シスコは最近、プレスリリースで「インテント・ベース・ネットワーキング」という言葉を発表した。その直感の1つの要素は、ローカル・ネットワーク・セキュリティの専門家が多大な労力を必要とすることなく、ネットワークをよりセキュアにすることである。そして、その戦略の目玉となるのがCisco ETAだ:
「シスコの暗号化トラフィック解析は、これまで解決不可能と考えられていたネットワーク・セキュリティの課題を解決します。「ETAは、シスコのTalosサイバーインテリジェンスを使用して、暗号化されたトラフィックであっても既知の攻撃シグネチャを検知し、プライバシーを維持しながらセキュリティを確保するのに役立ちます。
解決不可能な問題が解決されたという主張には、いつも興味をそそられる(そしてかなり頻繁に面白がられる)。では、シスコETAがどのように構成されているのか、掘り下げてみよう:
- マルウェアファミリーに分類され、その分類を反映するようにラベル付けされたサンプルをマルウェアロット採取する。
- それぞれをサンドボックスで5分間実行する。
- サンプルが発するトラフィックを捕捉する
- トラフィックの中からTLS暗号化セッションを分離する
- クライアントからサーバーに送信されるClient Helloと、サーバーがレスポンスするServer Hello(サーバー証明書を含む)がある。
- セッション内のデータの増減に関する情報(パケットサイズ、パケット間の時間遅延、パケット内のバイト数など)を抽出する。
- (5)と(6)から特徴を取り出し、それらを使ってモデルをトレーニングし、このデータから(1)のマルウェアのファミリーへのマッピングを作成する。
我々は、Ciscoがメタデータ抽出をネットワークにネイティブに組み込もうとするステップを歓迎し、脅威を検知するために機械学習を適用しようとする彼らの努力を称賛する。これは私たちが何年にもわたって顧客のネットワークに導入してきたものであり、正しく実行された場合(そして間違って実行された場合-私たちもその過程でつまずいたことがあるため)、それがもたらす利点を私たちは目の当たりにしてきた。シスコのこの分野への最初の一歩は、少々物足りないものであった。
Cisco ETAで採用されている特徴選択と機械学習技術には、間違いなく斬新なアプローチがある。しかし、セッションメタデータを使用してマルウェアの通信に対する正確なシグネチャを作成するという全体的なアイデアは、1995年頃の最初のシグネチャベースのIDSのリリースまで巻き戻すような感じがする。現在の世代のマルウェアで成功したと仮定すると、マルウェア開発者がこの形式の検知を回避する簡単な方法で暗号化通信を変更するのに時間はかからないだろう。攻撃者が行うであろう変更は非常に明白だ:
- 暗号による保護が必要ない場合でも、現在の暗号の標準的な形式を使用する。
- 証明書の見た目が明らかに悪くならないようにする(ヒント:人気のあるウェブサイトから標準的な証明書をコピーし、それを証明書のテンプレートとして使用する)。
- 定期的に余分なトラフィックを投入し、通信のタイミングやリクエストとレスポンスのサイズを変化させることで、TLS接続内のトラフィックをランダム化する。
そして、また猫とネズミのゲームが始まる。ただし、今度はシスコがETAを鍛え直すために大量のサンプルを集める必要がある。そして、攻撃者はまたすぐにそれを破ることができる。
ほとんどの機械学習アプリケーションとは異なり、サイバーセキュリティでは、防御側の能力に適応する知的な敵対者と知恵を合わせる必要がある。このため、ネットワークから抽出されたメタデータに対する機械学習の応用では、攻撃者の方法論を根本的に変えなければ対抗できないような、耐久性のある行動パターンを見つけることに重点を置いている。
その一例が外部リモート・アクセスであり、Vectra が2年以上前に出荷したモデルで、人間がネットワークの外部からシステムをコントロールする基本的なパターンを見つけるためのものである。これは、攻撃者のツールやトラフィックが暗号化されているかどうかに関係なく機能する。昨年、ShadowBrokersがnOpen RATをリークしたとき、Vectra モデルは、何の変更も必要とせずにそれを使用しようとする試みを検知した。全く新しい攻撃手法を発明するのは、表面的な通信パターンを変更するよりもはるかに難しいことが判明した。
ETAの導入も簡単ではないし、安くもない。ETAの導入には、新しいネットワーク・スイッチへのアップグレードか、フロー・センサーの導入が必要になる。スイッチはシスコにとって収益の柱であり、利益を生み出すものであるため、新しいセキュリティ機能をスイッチングに結びつけることは驚きではない。アップグレードには時間がかかり、破壊的である。この場合、すべての資金が1990年代レベルのセキュリティ機能を提供することになるだろう。
スイッチのアップグレードにかかるわずかな費用で、セキュリティ運用の作業負荷を29分の1に削減できる代替手段をお望みなら、ぜひ当社までご連絡ください。