ストリーミング解析で巧妙なオンライン攻撃を検出
ビッグデータを活用し、ビジネス・ロジック悪用の脅威を
リアルタイムで検出するRSA Silver Tail
セキュリティの専門家は、サイバー犯罪者がeコマース・システムから 操作した り、情報を盗み出したりするために、自分たちの都合に合うように不正行為を巧妙 化させていることを認識しています。従来のファイアウォールであるIPS/IDSと WAF(Webアプリケーションのファイアウォール)は、ネットワークとサーバーが 悪用されていないかを監視するだけで、オンライン・ビジネスがWebサイトにアク セスしたユーザーの行動を把握する際にはほとんど役立ちません。テクノロジーに このようなギャップがあるため、サイバー犯罪者はビジネス・ロジックの悪用とい う新たな攻撃手法を活用する方向に変化しており、ショッピング・カート、ログイ ン、ファイルのダウンロードなどのWebサイトのビジネス機能にある欠陥を悪用す る事態が起きています。こうした高コストの脅威が大幅に増大しており、IT担当者 の業務が極めて複雑になっています。攻撃者はサイトへのアクセスを確保すると、 通常、合法的なWebページを使用して自分の企てを開始します。 最先端のeコマース・サイトで発生した最新の攻撃で見られたビジネス・ロジックの 悪用の例としては、以前セール対象だった商品にクーポンを使用するというもので した。多くの場合、セール期間が終了していても商品がまだショッピング・カート に入っている場合、そのカートの商品にはセール価格が適用されます。この小売業 者の場合、クーポンはセール品に適用されませんが、セール期間が終了すると、 クーポンを使用できるようになります。セール価格が付いたまま、何百ものカート に入っている商品にクーポンがすべて適用され、(セール価格とクーポンが同時に 適用され)大幅な値引きで決済されました。
Ponemon InstituteとRSA Silver Tail1のIT担当者の最近の調査によると、ビジネ
ス・ロジックの悪用により、業務担当者の90パーセントが売上を失ったと報告して おり、この種類の攻撃が、企業が直面している最も重要なセキュリティ上の問題であ ると回答者の88%が答えています。回答者の74%は、Webサイトにアクセスしてい る「本当の」お客様と犯罪者の違いを見分けるのは困難であるとも答えています。
1 Ponemon InstituteとSilver Tailが2012年に発表したWebセッション・インテリジェンスおよびセキュリ ティ・レポート: ビジネス・ロジックの悪用に関するホワイト・ペーパー・エディション(2012年10月):
従来のアプローチ
オンラインでの犯罪行為を検知し、解析する既存の解決策では、通常、認証前の脅 威(情報セキュリティ関連製品)または認証後の脅威(不正行為関連製品)のどち らか一方を特定します。両方は特定できません。予防
IT担当者は、担当者のサイトが直面する可能性のある攻撃の種類に関する知識を備えて おり、危険と推測されるトラフィックをブロックするため、ファイアーウォールを使用 したり、ソフトウェアを書き換えたりすることができます。ただし、現在のサイバー犯 罪者が多用するビジネス・ロジックの悪用は、予防的解決策の範囲外です。ショッピン グ・カート・ロジックを悪用したり、リベートや商品券アクションを操作したりするこ とによってコミットされる不正行為は正当なトラフィックと同時に発生します。検出
リアルタイムで不正行為を検出する課題を解決するには、さまざまな「ビッグ データ」ソースを収集し、これを相互に関連づけて、ユーザーの行為を把握する必要 があります。ただし、現時点の検出方法はこの目標に達していません。個々の行為に ついて、全体の状況ではなく行為のパズルのピースだけしか調べません。WAF(Web アプリケーションのファイアーウォール)は、トランザクションの署名を調査するこ とはできますが、脅威の可能性があると以前識別されたトラフィックしかブロックし ません。SIEM(セキュリティ情報とイベント管理)ソリューションは、ログ・ファイ ルの限定データを使用し、異常と見なされる行為を探します。こうしたソリューショ ンは広範囲のトレンドやルール違反を識別することはできますが、異常行為と個々の ユーザー・セッションを相互に関連づけることはできません。調査
特定のトランザクションに確認用にフラグをつけることは不正行為の検出に通常使 用される方法です。この方法は、サイバー犯罪者がブルート・フォース攻撃や搾取 したクレジット・カードなどの情報を使用する際に使われます。ただし、情報セキ ュリティ・チームが疑わしいトランザクションを識別するために使用するデータ は、複数のシステム間に分散することがあります。たとえば、Webサイト・ログは Web管理者、IPレベル情報はネットワーク・チーム、アカウント情報は運用チーム に属します。チームはWebサイト上でユーザー特定のセッションを見つけられない ため、実際の使用活動にフラグをつけるインシデントを比較できません。そのため 調査担当者は行為に関する情報を得ることができません。アトミック解析が使用で きる統合アプローチが必要です。 2 Gartner社、「Gartnerの見解では15%の企業が2014年までに多層の不正防止を講じることになるであろう」 2012年2月10日: http://www.gartner.com/newsroom/id/1695014 Gartner社が最新レポート「TheFive Layers of Fraud Prevention and Using Them to Breat Malware」で述べているように、 「企業システムから不正行為者を 遠ざけるには、1層の不正行為防止 や認証では不十分です。 最新の攻 撃と、まだ出現していない攻撃を 防ぐには複数の層を使用する必要 があります。」2
RSA Silver Tailには、第2、第3、 第5の層を1つのプラットフォーム で使用することにより、不正な Webサイトの行動を検出する固有 の機能があります。
RSA Silver Tailのアプローチ
データのセッション化
他のWeb解析スイートと比較して、RSA Silver Tailソリューションの主な差別化要因 の1つに、ユーザーのクリック・ストリームを「セッション化」する機能があります。 これは、ユーザーがログインからチェックアウト/ログアウトまでナビゲートするた め、Webサイト上で行うクリックごとにグループにまとめられ、ストリーム全体が、 ユーザーからクラウド、ユーザー間、個々のストリームに基づいた解析に使用できる ことを意味します。これは、Silver Tapから始まる多くの革新的なコンポーネントに よってリアルタイムで実行されます。 Silver Tapはデータセンターのサーバーにインストールするソフト ウェアです。Webサーバーからトラフィックをミラーリングするため に構成されたSPANポートからパケットを取得します。この方法で導 入を設計すると、Silver TailをWebサーバーと完全に分離することが できます。エンド・ユーザーに関する接続性の問題のレーテンシーま たは増大するリスクには影響しません。次にSilver Tapはパケットを フィルタ処理し、再アセンブルして、TCPペイロードを抽出します。 その後、プロトコル・スタックのすべてのレベルのトラフィックに関 して重要な属性を抽出し、メトリックを作成するため、HTTPや HTTPSなどの複数のプロトコルを解析します。この作業が完了した ら、ログ、スコア、レポートなどのSilver Tail実行タスクの他のコア 要素に提供する結果メッセージがメッセージ・バスに置かれます。 Silver Tapの構成中に、Silver Tailはセッションcookie、ログインと ログアウトのページURI、UID、SSL証明書またはHSM情報などを定 義するパラメータなどの項目と、コンプライアンスの理由で収集されないようにする ためにハッシュまたはトランケートの必要がある個人情報などの項目を定義します。 Silver Tapは、インストール後ただちに全トラフィックの調査を開始します。ただし、 Silver Tapの占有量を制限するため、Silver Tapで無視するように構成されている項目 だけでなく、イメージ・コンテンツやビデオ・コンテンツなど、目的で必須ではない すべてのデータについても調査を除外します。次に、極めて効率的な圧縮、インデッ クス作成、ストレージ・メカニズムによりデータが処理され、Silver Tailソリューショ ンが解析、レポート生成、アラート生成の各機能のすべてを実行できるようになりま す。 保存対象のデータは、検索と解析を容易にするため保存され、インテリジェントに 分離されるため、こちらも製品の主な差別化要因の1つです。 1. IP、ポートを含む6個のTCPトランスポート接続属性と、EPOCHから数百マイク ロ秒まで短縮するタイム・スタンプ 2. TCP接続と相対的なTCPデータ・パケット序数の範囲を含む5個のTCP要求/応答 属性 3. サーバー証明書のSHA-1フィンガープリントを含む7個のSSL/TLSトランス ポート接続属性 4. TLSレコードの合計サイズ(バイト単位)を含む3個のSSL/TTL要求/応答属性 3
上位10社の小売業者は、RSA Silver Tailを使用して不正行為を 停止し、生産性が向上 北米地区の上位10社のオンライン小売 業者は、オンライン操作で年間1億米 ドルを超える利益を生み出しており、 eコマースWebサイトでの不正活動の 特定と停止を即座に開始し、RSA Silver Tail Forensicsソリューション を使用して生産性を向上することがで きました。
Forrester Research3社により最近作 成されたTotal Economic Impactレ ポートによると、小売業のセキュリ ティ・チームは異常活動を特定するた め、手動プロセスに多くの時間を使い すぎています。既存の不正対策システ ムは、IPアドレスがプロキシ経由で処 理された場合、またはドメイン所有者 がマスクされている場合は、不正を検 出できないため、セキュリティ・ チームにログ・ファイルを入念に収集 し、再構成するように指示します。 RSA Silver Tailプラットフォームの 導入から6時間以内に、小売業はサ イト検知、ターゲット・ディレクト リ攻撃、価格のサイト・スクレイピ ングなどの異常行為をWebサイトで 検出します。これは従来の不正行為 検出システムでは特定できなかった ものです。 さらに、初回の検出では、小売業者の セキュリティ・チームがWebセッシ ョン全体を詳細に表示し、Webサイ ト上のすべてのIPアドレスまたは ユーザーごとにすべてのクリックを確 認できます。不正な商品券の取得、電 話によるリベート、小売店のWebサ イトに偽の商品を掲載するなどの犯罪 活動で、チームが売上を失わないよう にすることができます。小売業者は過 去3年間で72パーセントのROIを実現 し、最初の1年間だけで400万ドル以 上の利益を計上しました。 5. HTTP属性: a. 上記4.などのTCP cxnの開始と相対的なHTTPメッセージ序数(1ベース、 2回リスト) b. メソッド(GET、POST、HEADなど) c. ステータス・コード d. HTTPプロトコル・バージョン e. URL f. HTTPヘッダー g. GET引数とPOST引数 6. 管理者が構成できる複数のカスタム抽出属性 これにより、不正行為の解析者はWebサイト上のトラフィックに関連するすべての データについて、解析または規則を実行することができます。自動化スコアリン グ・エンジンの場合、そのブリーディング・エッジ・ストリーミング解析(本紙の 後半で定義)をエンジンでもリアルタイムで実行します。
脅威のスコアリング
RSA Silver Tailスコアリング・エンジンは、適正な動作を示すクラウドの動作に基 づき、統計モデルを構築します。次に、各使用セッションをこのモデルと比較し、 適正な動作に適合するかどうか、異常行為に該当するかどうか解析します。この リアルタイム・ストリーミング解析はレーテンシーなしで実行されます。さらに、 メモリ内の数百の属性から構成される詳細なトラフィック・プロファイルを保存で きます。そのため、次のスコアをクリックごとに計算できます。 – 速度: 自動化エージェントによる攻撃特徴は、ページ遷移が異常に高速化する ことです。こうしたページ移行率、つまり速度は、不正なユーザー行動の可能性を 識別するために使用されるスコアの中に含まれます。サイトのすべての訪問者の集 合間で個々の移行スピードを測定し、次にこれらの基準から特定の訪問者の相違を 計測してスコアを作成します。 – 動作: このスコアは、通常のWebサイトへのアクセス・パターンに従っていな いコンピュータ・ベースの攻撃または指向性攻撃と関連している場合がある異常に 頻繁な活動を識別します。セッションのナビゲーション・シーケンスと他のすべて のセッションとの違いを測定します。ナビゲーション・シーケンスはページ移行回 数を単位に計測されます。個々のページ移行の回数をすべてのセッション間の同じ ページ移行の回数に対する基準と比較し、特定のセッションと基準がどの程度異な っているかを定量化するスコアが作成されます。 – パラメータ: GETまたはPOSTから実行されるパラメータが希少であるかどうか を解析します。高レートのパラメータはハイスコアが与えられます。通常は存在し ないパラメータが実行されると、エンジンは異常を検出し、検出された異常に基づ いてスコアをつけることができます。 – プロファイル: これらのスコアは行為スコアと同じロジックに従います。ただ し、一定期間はユーザーの履歴と比較されます。この期間は多くの場合、管理者の ストレージの選択によって定義されます。
– MiB(中間者攻撃(Man in the Browser)): 中間者攻撃はユーザーのブラ ウザ内またはユーザーのマシンで作動する不正なコードで実行され、ユーザー・セ ッションの期間内で作動します。このスコアは、ページ・トランザクションのパ ターン、ユーザーに関連づけられているすべてのアクションの地理的位置、 ユーザーから収集したアクションのスピードをトランザクションの他の複数要素と 同時に考慮して計算されます。
– MitM(中間者攻撃(Man in the Middle)): MitM攻撃の特徴は、攻撃者が別 のユーザーのWebセッションにアクセスし、このセッションを悪用するというこ とです。たとえば、ユーザーが自分のバンキングWebサイトにログインしている 間に、悪意のあるユーザーが別のシステムからこのセッションにログインする例が あります。このサイバー犯罪では、ユーザーがこうした行為にまったく気付いてい ない間に送金が行われます。別々のIPアドレスからサイトに同時かつ重複したアク セスがあったことで検出されます。 このパターンが識別されると、アクセスに同じユーザー・エージェントが報告されて いるかどうか、トランザクションが地理的に離れたIPアドレスから発生しているかど うか、アクセスにログイン・ページが含まれているかどうか、などの一連の点がスコ アから差し引かれます。これらを差し引くことで、疑念が少なく問題のないIPアドレ スの変更を識別し、重要視しないことができます。これらを差し引いてもスコアが高 いトランザクションは中間者攻撃(Man in the Middle)の可能性があると考えられ ます。 セッション・タイムアウト 解析ウィンドウ モデル・ウィンドウ(解析ウィンドウの2倍以上)
減衰データ・モデル
スコアの生成に使用されたベースライン・データはデータ・モデルとして格納され ます。データ・モデル例として、値が「ある商品名」の特定の属性を含むトランザ クション数などで、すでにトラッキングされた情報です。2つのパラメータで構成 される段階的な一次再帰線形フィルタにより、モデル・フレームの期間が制御され ます。構成中に次の属性を設定できます。 頻度に寿命を設定し、時間データの量を示す他のモデル値を収集し、現在のプロ ファイルの更新に使用する必要があります。 次に、減衰因子が設定されます。これは、時間経過を伴う比較を行うため、データ の強度の数学的低下についての時間量を設定することで機能します。これは最新 データに最も強い強度を指定するように実行されます。両方の属性を定義する最適 な方法は、使用可能なコンピューティング・リソースと、サイトのダイナミック特 性によって異なります。カウンタの減衰が0に達すると、そのレコードは古い情報 が際限なく増えないように除去されます。3 Forrester Research社の2012年8月発表の「Silver TailのTotal Economic Impact」
解析ウィンドウ
解析ウィンドウは、脅威のスコアを計算するために最新のデータ・モデルを解析し、 比較するトラフィックの一部を示す時間のスライド・ウィンドウです。リアルタイム 使用状況では、解析ウィンドウはすぐに終了します。セッションは解析ウィンドウ内 のすべてのトランザクション・スコアの合計として計算されます。個々のセッション に対して、セッション内からカウンタを比較していることを確認するには、このウィ ンドウをWebサイト上のユーザーの平均セッション時間にできるだけ近い値に設定 する必要があります。 モデル・フレームと解析ウィンドウは大部分が独立しています。モデル・フレームは 解析ウィンドウ内のトランザクション・スコアの計算に使用する集合データを指定し ます。モデル・フレームのデータの減衰によるデータ・モデルへの変更は、解析ウィ ンドウの計算にほとんど影響を及ぼしません。ただし、セッション自身よりも常に大 きい解析ウィンドウよりも、モデル・フレームが大きくなっている期間が必要です。 モデル・フレームの期間は、Nyquistサンプル基準を満たすため、少なくとも解析 ウィンドウの2倍である必要があります。ベスト・プラクティスとしては、モデル・ フレームを、Webサイトの1時間単位、1日単位、1週間単位のビジネス・サイクル を平均化するだけの十分な長さにすることをお勧めします。これは週の数である必要 があることを意味します。従来のソリューションとRSA Silver Tail
要件 従来のソリューション RSA Silver Tail
可視化 制限付きビュー トラフィックの総合的な ビュー 個別の行為分析 使用不可 Profile Analyzer 行動モデリング 全体→ユーザー・スコアリ ング ユーザー→ヒストリカル・ ユーザー・スコアリング 改善されたワーク 複数チーム 1つのツール フロー 複数のデータ・ソース トラフィックの総合的な 不完全なデータ ビュー エンド・ ユーザーの使用経 験 複数ファイルのダウンロード 悪意のある行為が識別され るまで影響なし ダイナミックWeb サイト 複数のチームがアプローチを更新 できない ダイナミック・モデリング は自己学習型で適応可能 インストールが ページでのコード・インストール SPANポート 簡単 お客様のソフトウェア お客様へのインパクトなし お客様のパスでの新規ボックス
ソリューションと RSA Silver Tail
まとめ
サイバー犯罪の特定には、IT部門がWebトラフィックを詳細に監視し、Webの訪問 者に関するより多くの情報源を調査します。さらにWebサイトでの行動がそのWeb サイトで通常のものであるか、そうでないかを判断するためにWebセッション全体 を確認することが必要です。不正行為を検出して防止する従来のアプローチでは、 Webサイト活動の全体的な状況を把握できず、オンライン活動に関するさまざま データ・ソースに関して総合的に理解することができません。RSA Silver Tailにはこ の可視性が備わっており、オンラインでの存在感を悪用しようとする犯罪者よりもお 客様を1つ先のステップに進めるように強化されています。RSA、RSAロゴ、EMC2、EMCは、米国およびその他の国におけるEMC Corporationの登録商標または商標 です。その他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 ©2013 EMC Corporation. All rights reserved. ST WP 0513-J EMC ジャパン株式会社
RSA 事業本部 TEL 03-6830-3341 [email protected]
