プロフィール名前 : 満永拓邦 ( みつながたくほう ) 所属 : 東京学情報学環セキュア情報化社会寄付講座 (SiSOC) 特任准教授 JPCERTコーディネーションセンター早期警戒グループ技術アドバイザー業務 : セキュリティに関する情報の収集分析発信外部の組織や企業の経営層やシステ

Size: px

Start display at page:

Download "プロフィール名前 : 満永拓邦 ( みつながたくほう ) 所属 : 東京学情報学環セキュア情報化社会寄付講座 (SiSOC) 特任准教授 JPCERTコーディネーションセンター早期警戒グループ技術アドバイザー業務 : セキュリティに関する情報の収集分析発信外部の組織や企業の経営層やシステ"

ありさめいこ
5 years ago
Views:

1 Big Data Analysis for Cyber Security Takuho Mitsunaga, The University of Tokyo 1

2 プロフィール名前 : 満永拓邦 ( みつながたくほう ) 所属 : 東京学情報学環セキュア情報化社会寄付講座 (SiSOC) 特任准教授 JPCERTコーディネーションセンター早期警戒グループ技術アドバイザー業務 : セキュリティに関する情報の収集分析発信外部の組織や企業の経営層やシステム管理部との連携セミナーや学などでの講演活動セキュリティ関連調査のレポート執筆サイバー攻撃からビジネスを守る監修 / 共著情報セキュリティ書 2013 分担執筆 CSIRT: 構築から運まで共著

3 東京学情報学環セキュア情報化社会研究寄付講座とは産官学連携により安安全なインターネット環境構築に資する研究を実施する産官学の協の下に広く材を糾合し実際にじている社会的かつ国際的な課題に対し然科学的なアプローチのみならず社会科学的なアプローチも取りれ調査研究をいその検討結果を広く情報発信セキュリティをはじめとするサイバー空間に関する課題について巨視的期的視座から学際的研究材育成政策提を推進 3

4 アジェンダ 1. サイバーセキュリティ動向 2. Big Data/Machine Learning Security 3. 研究紹介 4. まとめ

5 サイバーセキュリティ動向

インシデント発状況 (1) 情報技術の進歩とともに攻撃法や傾向は変化し続け定数のインシデント ( セキュリティ事故 ) が発し続けているインシデント報告件数 35000 30000 25000 20000 15000 10000 5000 0 年間報告件数の推移 20019 29191 22255 17342 8485 2011 2012 2013 2014 2015 年度般社団法

6 インシデント発状況 (1) 情報技術の進歩とともに攻撃法や傾向は変化し続け定数のインシデント ( セキュリティ事故 ) が発し続けているインシデント報告件数年間報告件数の推移年度般社団法 JPCERT コーディネーションセンター (JPCERT/CC ( ジェーピーサートコーディネーションセンター )) 6 経済産業省からの委託事業としてコンピュータセキュリティインシデントへの対応援国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応などを通じセキュリティ向上を推進インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する我が国の窓となる CSIRT

7 インシデントの発状況 (2) 様々な種類のインシデント事故が発している 0.9% 0.2% 8.7% インシデント分類別件数の割合 (2015 年年 3 ) DoS/DDoS 1.2% 3.3% 49.9% 14.0% Web 21.9% 7

8 インシデント発の背景 IT の社会インフラ化 - 企業活動の IT 化 - 電商取引の発展 - 制御系システムへの利インターネットの世界的な普及 - ボーダレスの通信 - 物理的な追跡困難性攻撃インフラの整備 - 攻撃ツールの進歩 - 分業化された攻撃集団サイバー攻撃は増加が予想される為各組織での対応体制が必要 8

9 Big Data/Machine Learning Security

10 機械学習の利例 Monitoring and Attack Detection 量の通信データ等に対し分析可視化をうことで異常通信などを検知 ex. Elasticsearch, Kibana

11 機械学習の利例 Antivirus Protection 機械学習やビックデータに基づく新たなタイプのウイルス対策などが開発されている既存のシグネチャマッチングと較して新種のマルウエアの検知能が向上するとわれる

12 機械学習の利例 Big Data for Security Audit ビックデータ処理に基づき監査プロセスでの異常を検知する

13 研究の紹介

14 モチベーションビックデータや AI とセキュリティは相性が良く新しい技術も登場しているただしユーザにとって容易でない内容のため活するための学習コストが必要となる場合も多いアンケート等ではを期待する声も多いがビックデータを利するためには分に訓練された間が必要になるケースもある ( 間のを減らすために間に対する教育が必要?) Which of challenges does your organization face? 1. Lack of Adequate staffing in security operation(39%) 2. Too many false positive responses(35%) 3. Incident detection depends upon too many manual processes(29%) [1] EMC, "The Big Data Security Analytics Era is Here", 2013

15 インシデント対応プロセスアメリカ国標準技術研究所 NIST SP に基づくインシデント対応において以下のフェーズで Big Data や機械学習の分析を活する 1. 検知フェーズネットワーク機器等のログに対する機会学習 2. 分析トリアージフェーズマルウエア感染時の脅威度判定 3. 封じ込め根絶フェーズ脅威度による動封じ込め 1 5 準備検知分析トリアージ封じ込め根絶修復教訓

16 検知フェーズでは Proxy で取得する複数の通信に対して White, Gray, Black に分類することを試みる White site (google, amazon, FB) (1) (2) (3) Gray site (1) (2) (3) Black site (1) (2) (3) Internal Proxy

17 分析前提 malicious に通信している端末は 100% マルウエアに感染しているマルウエアに感染している端末は malicious 以外の safe や gray にも通信する malicious に通信していない場合でもマルウエアに感染している可能性がある定義ユーザの端末をU(1), U(2),,U(m) と表現する通信先全体を C(1),C(2),,C(n) とし Safe, Gray, Malicious を W, G, B とする分析ユーザ端末と通信先の関連性をることで Gray の中に Malicious が存在するかを調べる

18 通信状況の把握ユーザ / 通信先 C(1) C(2) C(3) C(4) C(5) C(6) C(7) U(1) U(2) U(3) U(4) U(5) U(6) C(1) U(1) C(2) C(3) C(4) C(7)

19 悪意ある通信の類似性探索ユーザ / 通信先 C(1) C(2) C(3) C(4) C(5) C(6) C(7) U(1) U(2) U(3) U(4) U(5) U(6) C(1) U(1) C(2) C(3) C(4) C(7)

20 インシデント対応プロセス NIST SP に基づくインシデント対応において以下のフェーズで Big Data や機械学習の分析を活する 1. 検知フェーズネットワーク機器等のログに対する機会学習 2. 分析トリアージフェーズマルウエア感染時の脅威度判定 3. 封じ込め根絶フェーズ脅威度による動封じ込め 2 0 準備検知分析トリアージ封じ込め根絶修復教訓

攻撃者の分類攻撃の的をもとに攻撃者を分類するとそれぞれの攻撃法や技術が異なることが推察できる愉快犯 / ハクティビスト銭的の攻撃者標的型攻撃の実者攻撃の的 - 政治的な主張 - 技術のアピール - 銭の獲得 ( 不正送 ) - 標的とする組織内の重要情報窃取やシステム破壊主な攻撃法 - Web サイトに対する DoS -

21 攻撃者の分類攻撃の的をもとに攻撃者を分類するとそれぞれの攻撃法や技術が異なることが推察できる愉快犯 / ハクティビスト銭的の攻撃者標的型攻撃の実者攻撃の的 - 政治的な主張 - 技術のアピール - 銭の獲得 ( 不正送 ) - 標的とする組織内の重要情報窃取やシステム破壊主な攻撃法 - Web サイトに対する DoS - 政治的な主張を的とする Web サイトの改ざん - SNS アカウント乗っ取り - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 ( ただし攻撃対象のみに限定 ) 技術低 JPCERT/CC 早期警戒グループにて独に分類 21

22 度サイバー攻撃のインフラ分析事例 Emvidi と呼ばれる攻撃に関して共有情報や複数のオンサイト調査などを通じて得た攻撃関連情報 ( マルウエア C2 サーバなど ) を可視化ある時点で判明した全貌ひとつの調査で判明した攻撃 ( イメージ ) Note: The icons refer to the following indicators. : Domain name registrant : Domain name : Host name : File name : Network administration organization : IP address : Malware 22

23 FireEye, "APT28", 2016 Context Information Security, "Crouching Tiger, Hidden Dragon, Stolen Data", 2012 CrowdStrike, "Putter Panda", 2014 CrowdStrike, "DEEP PANDA", 2014 Kaspersky, "Energetic Bear Crouching Yeti", 2014 その他の事例 Security vendors published a report about a campaign or groups regarding targeted attacks

24 分類のためのデータ file Name, path, registry, communication etc.

25 分類既存のデータをいて検知された攻撃の脅威度を推定準備検知分析トリアージ封じ込め根絶修復教訓脅威度低脅威度愉快犯 / ハクティビスト銭的の攻撃者標的型攻撃の実者攻撃の的 - 政治的な主張 - 技術のアピール - 銭の獲得 ( 不正送 ) - 標的とする組織内の重要情報窃取やシステム破壊主な攻撃法 - Web サイトに対する DoS - 政治的な主張を的とする Web サイトの改ざん - SNS アカウント乗っ取り - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 ( ただし攻撃対象のみに限定 )

26 インシデント対応プロセス NIST SP に基づくインシデント対応において以下のフェーズで Big Data や機械学習の分析を活する 1. 検知フェーズネットワーク機器等のログに対する機会学習 2. 分析トリアージフェーズマルウエア感染時の脅威度判定 3. 封じ込め根絶フェーズ脅威度による動封じ込め 2 6 準備検知分析トリアージ封じ込め根絶修復教訓

27 SDN をいた動対応 SDN を活することにより脅威度に応じて動的に通信を区分けする Packet Capture/ Dynamic Blocking Normal Flow Anomaly Flow Proxy 分析サーバ SDN Controller

28 まとめ

29 まとめビックデータ関連や機械学習の技術がセキュリティに使われる事例が増加しており製品化も進んでいるしかしながらユーザや企業の理解が進んでいない分野であるため難しい内容ではなくシンプルかつ効果的なアプローチが必要だと考える今回の発表では我々の研究成果を組み合わせてアプローチを紹介した組織内の通信ログからマルウエア感染の疑いがある端末をつけ出しそれらの脅威レベルを過去のデータから動で判定して脅威度がい場合は動で通信を遮断する

Active Directory のログ調査の重要性 2018 年 4 月 26 日東京大学大学院情報学環セキュア情報化社会研究寄付講座

Active Directory のログ調査の重要性 2018 年 4 月 26 日東京大学大学院情報学環セキュア情報化社会研究寄付講座 1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ