不正行為を防止する 5 つの層 従来のアプローチ オンラインでの犯罪行為を検知し 解析する既存の解決策では 通常 認証前の脅威 ( 情報セキュリティ関連製品 ) または認証後の脅威 ( 不正行為関連製品 ) のどちらか一方を特定します 両方は特定できません 予防 IT 担当者は 担当者のサイトが直面

Transcription

1 ストリーミング解析で巧妙なオンライン攻撃を検出 ビッグデータを活用し ビジネス ロジック悪用の脅威をリアルタイムで検出するRSA Silver Tail セキュリティの専門家は サイバー犯罪者がeコマース システムから操作したり 情報を盗み出したりするために 自分たちの都合に合うように不正行為を巧妙化させていることを認識しています 従来のファイアウォールであるIPS/IDSと WAF(Webアプリケーションのファイアウォール ) は ネットワークとサーバーが悪用されていないかを監視するだけで オンライン ビジネスがWebサイトにアクセスしたユーザーの行動を把握する際にはほとんど役立ちません テクノロジーにこのようなギャップがあるため サイバー犯罪者はビジネス ロジックの悪用という新たな攻撃手法を活用する方向に変化しており ショッピング カート ログイン ファイルのダウンロードなどのWebサイトのビジネス機能にある欠陥を悪用する事態が起きています こうした高コストの脅威が大幅に増大しており IT 担当者の業務が極めて複雑になっています 攻撃者はサイトへのアクセスを確保すると 通常 合法的なWebページを使用して自分の企てを開始します 最先端のeコマース サイトで発生した最新の攻撃で見られたビジネス ロジックの悪用の例としては 以前セール対象だった商品にクーポンを使用するというものでした 多くの場合 セール期間が終了していても商品がまだショッピング カートに入っている場合 そのカートの商品にはセール価格が適用されます この小売業者の場合 クーポンはセール品に適用されませんが セール期間が終了すると クーポンを使用できるようになります セール価格が付いたまま 何百ものカートに入っている商品にクーポンがすべて適用され ( セール価格とクーポンが同時に適用され ) 大幅な値引きで決済されました Ponemon InstituteとRSA Silver Tail 1 のIT 担当者の最近の調査によると ビジネス ロジックの悪用により 業務担当者の90パーセントが売上を失ったと報告しており この種類の攻撃が 企業が直面している最も重要なセキュリティ上の問題であると回答者の88% が答えています 回答者の74% は Webサイトにアクセスしている 本当の お客様と犯罪者の違いを見分けるのは困難であるとも答えています 1 Ponemon InstituteとSilver Tailが2012 年に発表したWebセッション インテリジェンスおよびセキュリティ レポート : ビジネス ロジックの悪用に関するホワイト ペーパー エディション (2012 年 10 月 ):

2 不正行為を防止する 5 つの層 従来のアプローチ オンラインでの犯罪行為を検知し 解析する既存の解決策では 通常 認証前の脅威 ( 情報セキュリティ関連製品 ) または認証後の脅威 ( 不正行為関連製品 ) のどちらか一方を特定します 両方は特定できません 予防 IT 担当者は 担当者のサイトが直面する可能性のある攻撃の種類に関する知識を備えており 危険と推測されるトラフィックをブロックするため ファイアーウォールを使用したり ソフトウェアを書き換えたりすることができます ただし 現在のサイバー犯罪者が多用するビジネス ロジックの悪用は 予防的解決策の範囲外です ショッピング カート ロジックを悪用したり リベートや商品券アクションを操作したりすることによってコミットされる不正行為は正当なトラフィックと同時に発生します 検出 Gartner 社が最新レポート The Five Layers of Fraud Prevention and Using Them to Breat Malware で述べているように 企業システムから不正行為者を遠ざけるには 1 層の不正行為防止や認証では不十分です 最新の攻撃と まだ出現していない攻撃を防ぐには複数の層を使用する必要があります 2 リアルタイムで不正行為を検出する課題を解決するには さまざまな ビッグデータ ソースを収集し これを相互に関連づけて ユーザーの行為を把握する必要があります ただし 現時点の検出方法はこの目標に達していません 個々の行為について 全体の状況ではなく行為のパズルのピースだけしか調べません WAF(Web アプリケーションのファイアーウォール ) は トランザクションの署名を調査することはできますが 脅威の可能性があると以前識別されたトラフィックしかブロックしません SIEM( セキュリティ情報とイベント管理 ) ソリューションは ログ ファイルの限定データを使用し 異常と見なされる行為を探します こうしたソリューションは広範囲のトレンドやルール違反を識別することはできますが 異常行為と個々のユーザー セッションを相互に関連づけることはできません 調査 RSA Silver Tailには 第 2 第 3 第 5の層を1つのプラットフォームで使用することにより 不正な Webサイトの行動を検出する固有の機能があります 特定のトランザクションに確認用にフラグをつけることは不正行為の検出に通常使用される方法です この方法は サイバー犯罪者がブルート フォース攻撃や搾取したクレジット カードなどの情報を使用する際に使われます ただし 情報セキュリティ チームが疑わしいトランザクションを識別するために使用するデータは 複数のシステム間に分散することがあります たとえば Webサイト ログは Web 管理者 IPレベル情報はネットワーク チーム アカウント情報は運用チームに属します チームはWebサイト上でユーザー特定のセッションを見つけられないため 実際の使用活動にフラグをつけるインシデントを比較できません そのため調査担当者は行為に関する情報を得ることができません アトミック解析が使用できる統合アプローチが必要です 2 Gartner 社 Gartnerの見解では15% の企業が2014 年までに多層の不正防止を講じることになるであろう 2012 年 2 月 10 日 : 2

3 RSA Silver Tail のアプローチ データのセッション化 他のWeb 解析スイートと比較して RSA Silver Tailソリューションの主な差別化要因の1つに ユーザーのクリック ストリームを セッション化 する機能があります これは ユーザーがログインからチェックアウト / ログアウトまでナビゲートするため Webサイト上で行うクリックごとにグループにまとめられ ストリーム全体が ユーザーからクラウド ユーザー間 個々のストリームに基づいた解析に使用できることを意味します これは Silver Tapから始まる多くの革新的なコンポーネントによってリアルタイムで実行されます Silver Tapはデータセンターのサーバーにインストールするソフトウェアです Webサーバーからトラフィックをミラーリングするために構成されたSPANポートからパケットを取得します この方法で導入を設計すると Silver TailをWebサーバーと完全に分離することができます エンド ユーザーに関する接続性の問題のレーテンシーまたは増大するリスクには影響しません 次にSilver Tapはパケットをフィルタ処理し 再アセンブルして TCPペイロードを抽出します その後 プロトコル スタックのすべてのレベルのトラフィックに関して重要な属性を抽出し メトリックを作成するため HTTP や HTTPSなどの複数のプロトコルを解析します この作業が完了したら ログ スコア レポートなどのSilver Tail 実行タスクの他のコア要素に提供する結果メッセージがメッセージ バスに置かれます Silver Tapの構成中に Silver Tailはセッションcookie ログインとログアウトのページURI UID SSL 証明書またはHSM 情報などを定義するパラメータなどの項目と コンプライアンスの理由で収集されないようにするためにハッシュまたはトランケートの必要がある個人情報などの項目を定義します Silver Tapは インストール後ただちに全トラフィックの調査を開始します ただし Silver Tapの占有量を制限するため Silver Tapで無視するように構成されている項目だけでなく イメージ コンテンツやビデオ コンテンツなど 目的で必須ではないすべてのデータについても調査を除外します 次に 極めて効率的な圧縮 インデックス作成 ストレージ メカニズムによりデータが処理され Silver Tailソリューションが解析 レポート生成 アラート生成の各機能のすべてを実行できるようになります 保存対象のデータは 検索と解析を容易にするため保存され インテリジェントに分離されるため こちらも製品の主な差別化要因の1つです 1. IP ポートを含む6 個のTCPトランスポート接続属性と EPOCHから数百マイクロ秒まで短縮するタイム スタンプ 2. TCP 接続と相対的なTCPデータ パケット序数の範囲を含む5 個のTCP 要求 / 応答属性 3. サーバー証明書のSHA-1フィンガープリントを含む7 個のSSL/TLSトランスポート接続属性 4. TLSレコードの合計サイズ ( バイト単位 ) を含む3 個のSSL/TTL 要求 / 応答属性 3

4 上位 10 社の小売業者は RSA Silver Tailを使用して不正行為を停止し 生産性が向上北米地区の上位 10 社のオンライン小売業者は オンライン操作で年間 1 億米ドルを超える利益を生み出しており eコマースwebサイトでの不正活動の特定と停止を即座に開始し RSA Silver Tail Forensicsソリューションを使用して生産性を向上することができました Forrester Research 3 社により最近作成されたTotal Economic Impactレポートによると 小売業のセキュリティ チームは異常活動を特定するため 手動プロセスに多くの時間を使いすぎています 既存の不正対策システムは IPアドレスがプロキシ経由で処理された場合 またはドメイン所有者がマスクされている場合は 不正を検出できないため セキュリティ チームにログ ファイルを入念に収集し 再構成するように指示します RSA Silver Tailプラットフォームの導入から6 時間以内に 小売業はサイト検知 ターゲット ディレクトリ攻撃 価格のサイト スクレイピングなどの異常行為をWebサイトで検出します これは従来の不正行為検出システムでは特定できなかったものです さらに 初回の検出では 小売業者のセキュリティ チームがWebセッション全体を詳細に表示し Webサイト上のすべてのIPアドレスまたはユーザーごとにすべてのクリックを確認できます 不正な商品券の取得 電話によるリベート 小売店のWebサイトに偽の商品を掲載するなどの犯罪活動で チームが売上を失わないようにすることができます 小売業者は過去 3 年間で72パーセントのROIを実現し 最初の1 年間だけで400 万ドル以上の利益を計上しました 5. HTTP 属性 : a. 上記 4. などのTCP cxnの開始と相対的なhttpメッセージ序数 (1ベース 2 回リスト ) b. メソッド (GET POST HEADなど ) c. ステータス コード d. HTTPプロトコル バージョン e. URL f. HTTPヘッダー g. GET 引数とPOST 引数 6. 管理者が構成できる複数のカスタム抽出属性これにより 不正行為の解析者はWebサイト上のトラフィックに関連するすべてのデータについて 解析または規則を実行することができます 自動化スコアリング エンジンの場合 そのブリーディング エッジ ストリーミング解析 ( 本紙の後半で定義 ) をエンジンでもリアルタイムで実行します 脅威のスコアリング RSA Silver Tailスコアリング エンジンは 適正な動作を示すクラウドの動作に基づき 統計モデルを構築します 次に 各使用セッションをこのモデルと比較し 適正な動作に適合するかどうか 異常行為に該当するかどうか解析します このリアルタイム ストリーミング解析はレーテンシーなしで実行されます さらに メモリ内の数百の属性から構成される詳細なトラフィック プロファイルを保存できます そのため 次のスコアをクリックごとに計算できます 速度 : 自動化エージェントによる攻撃特徴は ページ遷移が異常に高速化することです こうしたページ移行率 つまり速度は 不正なユーザー行動の可能性を識別するために使用されるスコアの中に含まれます サイトのすべての訪問者の集合間で個々の移行スピードを測定し 次にこれらの基準から特定の訪問者の相違を計測してスコアを作成します 動作 : このスコアは 通常のWebサイトへのアクセス パターンに従っていないコンピュータ ベースの攻撃または指向性攻撃と関連している場合がある異常に頻繁な活動を識別します セッションのナビゲーション シーケンスと他のすべてのセッションとの違いを測定します ナビゲーション シーケンスはページ移行回数を単位に計測されます 個々のページ移行の回数をすべてのセッション間の同じページ移行の回数に対する基準と比較し 特定のセッションと基準がどの程度異なっているかを定量化するスコアが作成されます パラメータ : GETまたはPOSTから実行されるパラメータが希少であるかどうかを解析します 高レートのパラメータはハイスコアが与えられます 通常は存在しないパラメータが実行されると エンジンは異常を検出し 検出された異常に基づいてスコアをつけることができます プロファイル : これらのスコアは行為スコアと同じロジックに従います ただし 一定期間はユーザーの履歴と比較されます この期間は多くの場合 管理者のストレージの選択によって定義されます 4

5 MiB( 中間者攻撃 (Man in the Browser)): 中間者攻撃はユーザーのブラウザ内またはユーザーのマシンで作動する不正なコードで実行され ユーザー セッションの期間内で作動します このスコアは ページ トランザクションのパターン ユーザーに関連づけられているすべてのアクションの地理的位置 ユーザーから収集したアクションのスピードをトランザクションの他の複数要素と同時に考慮して計算されます MitM( 中間者攻撃 (Man in the Middle)): MitM 攻撃の特徴は 攻撃者が別のユーザーのWebセッションにアクセスし このセッションを悪用するということです たとえば ユーザーが自分のバンキングWebサイトにログインしている間に 悪意のあるユーザーが別のシステムからこのセッションにログインする例があります このサイバー犯罪では ユーザーがこうした行為にまったく気付いていない間に送金が行われます 別々のIPアドレスからサイトに同時かつ重複したアクセスがあったことで検出されます このパターンが識別されると アクセスに同じユーザー エージェントが報告されているかどうか トランザクションが地理的に離れたIPアドレスから発生しているかどうか アクセスにログイン ページが含まれているかどうか などの一連の点がスコアから差し引かれます これらを差し引くことで 疑念が少なく問題のないIPアドレスの変更を識別し 重要視しないことができます これらを差し引いてもスコアが高いトランザクションは中間者攻撃 (Man in the Middle) の可能性があると考えられます セッション タイムアウト 解析ウィンドウ モデル ウィンドウ ( 解析ウィンドウの 2 倍以上 ) 減衰データ モデル スコアの生成に使用されたベースライン データはデータ モデルとして格納されます データ モデル例として 値が ある商品名 の特定の属性を含むトランザクション数などで すでにトラッキングされた情報です 2つのパラメータで構成される段階的な一次再帰線形フィルタにより モデル フレームの期間が制御されます 構成中に次の属性を設定できます 頻度に寿命を設定し 時間データの量を示す他のモデル値を収集し 現在のプロファイルの更新に使用する必要があります 次に 減衰因子が設定されます これは 時間経過を伴う比較を行うため データの強度の数学的低下についての時間量を設定することで機能します これは最新データに最も強い強度を指定するように実行されます 両方の属性を定義する最適な方法は 使用可能なコンピューティング リソースと サイトのダイナミック特性によって異なります カウンタの減衰が0に達すると そのレコードは古い情報が際限なく増えないように除去されます 3 Forrester Research 社の 2012 年 8 月発表の Silver Tail の Total Economic Impact 5

6 解析ウィンドウ 解析ウィンドウは 脅威のスコアを計算するために最新のデータ モデルを解析し 比較するトラフィックの一部を示す時間のスライド ウィンドウです リアルタイム使用状況では 解析ウィンドウはすぐに終了します セッションは解析ウィンドウ内のすべてのトランザクション スコアの合計として計算されます 個々のセッションに対して セッション内からカウンタを比較していることを確認するには このウィンドウをWebサイト上のユーザーの平均セッション時間にできるだけ近い値に設定する必要があります モデル フレームと解析ウィンドウは大部分が独立しています モデル フレームは解析ウィンドウ内のトランザクション スコアの計算に使用する集合データを指定します モデル フレームのデータの減衰によるデータ モデルへの変更は 解析ウィンドウの計算にほとんど影響を及ぼしません ただし セッション自身よりも常に大きい解析ウィンドウよりも モデル フレームが大きくなっている期間が必要です モデル フレームの期間は Nyquistサンプル基準を満たすため 少なくとも解析ウィンドウの2 倍である必要があります ベスト プラクティスとしては モデル フレームを Webサイトの1 時間単位 1 日単位 1 週間単位のビジネス サイクルを平均化するだけの十分な長さにすることをお勧めします これは週の数である必要があることを意味します 従来のソリューションと RSA Silver Tail 要件 従来のソリューション RSA Silver Tail 可視化 制限付きビュー トラフィックの総合的なビュー 個別の行為分析 使用不可 Profile Analyzer 行動モデリング全体 ユーザー スコアリングユーザー ヒストリカル ユーザー スコアリング 改善されたワーク 複数チーム 1つのツール フロー 複数のデータ ソース トラフィックの総合的な 不完全なデータ ビュー エンド ユーザーの使用経験 複数ファイルのダウンロード 悪意のある行為が識別されるまで影響なし ダイナミックWeb サイト 複数のチームがアプローチを更新できない ダイナミック モデリングは自己学習型で適応可能 インストールが ページでのコード インストール SPANポート 簡単 お客様のソフトウェア お客様へのインパクトなし お客様のパスでの新規ボックス 6

7 ソリューションと RSA Silver Tail まとめ サイバー犯罪の特定には IT 部門がWebトラフィックを詳細に監視し Webの訪問者に関するより多くの情報源を調査します さらにWebサイトでの行動がそのWeb サイトで通常のものであるか そうでないかを判断するためにWebセッション全体を確認することが必要です 不正行為を検出して防止する従来のアプローチでは Webサイト活動の全体的な状況を把握できず オンライン活動に関するさまざまデータ ソースに関して総合的に理解することができません RSA Silver Tailにはこの可視性が備わっており オンラインでの存在感を悪用しようとする犯罪者よりもお客様を1つ先のステップに進めるように強化されています 7

8 EMC ジャパン株式会社 RSA 事業本部 TEL RSA RSAロゴ EMC 2 EMCは 米国およびその他の国におけるEMC Corporationの登録商標または商標です その他のすべての名称ならびに製品についての商標は それぞれの所有者の商標または登録商標です 2013 EMC Corporation. All rights reserved. ST WP 0513-J