私たちはしばしば、ネットワークの可視性をネットワークメタデータに固定する決定について、またデータレイクやSIEMのためにそれをさらに充実させるアルゴリズムモデルをどのように選択し、設計するかについて質問を受ける。ゴルディロックスと3匹のクマ」の物語は、彼女がちょうど良いと思える快適さを求めて森の中の小屋に偶然出くわすという、非常に良い例えを提供している。
セキュリティ・オペレーション・チームがデータレイクで分析するための最適な脅威データを探しているとき、ネットワーク・メタデータはしばしばちょうど良いというカテゴリーに入ることがあります。私が言いたいのはこういうことだ:NetFlowは不完全なデータを提供し、もともとはネットワーク・パフォーマンスを管理するために考案された。PCAP はパフォーマンス集約型であり、フォレンジック後の調査で忠実性を保証する方法で保存するには高価です。NetFlow と PCAP の間のトレードオフは、セキュリティ担当者をどうしようもない状態に陥れる。
NetFlow:少なすぎる
US-CERTの元分析主任が最近の記事で推奨しているように、「多くの組織は、レイヤ3やレイヤ4のデータをセキュリティチームに安定的に供給している。しかし、限られたコンテキストしか持たないこのデータから、現代の攻撃について本当に何がわかるのだろうか?残念ながら、それほど多くはない。
それがネットフローだ。
もともとネットワーク・パフォーマンス管理のために設計され、セキュリティのために再利用された NetFlow は、フォレンジック・シナリオで使用すると失敗します。欠けているのは、ポート、アプリケーション、ホストのコンテキストのような属性で、これらは脅威ハンティングやインシデント調査の基礎となるものです。接続そのものに深く入り込む必要がある場合はどうするのか?WannaCryランサムウェアの主な感染経路であるSMBv1接続の試行があったかどうかを知るにはどうすればよいでしょうか。ホスト間にポート445の接続が存在するかどうかは分かるかもしれないが、プロトコルレベルの詳細がない接続をどうやって確認するのだろうか?
できない。それがNetFlowの問題点だ。
PCAP:多すぎる
フォレンジック後の調査で使用されるPCAPは、ペイロード分析や、攻撃の規模と範囲を決定し悪意のある活動を特定するためのファイルの再構築に便利です。
しかし、GartnerのアナリストであるAugusto Barros、Anton Chuvakin、Anna Belakが2019年3月18日に発表したリサーチノート「Applying Network-Centric Approaches for Threat Detection and Response」(ID: G00373460)で書いているように、"数年前、ネットワーク・フォレンジック・ツール(NFT)は生のパケットを大規模に収集しようとしていたが、今日の高速ネットワークによって、このアプローチはほぼすべての組織にとって非現実的なものとなった。」
Security Intelligence誌に掲載されたフルPCAPの分析によると、最もシンプルなネットワークでは、PCAP用にペタバイトとは言わないまでも、数百テラバイトのストレージが必要になるという。そのため、法外なコストがかかることは言うまでもないが、PCAPに依存している組織では1週間分以上のデータを保存することはほとんどなく、大規模なデータレイクがある場合には役に立たない。また、セキュリティ・オペレーション・チームが侵害されたことを数週間から数カ月も把握できないことが多いことを考えると、1週間分のデータでは不十分です。
さらに、大規模なデータセットでフォレンジック後の調査を行う場合、パフォーマンスが大幅に低下する。なぜ、PCAPを保存するためにお金を払う人がいるのだろうか?
ネットワークのメタデータちょうどいい
ネットワークメタデータの収集と保存は、データレイクとSIEMにとってちょうど良いバランスを保っている。Barros、Chuvakin、Belakの3人は、同じリサーチノートで次のように書いている。「したがって、リッチなメタデータとファイルキャプチャは、はるかに低い計算コストとストレージコストで、はるかに優れた調査価値を提供します。
Zeek フォーマットのメタデータは、ネットワーク遠隔測定と価格/性能の適切なバランスを提供します。セキュリティ検知や調査のユースケースに関連するトラフィック属性(接続 ID 属性など)を持つ、豊富で整理され、容易に検索可能なデータが得られます。メタデータにより、セキュリティ・オペレーション・チームは、データを照会し、より深い調査につながるクエリを作成することもできます。そこから、より多くの攻撃コンテキストが抽出されるにつれて、徐々に的を絞ったクエリを構築することができます。
また、PCAPにありがちなパフォーマンスやビッグデータの制限もありません。ネットワークメタデータは、PCAPと比較してストレージ要件を99%以上削減します。また、適切なPCAPを選択的に保存することができ、メタデータベースのフォレンジックが関連するペイロードデータをピンポイントで特定した後にのみPCAPを必要とします。