NSX による分散型の多層防御
”インフラにもゼロトラストを:ラテラルセキュリティでシステム内のブラインドスポットを消し去ろう(前編)” では、昨今の脅威に対する分散型 IDS/IPS の有用性、および最新の VMware NSX バージョンにより仮想ネットワーク内における多種の防御策についてご紹介いたしました。これまで境界型セキュリティアプライアンスでは普通に構成されてきた多層防御の考え方が仮想空間における分散セキュリティでも実現できるようになってきました。このような技術が必要になって来ている背景としては、境界型のセキュリティアプライアンスでは守りきれない、East-West トラフィックにおけるセキュリティ防御が主要なバトルフィールドになってきているからです。脅威はすでに内部に侵入している、という前提にたってシステムのセキュリティを考える”ラテラルセキュリティ”が、インフラにおけるゼロトラストセキュリティを検討するさいの基本になってきています。
多層防御の必要性と悩み
East-West トラフィックにおける多層防御が必要な背景を紐解いてみます。ランサムウェアを含む昨今の APT 攻撃では、攻撃者が侵害を収益化するために以下のようなステップを踏むことが一般的です。攻撃者は内部に侵入した後にシステム内部を探索し、不正な権限の昇格、ラテラルムーブメントを繰り返した末に最終的に必要な情報にたどりつきます。
これらの攻撃に対処するために先述の NSX による分散セキュリティにおける多層防御での対処が可能となっています。
ただし日々新しい攻撃手法が開発されている昨今の脅威に対して、必ずしもすべてのセキュリティインシデントを検知できるとは限らない、という立場に立つことこそがゼロトラストセキュリティの考え方です。攻撃者は一連の攻撃手順に沿って攻撃を組み立て、環境に応じて臨機応変に戦術を変えてきます。よってポイントごとでインシデントを検知したり止めたりするだけでは十分な対策ではなく、この一連の攻撃意図を認識して、対処を検討することこそが何よりも重要になってきます。
それでは、各分散セキュリティにおける検知イベントを管理者が一連の攻撃として紐付けて攻撃者の意図を認識しようと思ったらどのような運用になるでしょうか?以下の画像はサンプルイメージですが、各種多層防御の検知ログの紐付けを行うことでしか攻撃者の意図を関連付けて理解することはできません。
日々高度化する攻撃と、それに対する多層防御のテクノロジーを追加すればするほどこの攻撃に対するインシデントの紐付けが複雑難解になって行き、人による運用では破綻してしまうのは火を見るよりも明らかです…
NDR による攻撃キャンペーンの可視化
このような課題に対処するために新たに追加されたNSXの機能が Network Detection&Response(以下NDR)です。これは NSX により提供される多層防御により検知された各種検知ログやアラートをクラウド上の AI をベースとした相関分析エンジンにより解析することにより、攻撃者の意図を一連の攻撃キャンペーンとして管理者に表示し、必要な対処を促す事ができるソリューションとなっています。
これにより MITRE ATT&CK の攻撃戦略に応じて攻撃のステップ進行度や次に行われる攻撃を推測して事前に対処する、などを管理者に提示可能で、必要に応じた対処を行うことが可能となってきます。
実際の NSX NDR の UI で Summary 部分をお見せするとこのような形となります。
この環境では、約1,300の Anomary イベントがログとして検出され、そのうちで確実なエビデンスがとれた脅威イベントが 795 件確認されており、これらが 3 つの攻撃キャンペーンにまとめられて提示されていることが確認できます。つまり管理者はこの 3 つの攻撃キャンペーンという観点での可視化、対策を検討することが可能となってきます。
攻撃キャンペーンの可視化
それではもう少し攻撃キャンペーンの詳細を見てみましょう。こちらがこの環境における3つの攻撃キャンペーンのうち、一つを Overview 表示させた画面となります。この画面からは、この攻撃キャンペーンで駆使された脅威テクニックが9つあり(①)、これらの脅威の影響を受けたホスト数が3台おり(②)、攻撃ステージとしては、Exfiltration(情報の持ち出し)まで進んでしまっている(③)ことがわかります。また、ブループリントとしてこの一連の攻撃概要が図示されています(④)。
また、Timeline で各脅威イベントがいつ、どのような順番で、どのホストを経由して実行されたのか、を表示したり、
それら一つ一つのアノマリに対するエビデンスを表示したり、
といった表示と管理が可能です。これにより一連の攻撃キャンペンーをまるっと認識し、途中で対処を行ったり(ここではわかりやすくするために、攻撃が最後まで実施されてしまってデータの外部への持ち出しが行われてしまっている例を利用していますが、この攻撃キャンペーンが進行中であることをできる限り早く正しく認識し、対処を行うことがこのソリューションの主目的です)、事後の事実確認やレポート作成を速やかにおこなったり、といった運用に役立てていただくことが可能となります。
この一連の NDR の操作方法のイメージをまとめたデモビデオも作成してみましたので、ご興味のある方はこちらも参照してみてください。
→【ビデオ】 VMware NSX Network Detection & Response (NDR) デモンストレーション
まとめ
前回 Blog ”インフラにもゼロトラストを:ラテラルセキュリティでシステム内のブラインドスポットを消し去ろう(前編)” では、高度化する脅威の例として、攻撃者はすでにシステム内部に存在しているという前提に立った防御対策が重要、というお話をさせていただきました。このトピックを裏付けるような国内に置ける標的型攻撃の事例として、先日 IPA さまより J-CSIP 活動報告 vol.47 が公開されました。この公開情報では、攻撃者がシステムに侵入をしてからシステム内部の調査を行って実際に攻撃を始めるに至るまで約 1 年の時間をかけている例や、攻撃目標の環境のために専用にカスタマイズされたマルウェアが活用された形跡など実に興味深い事例報告がなされています。こちらもご参照ください。
以上、このような高度化された脅威に効率的に対処すべく開発され、最新 NSX バージョンでデリバリーが開始された NDR 周りの UI イメージや使い所の簡単なご紹介でございました。NDR は日々システムで計上される大量の Log や Alert を AI に学習させることにより、一つ一つは僅かな疑念であったとしても、それをつなぎ合わせることにより攻撃をあぶり出す、それにより新種のゼロデイアタックを検知しよう、という新しいネットワーク・セキュリティの取り組みとなります。転ばぬ先の杖、ではありませんが、ぜひ皆様もシステム内にブラインドスポットが有る状態の危険度を正しくご理解いただき、次期のインフラ公開や既存システムのアップグレード時にはこれら最新のネットワークセキュリティ施策をぜひご検討いただければと思います。くれぐれも皆さまがソファに足を引っ掛けて不意に骨を折るようなことがありませぬように…