今日、暗号化されたウェブトラフィックの量は、10年以上前と比較して95%増加しており、その多くは、安全なクライアントサーバ間通信のためのTLS暗号化に依存しています。Let's Encryptのようなサービスにより、HTTPSの実装がより身近でコスト効率の良いものとなり、オンライン上のプライバシーが確保されるようになりました。しかし、この暗号化は、特にサイバー攻撃者が使用する暗号化されたコマンド&コントロール (C&C) チャネルの検知に取り組むセキュリティ専門家にとって、課題も引き起こします。 このブログでは、C&C検知の重要性、セキュリティにおける機械学習の役割、および Vectra AI がオンラインセキュリティの強化においてどのように業界をリードしているのかについて探っていきます。
攻撃者の視点
攻撃者の目的は現在のハイブリッドクラウド環境に隠れ続けることです。攻撃者がどこに到達しても、その中に溶け込み、通信を隠すために、コマンド&コントロール (C&C) チャネルを確立しなければなりません。 MITRE ATT&CKフレームワークでは、マルチステージ チャネル、マルチホッププロキシ、HTTPSトンネリングなど、一般的なタイプのC&Cチャネルの多くを概説しています。 これらのチャネルは、多くの場合、TLS を使用して暗号化されるか、Web トラフィック (ほとんどが HTTPS) に溶け込み、通信を暗号化して検知を困難にするために HTTPS トラフィックを装って暗号化されます。
Attackers also make use of further obfuscation techniques which make detecting C&C channels even harder. Not only is there the use of encryption inside communications channels to thwart analysis, but techniques such as jitter (creating more random timings for beacons to defeat looking for regular beacons) and padding.
通信チャネル内には、送信されているデータを防御者が読み取れないようにするためのさらなる暗号化層や、時間の経過とともに定期的なビーコン動作をマスクするセッションジッターなどの時間ベースの変数が存在することもあります。
セキュリティチームの視点
Finding C&C channels in modern internet traffic is paramount for security analysts. The task is hampered not only by the encryption of attacker traffic, but also because much of the internet now functions on encrypted traffic and uses WebSockets and long open sessions which can look like C&C behaviour. To this end, analysts need to look at not just the raw traffic, but the metadata of that traffic. Flow traffic can be useful, but examining the deeper metrics about these flows such as time intervals of transmission, can expose malicious traffic in encrypted sessions.
幸いなことに、Vectra AI のフロー エンジンは、追跡されたデータ フローごとにこのような詳細な分析を提供し、サンプリングは 0.5 秒間隔の粒度で行われます。 これには、時間の経過とともに送受信されるバイト数などのメトリクスが含まれており、各インタラクションのダイナミクスについての洞察が得られます。
C&C検知用の機械学習
Vectra AI は、時間領域データを効果的に利用してC&Cチャネルを検知するという取り組みにおいて、教師あり機械学習技術に重点を置いたさまざまなアプローチを行ってきました。 連携して動作するいくつかの機械学習アルゴリズムは、攻撃者の振る舞いの大まかなビューと詳細なビューの両方を提供します。
- ランダムフォレスト:複数の「決定木」で構成されるランダムフォレストは、粗い粒度の遠隔測定に優れています。時系列ウィンドウを監視し、クライアントとサーバーのデータ比率、データの一貫性、サーバーの中断頻度、セッションの長さなど、20以上の特徴を追跡します。
- リカレント・ニューラル・ネットワーク (RNN):RNNは、1つのシーケンスが次のシーケンスに影響を与えるような時間的な振る舞いを表現することを可能にし、人間主導のユニークな特徴を明らかにします。基本的に、RNNは人間の記憶を模倣していいます。
- 長短期記憶 (LSTM) 深層学習ニューラル ネットワーク:LSTMネットワークは、忘却能力を含む、長距離の時間的依存関係や関係を学習することができます。このアプローチは汎用性が高く、自然言語処理を含む様々なユースケースに適用可能。セキュリティの分野では、長期間にわたって関連する攻撃者の活動パターンを追跡することができます。
高精度な相関分析
The convergence of these machine learning methods, each meticulously developed and fine-tuned over the years, empowers Vectra AI to comprehend the behaviors of encrypted traffic and generate high-fidelity alerts for command-and-control detection. Success hinges on the careful application of these methods and the quality of training data used.
Vectra AI では、受賞歴のあるデータサイエンティストとセキュリティリサーチャーによって、アルゴリズム開発、サンプルのキュレーション、最高のパフォーマンスを実現するための継続的なアルゴリズムの最適化が行われております。
結論
暗号化されたC&Cチャネルを正確に検知し、ノイズを最小限に抑えて優先順位を付けることは、非常に困難な課題です。 これは、単純なアノマリー検知の機能を超えています。 このレベルのセキュリティを達成するには、適切なデータ、最適な機械学習手法、モデルの構築と微調整の専門知識を持つ専任チームが必要です。Vectra AI では、この使命と共に、最前線に立ち、すべての人にとってより安全なオンライン環境に貢献する取り組みを続けています。