見えないところからの攻撃
バイクに乗る、なんていう前近代的な趣味を持っている割には、幸いなことに人生で骨を折るという経験が私にはまだ一度もありません。一方で、先日同僚が足を骨折しました。いわく、よそ見をしながら歩いていたらば部屋のソファに足を引っ掛け、思いもよらぬ方向に体重を掛けたらばあっけなく足が折れた、とのこと…ほんとにそんな間抜けなことが起きるのかしらん???と信じられない気持ちですが、「備えあれば憂い無し」とは言っても、ひとは思いもしないところにある脅威にはなかなか備えられないのかも、とも思ったりもします。今回の Blog では皆さまのシステムインフラでも同様のことが起きぬよう、今一度 VMware NSX により提供される最新セキュリティソリューションで如何にシステム内のブラインドスポットを消し去り、ゼロトラスト化できるかについてご紹介させていただきます。
見えないものは防御できない
長年、ネットワークシステムを防御するという機能の代名詞として使われてきた”ファイアウォール”。近年このファイアウォールの有効性が徐々に低下してきています。もちろんファイアウォールが不要になることはありませんが、昨今の高度な攻撃はシステムの脆弱性を突く攻撃やソーシャルエンジニアリングが一般化しており、そのための情報やツールも気軽に流通しているため、たとえ“旧来の”Next Generation ファイアウォールでアプリケーションレベルでの可視化と防御を実行したとしても、それだけでは昨今の高度化された脅威対策には不十分です。
イメージとしてはファイアウォールで防御を可能とするのは、ネットワークを車が行き交う道路に例えれば、このような攻撃タイプです。こんな危険な運転をする車がいても事故が起きぬようガードレールを敷いておけば防御できます。これがファイアウォールの仕事です。
ですが、脆弱性をついた攻撃はこんなイメージです。盗難車が一般道で他の車と同様の速度で道路を走っているので一見通常の車に見えてしまい判別するのが難しいことこの上ありません。
このように、一見ルールを守った(許可されたプロトコルでの)トラフィックでアプリケーションの脆弱性に対して行われる攻撃は、ファイアウォールでは対処を行うことができません。
このような脅威に対する恒久対策はもちろん脆弱性が発見されたアプリケーションにパッチを当てること、ですが、システムの都合上パッチを早急に当てることが難しい場合が多くあります。そんな場合、脆弱性を利用した攻撃への一次的な防御策として、ネットワーク上の振る舞いをシグネチャと呼ばれるデータベースに照らし合わせることによってトラフィックの正常・異常を判別する IDS/IPS(侵入検知防御システム)が必要になってきます。
脆弱性への攻撃は何処から来るか理解しておく
IDS/IPS は侵入検知/防御システムとして市場に登場してからすでに約 20 年ほどの歴史をもつ枯れた技術です。ただし基本的にはこの IDS/IPS も Next Generation ファイアウォール同様、ネットワークアプライアンスとして提供されるのが一般的なので昨今の攻撃には対処しきれない側面がでてきています。
この点を理解するためには、昨今の高度化された攻撃において脆弱性攻撃は何処から実行されるのか?を知っておく必要があります。
まずは外部公開向けWebアプリケーションやリモートアクセスVPN装置の脆弱性について考えてみます。これらのシステムに脆弱性があった場合、攻撃者はどこからこの脆弱性を突く攻撃をおこなうでしょうか?これらのシステムは一般的に DMZ などに配備されるため、攻撃者は外部から直接アクセスできることが多く、攻撃も外部から直接行われます。これに対する防御策としては旧来型の境界型 IDS/IPS ソリューションで対処が可能です。弊社製品で言えば、NSX Edge における IDS/IPS を稼働させる、もしくは Web アプリケーションの保護であれば、NSX ALB の WAF を稼働させておくのも有効な手段です。
では、システム内部の DB サーバーやファイルサーバーに脆弱性があった場合はどうでしょう?この場合、通常ではファイアウォールや NAT の仕組みにより外部から直接これらの内部システムにアクセスはできないようになっているため、攻撃者は外部から直接これらの脆弱性を突いた攻撃を行うことはできません。
では、内部システムに脆弱性があったとしても、外部の攻撃者からはアクセスできないので放おっておいても平気なのか?というと残念ながらそんな事はありません。昨今の標的型攻撃やランサムウェアを含むAPT 攻撃では、攻撃者はシステム内部に侵入して外部 C2 サーバーから司令を受け取る足場を作る役割(Initial Access Brokerと呼ばれたりもします)と、
そこから内部システムに対して実際のランサムウェア攻撃などを行う役割(Ransomeware Affariateと呼ばれたりします)とで分業して攻撃を仕掛けてくる事が多く見受けられます。このため、内部の脆弱性を放置しておくことは攻撃者に対して間口を開放したままであることを意味しているからです。
このような攻撃の図式を見てみると、たとえ侵入検知防御のための IDS/IPS システムを境界に配備したとしても、攻撃者が内部に侵入し、内部から脆弱性を突いてくる攻撃には無効であることがご理解いただけると思います。見えないところからの攻撃は防御のしようがないのです。
よって、このような攻撃に対しても効果的な防御策を提示することができるのが NSX によって提供される“分散型 IDS/IPS”、通称“仮想パッチ”ソリューションです。これは旧来からある信頼された IDS/IPS の機能自体を仮想化し、分散配備することによりワークロード直下でこの機能を提供することができるので、システム全体に侵入検知・防御の機能を配備することが可能となります。まさにインフラのゼロトラスト化がこれにより実現されることになります。
NSX の分散型 IDS/IPS は、ハイパーバイザーにビルトインする形で提供されるので、仮想空間におけるワークロードに対しては効果的にこの機能を有効化することができますし、VMware Cloud のようなオンプレミスではないシステムであっても同様にこの機能を利用してもらうことが可能となる、業界で惟一の高度な分散型セキュリティソリューションとなっています。我々はこの仕組みを持ってシステム内部のトラフィック、通称”East-West トラフィック” に紛れた内部からの攻撃に対処することが重要だとここ数年警鐘をならしてきました。「このシステムはインターネットに接続されていないので安全」という幻想を過信しすぎてしまいセキュリティ被害にあわれてしまったお客様のお話をときに拝聴することがありますが、このシステム内部からの攻撃という観点にたつと、どこかしらに開いている勝手口の存在に思い当たる方も多いのではないでしょうか…
このようなシステム内部に対してネットワーク全体をセンサー化させる事によるセキュリティ防御のことを最近の VMware は”ラテラル(水平方向の)セキュリティ” などと呼称しています。
シグネチャだけですべてが見えるようになるのか?
ここまで読んで頂いた方の中には「IDS/IPS を仮想的に分散配備したとしても、所詮は Known Threat のデータベースシグネチャ頼りでしょ?それですべての脅威を見極められるの?」といった疑問を持たれた方もいるかも知れません。基本的にはご指摘のとおりです。そんなご懸念に対応すべく最近の NSX では更に高度な分散セキュリティの機能が追加になっているのでここで簡単にご紹介します。
1. 振る舞いベースの IDPS シグネチャ
前述の分散型 IDS/IPS の機能に“振る舞い”を検知するためのシグネチャを追加しました。これにより既知の脆弱性に対する攻撃だけではなく、ネットワーク上で行われる怪しげな挙動(例えば多すぎる認証失敗や、リモートタスクスケジューラの試みなど)を“Suspicious”としてアラートすることが可能になりました。
2, NSX Sandbox
NSX が有する Guest Introspection 機能を利用することでネットワーク上でやり取りされるファイルに対するマルウェアチェックを Local および Cloud Sandbox 上で実行することが可能となりました。Full System Emuration と呼ばれる機構により、ハイパーバイザーベースの Sandbox を迂回するような最新の高度なマルウェアにも対応が可能です。
3 Tap-less Network Traffic Analysis
ネットワークの常態を AI が監視し、そこから逸脱したとトラフィックを検知した場合に警告、対処を行う Network Traffic Analysis(NTA)。通常の NTA 製品では、TAP かミラーを利用してネットワークトラフィックを NTA アプライアンスに転送する仕組みが必要でしたが、NSXの Tap-less NTA はハイパーバイザーにビルトインされた機構として提供されるため、ネットワーク変更を完全に排除した形でこのセキュリティ機能をアドオンしていただくことが可能となっています。
このように NSX では“East-West トラフィックにおける可視化と防御が新たなセキュリティのバトルフィールドになっている”、という認識のもと、さまざまな”ラテラルセキュリティ”機能の追加アップグレードに勤しんでいます。この Blog でご紹介した様々な技術要素をもってすれば、今まで見ることができなかった、インフラ内部の驚異情報を可視化することができるようになります。
ただし…これで効果的な運用ができるようになるか?といいますと、、、実はもう一つ新しい仕組みが必要だと我々 VMware は考えています。それが旧 Lastline 社の買収により手に入れた Network Detection& Response (NDR) となります。次回はますます高度化される昨今の脅威を如何に管理者にとって意味のある形で表示し、管理・対処を行っていくべきか?というもう1段上位の可視化ソリューションについてUIも含めてご紹介したいと思います。 (後編へつづく)
