サイバーレンジのような、サイバー攻撃や防御演習を見立てて、まずは攻撃を成功させ、そこから検知された攻撃手法を確認し、次に対策を講じて後続の同様手口の攻撃を防御するシナリオになっています。

ここからは、攻撃者をRed Team、組織のSoCチームを Blue Team と表現して解説していきたいと思います。

 

攻撃フェーズ

3 Tier Web App の環境を用意し、Red Teamは DrupalとDouchDBの脆弱性を使い攻撃を試みます。

Red Teamの攻撃には、8080/TCP と 5984/TCP の正規ポート番号を利用します。この攻撃には、企業ファイアウォールやネットワークアクセスリストでは許可された通信とみなされてしまうようなステルス性の高い攻撃手段をとっています。これにより、企業ファイアウォールやネットワークアクセスリストでは、攻撃を防御したり侵害には気づけません。

 

 

検知・防御フェーズ

Red Teamの攻撃が完了したら、次は Blue Team が分散IDSのアラート内容を確認していきます。Blue Teamは、DrupalとDouchDBの脆弱性に関わる攻撃手法が検知されていることや、初期侵入やラルムーブメントといった複数の攻撃ステージに活動がまたがっていることに気がつきます。続けてBlue Teamは、今回の脆弱性について情報をチェックしたり攻撃の影響範囲を把握していき、悪用されたセキュリティホールに対策を行います。
対策として、影響のある仮想マシンに脆弱性対策のIPSシグネチャで仮想パッチを適用します。

これにより、次回のRed Teamの攻撃はIPSで遮断され、一連のATP攻撃に対して防御できることになります。

 

 

 

デモのふりかえり

いかがだったでしょうか。分散IDSによる検知と、分散IPSによる防御の使い所や操作感、確認方法など使用感をイメージいただけたのではないかなと思います。今回のRed Teamの攻撃のように、企業ファイアウォールやネットワークアクセスリストでは、攻撃を防御したり侵害に気づけない場合があります。攻撃手法(Technics)の中では、ゼロデイ攻撃のような未知/未公表のセキュリティホールを突く攻撃手法が使われることもあり、これにより組織が持つセキュリティ解析機能を回避し、不幸にも一連のサイバー攻撃の検知を困難にさせる手法も存在しています。

 

 

入口・出口対策のような境界型セキュリティ機能の検知を回避するために、攻撃初期のネットワーク侵入にゼロデイ攻撃を用いて境界型セキュリティを突破したり、Domain Generation Algorithm(DGA)Fast Fluxなどの技術を用いてC&C通信を行い境界型セキュリティの検知からすり抜けたりと、境界型のセキュリティ解析機能に対して極めてステルス性の高い攻撃も存在しています。

ただし、全ての攻撃ステージでゼロデイ攻撃や、セキュリティ解析の回避技術が網羅的に使われるわけではありません。企業ネットワークに侵入後、後続ステージで行われる探索行為やラテラルムーブメントでは既知の手法が使われることがあります。侵入後の後続ステージでは、組織がもつ境界型セキュリティを通過しない内部活動のため、既知の脆弱性をついた手口や攻撃ツール(モジュール)の利用、スキャニング行為など堂々と行われていることがあります。

 

 

今回のBlue Teamのように、同一セグメンに閉じたEast-West活動に対してもセキュリティチェックをしていたことで、境界型セキュリティを経由しないようなATP攻撃のステージに気がつけることができました。仮想マシン単位で動作する分散IDSは、仮想マシンの vNIC をパケットが通過する際にパケットのセキュリティチェックを実施してくれます。これにより、East-West通信対してもフルカバレッジでセキュリティチェックが行えるため、ゼロトラストに基づいた企業ネットワーク内で抜け漏れなくセキュリティ解析機能が利用でき、境界型セキュリティを経由しないようなATP攻撃のステージにも気がつけるようになります。
分散技術には、そうした水平方向の可視性を提供し、これまで検知できなかったEast-Westの攻撃活動への対策として効果が期待できます。

 

まとめ

ラテラルムーブメントや探索行為、C&C通信など、一連攻撃の中でどこかのステージを見つけることで、今回のように組織のSoCチームは はじめてAPT攻撃に気が付くことができました。また、水平方向で様々な攻撃ステージを検知・可視化されていたことで、影響範囲や攻撃の遷移など攻撃の全体象が掴みやすくなったことにお気づきになられたのではないでしょうか。
VMware NSX-T分散IDS/IPS を利用することで、East-West通信を含めてフルカバレッジでセキュリティチェックが行えるためゼロトラストを容易に導入でき、企業ネットワーク内で抜け漏れなくセキュリティ解析が可能になります。

APT攻撃は様々な攻撃ステージを持ちとても精巧な手口に見えますが、分散IDS/IPSのような East-West(ゼロトラスト)対策がなされた基盤への攻撃の場合、攻撃活動の中で1つでも攻撃手法が見つかってしまえば、組織のSoCチームによって たちまち 攻撃の全体が解明されてしまいます。そして、早期に対策を打たれてしまいます。このように、APT攻撃の手口は非常に脆い側面があります。

 

今回はデモ解説ということでブログを拝見ただき、ありがとうございました。East-West が新たなバトルフィールドになりつつある中、VMwareの分散型技術による水平方向へのセキュリティ対策を引き続き提供してまいります。VMware NSX-T は今度も上記のように East-West対策(ゼロトラスト)の実現に向けたマスターとして進化を続けていきますし、もうすぐNTA/NDRなどの提供も予定されています。ぜひご期待ください。
そして、皆様と一緒により強固なクラウド基盤づくりを、VMwareはこれからも強力にご支援してまいります。ご精読いただき、ありがとうございました。

 

 

〜お知らせ〜

 ※NSX-T Data Center、および VMware SD-WAN by VeloCloud  について入門編から中級編まで各種セミナーも定期開催しております。より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/

 

 

※VMwareでは、各種製品をクラウド上でご評価いただくHands-on Labs(HOL) という仕組みを無償でご提供しています。今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。
おすすめのHOLメニューはこちらから ( http://labs.hol.vmware.com/HOL/catalogs/catalog/1212 )