RSA Web Threat Detection：革新的かつ効率的なオンライン脅威の検出

Transcription

1 RSA Web Threat Detection ( 旧製品名 RSA Silver Tail) 革新的かつ効率的なオンライン脅威の検出 変化する脅威の状況 脅威の状況は絶えず変化し 脅威解決は困難の一途をたどっています 現在 組織が攻撃を受けやすい脅威には 以下が挙げられます アカウントの盗難 パスワード推測 中間者攻撃 (Man-in-the-Middle Man-in-the-Browser) HTMLインジェクション ビジネス ロジックの悪用 悪意や窃取の意図を持ってWebサイトを使用 ( ロイヤリティ ポイント プログラムやショッピング カート機能の悪用 不正なアカウント設定など ) 大量のページ要求によりサーバーに負荷がかかり サイトのダウンを引き起こす原因となるアプリケーション層での DDOS 攻撃 オンラインの不正行為を特定する 複雑なサイバー攻撃や不正行為により 組織は年間何十億ドルものコストを負担しています こうした攻撃の多くはWEBやモバイル チャネルの正規機能を悪用し ユーザー アカウントの乗っ取り 金銭詐欺 情報の窃取をはじめとする不正行為を行います 訪問する利用者が1 日で非常に多いWEBサイトの場合 正当な利用者と犯罪の意図を持った利用者との違いを見分けることが困難になりがちです つまり すべての利用者について サイトでの行動を常に監視することは実質的には不可能です サイバー犯罪者は 自分自身およびサイトでの活動を 正当な利用者と正当な活動の中に埋没させて目立たせなくします それゆえ組織がこの種の攻撃をリアルタイムで検出することが非常に難しくなります 実際に攻撃されてから攻撃の原因を探るには ログをはじめとする従来のデータを信頼しなければなりません これでは不正行為が検出される率は低く 手操作での確認に高いコストを要し 脅威への露出が増えることになります RSA Web Threat Detectionは WEBサイトにアクセスする一般的な利用者の行為とは異なるオンライン上の異常行為を検出することにより 不正利用を特定します これにより 情報セキュリティチームと不正対策チームは 干し草の中の針のように発見がほぼ不可能なサイバー脅威の特定よりも 悪影響を及ぼし得る無防備な利用者に注意を払うことに重点を置くことができます サイト攻撃の準備として サイトの構造とセキュリティの脆弱性について できるだけ多くの情報を集めるサイトやアーキテクチャの偵察 通常 自動化スクリプトを利用して Webサイトから大量のデータをコピーして実行されるサイト スクレイピングとインベントリー スクレイピングやデータの窃取 モバイル セッションの乗っ取りなどのモバイル チャネル脅威 RSA Web Threat Detectionで正規利用者と不正利用者の違いを見分ける RSA Web Threat Detection は 正当な利用者と不正な利用者を区別する Web セッション インテリジェンスを通じて 脅威が絶えず変化し解決の難易度が上がり続けても 組織はこの状況からもたらされる課題に対応できるようになります Webセッション インテリジェンスとは 利用者がWebページの任意のオブジェクトをクリックするたびに作成されるクリック ストリーム データから収集した実行可能な情報です 利用者がサイトにどのようにアクセスしているかをリアルタイムで可視化し 脅威の可能性があるものにリアルタイムで対応できるようになります

2 不正利用者は自身の行動で正体を明らかにする 不正利用者は 正当な利用者とは異なる行動をとります サイトを移動する速度や サイトへのアクセス元を比較すると行動が異常であることが明らかになります また 自分の存在を示すIPアドレスやユーザー エージェント ストリングなどの明白な痕跡も残します RSA Web Threat Detectionは こうした異常行為をリアルタイムで検知することから リアルタイムでの対応が可能となります たとえば 個人が特定のIPアドレスからログインした場合 そのIPアドレスが We bセッション中に表示される唯一のものであるはずです しかし セッションが乗っ取られると 同じセッション中に第 2 IPアドレスも表示されます これと同様に 2 個のIPアドレスの両方が米国と関連付けられていて 常時どちらか一方からアカウントにアクセスしている既知の利用者の場合を考えてみます このアカウントが中国にある第 3 IPアドレスからアクセスしてきた場合 特に米国のIPアドレスが活動を開始直後にアクセスしてきた場合は アカウントのなりすましを暗示している可能性があります 通常以外のページ遷移シーケンスも不正行為の可能性があります たとえば Eコマースのサイトでは 利用者は通常 関心のある商品ページ間をランダムに移動して ショッピング カートに商品を入れていきます しかし ページをアルファベット順に移動している場合 この利用者はボットにコントロールされている可能性があります 同様に新規アカウント登録ページに通常と異なるアクセスがあった場合 ビジネス ロジックが悪用されている恐れがあります 通常 1 個のIPアドレスで設定される新規アカウントの数は1 個か2 個で 登録フォームに入力する情報の量にもよりますが 設定にかかるのは1 分程度です ところが1つのWebセッション中に数百あるいは数千ものアカウントが数分以内に設定された場合 ボットによる活動を示すものと考えて間違いありません RSA Web Threat Detectionはこうした異常な行為を検知し 脅威が攻撃に変わる前に停止することができます

3 WEB セッション インテリジェンスを使用して異常行為を検知する RSA Web Threat Detectionは 異常行為の検知をサポートする行動プロファイルを設定します 行動プロファイルは サイトでの正当行為を構成する要素を反映し 利用者のページ遷移による行動経路に基づいてダイナミックに構築します これにより 不正行為やビジネス侵害行為を明らかにすることができます RSA Web Theat Detectionはクリック ストリーム データを収集 分析し プロファイルの構築に役立てます プロファイルに従っていない行動には 不審行為としてフラグをつけます RSA Web Threat Detection lのルール エンジンは 多種多様な脅威に対応できます さらに 利用者単位で過去の行為と現在の行為を比較できます たとえば 通常は米国のボストンエリアの2 個のIPアドレスのどちらか一方でログインしている認証済みの利用者が 突然東ヨーロッパの認識されていないIPアドレスからログインした場合 赤のフラグがつけられます これはすべてリアルタイムで実行され リアルタイムでの対応が可能です ダイナミックに更新されるプロファイルを使用してオンライン脅威を検知する方法は 不正行為を示すとされる活動や一連のイベントを直観しようとする従来のアプローチとは大幅に異なり 異常行為を明らかにすることができます この方法は 正当な使用を構成する要素が サイト間 または同じサイト内でも日によって若干異なる場合がある環境に欠かせません ストリーミング解析によるインテリジェントな脅威の検出 RSA Web Threat Detectionは 変化する利用者の行為に適応できるように自己学習します 非常に多くのデータ プロファイルを収集し 新しい行為に迅速に対応します 個々のユーザー セッションの行為をプロファイルと比較し 脅威のスコアを計算します 脅威のスコアで 関連するリスクをもたらす恐れのある異常行動を明確に示します 脅威のスコアはクリックごとにリアルタイムで計算されます IPと利用者の脅威のスコアはわかりやすくグラフ化され ランクづけされます これで新たな脅威を一目で特定し 迅速に対応することができます スコアはリアルタイムで計算されるため ルールで使用することもできます たとえば 中間者攻撃 (Man-in-the-Browser) やパラメータ インジェクション スコアが特定のしきい値を上回ると自動的にアラートを送信することができます サイトの正当な使用を特徴づける行為と利用者の行為との比較により 異常で不正な可能性のある行為に関して注意を向けることができます そして不正活動や脅迫的活動を際立たせることができます RSA Web Threat Detectionlのリアルタイムな脅威の検出機能は クリック ベースでリアルタイムで脅威のスコア計算が使用できるプラットフォーム ストリーミング解析で強化されます ストリーミング解析を使用すると 情報セキュリティチームと不正対策チームは不正な可能性のある利用者に関し 注意を向ける必要がある情報を得て 脅威の検出と抑制を速めることができます

4 RSA Web Threat Detectionが選ばれる理由 RSA Web threat Detectionは 従来のセキュリティ ソリューションと比べ 数多くの利点を備えています カスタマー エクスペリエンスやサイトのパフォーマンスが低下しない -ポート ミラーリング用にSPANポートを活用します 収集されたすべてのデータは 監視と解析のためリアルタイムで専用サーバーに送られます 自己学習型のリスク エンジン - 自己学習型のリスク エンジンは サイトのトラフィック パターンに応じて行動プロファイルを常に更新します 異常 ( かつ不正の可能性がある ) 行為を構成する要素は時間の経過とともに変化 -プロファイルをダイナミックに更新することにより こうした変化に対応します 異常行為のリアルタイム検出 - 脅威をリアルタイムで検出すると リアルタイムでの対応が可能となります ファイアウォール SIEM 認証ツールにアラートを素早く送信することができるため 迅速な処置を実行できます 即座に反映 -オンライン脅威の検出にビッグデータを活用します クリックごとに監視と解析を実施するため 行動プロファイルの作成を即座に開始できます 迅速な導入 - 多くの場合 1 日未満で導入できます 高い拡張性 -1 秒あたり330,000 回を上回るSSLハンドシェークを処理します 多様なオンライン脅威と攻撃の防止 検出 対応に関する組織の機能を大幅に強化します 不正対策チームや情報セキュリティチームの作業に対応脅威の検知方法を簡易化 RSA Web Threat Detectionのインテリジェントでインタラクティブなユーザー インターフェイスにより 脅威を即座に特定し その原因を把握できます インシデントのキューは異常の理由を即座に特定できるルール名を含んでいる クリック ストリームの異常を理解しやすくするサマライズ機能 インタラクティブな地理的空間マップにより トラフィックが集中している場所を表示 脅威の調査を促進 RSA Web Threat Detectionには 調査と解析を掘り下げて効果的にサポートするタスク主導の効率的なワークフローが用意されています インシデント キューには優先順位がつけられ ナビゲーションが容易なため 迅速に対応することが可能 クリック単位でのインシデント調査には 必要とするすべての要素が1つの画面にまとめて表示され より詳細な洞察と効率的な解析を行うことが可能 堅牢なトランザクション検索とインシデントのフィルタリングにより 調査作業が高速化 最新データのビジュアル化とクリック ストリーム解析により より高度な解析をサポート RSA Web Threat Detection RSA WEB THREAT DETECTION FORENSICS オンライン脅威検出システムの中核がForensicsです Forensicsを利用して サイトでアクティブなすべてのWebセッションについて クリック単位ですべてのHTTP/HTTPSデータを監視し 包括的なWebセッション インテリジェンスとコンテキストをリアルタイムで提供します 次に Forensicsの自己学習型リスク エンジンはこのデータを使用して集団ベースの行動プロファイルを作成します 個々の利用者の行為がこのプロファイルと比較され 異常な行為にはフラグがつけられます RSA WEB THREAT DETECTION MITIGATOR Mitigatorはリアルタイム ルール エンジンです Mitigatorでは 多種多様な脅威への対応方法を設定するだけでなく 組織や他のカスタム ポリシーを適用することもできます Mitigatorは既存のインフラストラ クチャと統合できるため 脅威の可能性のあるものと実際に脅威として認識されたものの両方について 総合的に柔軟に対処することができます Mitigatorのルール エンジンの機能 リアルタイムの脅威スコアをルールに使用する機能 ( 例 : 中間者攻撃のスコアが 90 以上の場合 インシデントを作成する ) Webサイトのページごとにルールをコード化しなくてもすべてのページにルールを導入できるクリック単位のルール ルールの所有者 機能グループ メンバーシップ 脅威の種類などを特定し レポート機能を強化するルール タグ

5 ある行為がルールに違反した場合 情報セキュリティ チームと不正対策チーム とファイアウォール SIEM 認証ツールにもアラートが送信されるアラートの 自動生成 応答時間は 2 ミリ秒以内で 真のリアルタイム応答をサポート 規則に関するより細分性の高い制御のためのタイム スタンプを適用 ( 例 : 通常の営業時間外のみ ) RSA WEB THREAT DTECTION PROFILE ANALYZER Profile Analyzerは 正当で脅威のない利用者の証明書を盗んだり Webセッションを乗っ取ったりした人物によって行われる不正活動を防止できます Profile Analyzerは サイト全体のプロファイルを構成するのとほぼ同様に 利用者個々の行動プロファイルを構成します 既知の利用者がアカウントにログインすると 現在の行為を過去の行為と比較して差分を記録します Profile AnalyzerはMitigatorと統合され ルール エンジンを活用して既知の利用者のアカウントで生成された脅威に対応することができます 個々のIPアドレスと利用者にドリルダウンし 詳細な表示を得ることもできます EMCジャパン株式会社 RSA 事業本部 TEL [email protected] EMC2 EMC EMCのロゴ RSAおよびSilver Tailは EMC Corporationの登録商標または商標です その他のすべての名称ならびに製品についての商標は それぞれの所有者の商標または登録商標です Copyright 2013 EMC Corporation. All rights reserved. WTD SO H J