標的型攻撃対策の最前線

2017年8月22日

Kaspersky Labでは、第三者評価機関によるテストを、当社製品の有効性を示す指標というよりも、当社の技術を向上させるための手段と考えています(参考記事)。そのため当社ではこうしたテストに継続的に参加し、好成績を収めてきました。今回は、第三者評価機関ICSA Labsが実施する「Advanced Threat Defense」認定テストの結果を、当社がベースとしているサイバーセキュリティの原理をよく表す例として取り上げたいと思います。

Kaspersky Anti-Targeted Attack Platform(KATA)は、この認定テストに3四半期連続で参加し、直近のテストでは脅威の検知率100%、誤検知ゼロという成績を収めました。この結果が企業セキュリティにおいて有する意味合いと、この結果を支える HuMachineインテリジェンスという原理についてご説明しましょう。

認定、そして企業セキュリティ

ICSA Labsは、この認定テストの目的を、最新のサイバー脅威に対して各種保護製品がどの程度有効なのかを判定することだとしています。「最新の」とあるのは、従来型製品の多くでは検知されない脅威を指しているためです。ICSA Labsは、Verizon社の『データ漏洩/侵害調査報告書』に基づいてテストシナリオを作成しています。テストキットは最も流行りの脅威で構成され、また、脅威の状況の変化に応じ、四半期ごとにテストキットの内容が見直されています。

ICSA Labsでは、このようにして、セキュリティ製品のパフォーマンスの実態を分析できるようにしているのです。1つのテストで1回好成績を収めただけでは、厳密に言うと目安になりません。しかし、脅威のパターンが定期的に変更されているにもかかわらず良い結果を出した製品なら、有効性を示したと考えてよいでしょう。

Verizon社の報告書には、大企業で発生したサイバーインシデントに関するデータも含まれています。したがって、一般的な攻撃媒介だけでなく、大企業を狙う攻撃者が使用する攻撃媒介もカバーされているのです。

直近のテスト結果

直近のテストは2017年第2四半期に実施され、7月に結果が公表されました。テストでは、参加ベンダーごとにテスト用インフラを構築し、各ベンダーのセキュリティ製品で保護された状況を作り上げたうえで、37日間にわたり、各インフラ環境に対してさまざまな攻撃がシミュレーションされました。合計約600のマルウェア検体を使って実施された1,100以上のテストの結果、Kaspersky Anti-Targeted Attack Platformは、すべての検知に成功しました。テストではまた、悪質なものに見えて実はクリーンな検体が500以上投入されましたが、Kaspersky Anti-Targeted Attack Platformによる誤検知はありませんでした。

ICSA Labsは比較テストを実施しておらず、データ集計表を公開していません。そこで当社は、公開されているデータに基づき(こちらからご覧いただけます)、独自にグラフ化しました。

この結果をもたらした要因:HuMachineインテリジェンス

カスペルスキー製品、特にKaspersky Anti-Targeted Attack Platformでは、多層式のアプローチを使って脅威を検知します。具体的には、静的な分析メカニズム、調整可能なYARAルール、IDS(侵入検知)エンジン用の独自のSNORTルール、証明書チェックメカニズム、脅威に関するグローバルな情報基盤(Kaspersky Security Network)を介したファイルとドメインのレピュテーションチェック、隔離環境(サンドボックス)内で高度な動的分析を実施するツール、機械学習エンジン(Targeted Attacks Analyzer)などの機能を組み合わせることで、既知および未知の悪意あるテクノロジーを特定します。

中でもTargeted Attacks Analyzerは、分析の中核をなす機能です。機械学習をベースとしたこの機能があるからこそ、さまざまなレベルで検知された情報を比較するだけでなく、ネットワークやワークステーションのふるまいの異常を正しく検知することが可能となっています。たとえば、ふるまいの異常は、正規のソフトウェアや盗んだ認証情報を利用した攻撃を示す場合があり、あるいはITインフラの欠陥を突いた攻撃であるかもしれません。ふるまいの分析は、このように悪意あるソフトウェアを使わない攻撃の可能性を示す、通常の動きから逸脱したふるまいを検知することができます。

しかし、脅威を検知するだけでは不十分です。何もかもブロックしてしまえば脅威を100%阻止できるでしょうが、それでは正規のプログラムまで動作しなくなってしまいます。したがって、誤検知をしないことが重要となってきます。当社では、安全な(脅威ではない)プロセスを定義するにあたり、「HuMachineインテリジェンス」という原理に基づいています。以下に示す3つの要素から、検知レベルと誤検知数の適切なバランスを見出します。

  • ビッグデータ:当社には、20年以上にわたって収集された、脅威に関する巨大な情報データベースがあります。これは、世界各地でカスペルスキー製品を利用しているお客様のコンピューターからお客様の同意のもとに取得した情報で、Kaspersky Security Networkを通じてリアルタイムに更新されます
  • ビッグデータを分析する、高度な機械学習テクノロジー
  • リサーチャーの専門知識:リサーチャーは、必要に応じて機械学習エンジンを調整します

ICSA Labsの「Advanced Threat Defense」認定の取得は、多くの点で、HuMachineインテリジェンスによってもたらされたと言っても過言ではありません。

Kaspersky Anti-Targeted Attack Platformの詳細は、こちらをご覧ください。