セキュリティ・ミニキャンプ in やまなし 一般講座に参加した (後半)
まただいぶ日が経っちゃった。
大学関連でバタバタしてしまった。
偽装テクノロジを利用して高度な攻撃活動を検知 〜侵入した攻撃者を騙すテクニックとは〜
ガートナーという米最大手IT調査機関が毎年7月とか10月頃にセキュリティに関する10大トレンドみたいなものを発表しているらしい。今年のも出ているのかな?
偽装テクノロジ(Deception)、今まではハニーポットくらいしか聞いたことなかったな。攻撃者の識別プロセスを妨害したり除外したりして、攻撃者の活動の遅延や攻撃の検出、自動化ツールの中断などを行うべくデザインされた策略、囮またはトリックを使用したものと定義されるそう。エンドポイントやネットワーク、アプリケーション、データなどスタック内の複数のレイヤで実装される。
欺瞞情報のカテゴリー、15種ほどあるみたい。
インテリジェントウェイブ(IWI)社所有のセキュリティソリューションから、illusive networks社のDeceptions Everywhereについてのお話。
イスラエル国防軍のサイバー部隊で8200部隊というものがあって、そこ出身の人たちが設立したサイバーセキュリティ企業がTEAM8というもので、illusive networks社の母体。
Deceptions Everywhereは高度な技術者による巧妙な標的型攻撃に対抗する。これはマルウェアみたいに不特定多数を対象にばら撒かれるような攻撃とは違う。
サイバー攻撃が二極化しているというお話もあった。強い技術者がターゲットにピンポイントで攻撃する。人がマニュアルで攻撃する。事前対策は難しそう。攻撃された時にその攻撃を成功させないための技術って大事だなと思った。まずは検出!
サイバー攻撃対策のパラダイムシフト セキュリティ運用にAI&サービスを活用すべき理由
NECでは未知のマルウェア検知システムで標的型攻撃メールの68%を検知しているそう。未知の検知ってすごいな。
NECが提供するセキュリティサービスの中からセキュリティ異常検知サービスについての紹介。これは、AIによる自己学習型システム異常検知技術を検知エンジンとして搭載したEDR (Endpoint Detection and Response) サービスとのこと。
エンドポイントを常に監視していて、普段とは違う通信などがあったら通知してくれる。各通信をポイント同士を結ぶ線で表して、異常かもしれないところは違う色の線で表示される図を見せてもらった。可視化って大事だなと思った。バックトレースで画面に表示されていく様子の動画も見せてもらった。
攻撃がどんどん高度になっていき、人がやらなくてはいけない対処の量も増えていってるそう。AIの活用で効率を上げることができる。
やっぱり事前検知にも限界があるので、すでにシステムにマルウェアが侵入している前提でそれを被害が出る前に検知し対処することが重要。
セキュリティ・キャンプ紹介
- セキュリティ界隈では低レイヤー技術が求められている
- 手を動かして深く掘り下げることが大切
- 実績を作って示すことが大切
低レイヤー技術ってどんなものだろう?
メモ
- APT:Advanced Persistent Threat
高度で持続的な攻撃。特定のターゲットに侵入したあと、しばらく潜伏して情報を集める。そしてその情報を使って偽装する。見破るのは難しい。 - クレデンシャル:IDとかパスワードとか認証に使われる情報のこと。
- シグネチャー:電子文書の署名のこと。セキュリティソフトにおける既知の不正侵入を検知するためのパターンファイルのこと。
- ガートナー:8月にハイプサイクルが発表されたとのこと。
- エンドポイント:ネットワークに接続された端末の総称。クライアントを指すこともある。
- サンドボックス:攻撃されても問題ない仮想環境(砂場)を用意してその中で怪しいファイルを実行して分析を行う手法。
おまけ
どうやら留年が決まったみたいです…。考えなければいけないことがたくさんあって本当にどうしようという感じで、まずは落ち着けと自分に言ってみるけれどうまくはいかない。今後学生生活が1年のびて、かつ自由に使える時間が増えることが決まったら、大学の専門とか関係なくじっくり勉強したり開発したりできたらいいなと思います。金銭的な問題が大きくて頭を抱えているところです。