標的型攻撃という言葉は、ビジネスを脅かすサイバー脅威の1つを表す言葉として認知が定着したように見受けられます。標的型攻撃は、業務の停滞または停止を引き起こすだけでなく、業務プロセスや企業システムの復旧のためのコスト、ビジネス機会の損失などの直接被害に加え、さらなる被害を防止するためのシステムメンテナンスや社員教育等の費用も発生するなど、企業に大きな打撃を与えかねません。世界各地の企業は標的型攻撃を警戒し、セキュリティのための対策を取りつつあります。
しかしながら、「ここさえ守っておけば攻撃を阻止できる」「これさえ導入すれば防止できる」という万能対策はありません。特に大規模な企業については、多様な手口を使ってさまざまな面から侵入しようとする脅威に立ち向かうため、多岐にわたる側面あるいは層で防御ツールを導入している場合が一般的です。しかし、それが本当に効果的な防御として機能するためには、点在するツールまたは製品が検知した兆候を総合的に処理して判断する必要があります。
マシンインテリジェンスとヒューマンインテリジェンスを組み合わせて高度なサイバー攻撃を検知する総合的なセキュリティソリューションとして、カスペルスキーはこのたびKaspersky Anti Targeted Attack Platformの提供を開始しました。
標的型攻撃対策の現状と課題
標的型攻撃は、理論上はシンプルなプロセスで展開されます。準備とテストの段階を経たのちにターゲットの企業ITシステムへと侵入、システム内で拡散して、攻撃を実行。インシデントとして表面化します。しかしながら、実際のプロセスは複雑で洗練された方法で展開されます。たとえば侵入のフェーズだけを見ても、悪意ある添付ファイルを伴うメールによる侵入と水飲み場型攻撃サイトを介した侵入が絡み合って展開され、拡散経路もさまざまです。そのため、膨大な数で発生するセキュリティアラートの中から本当に重要なものを見極めなければなりません。
従来の標的型攻撃対策は、標的型メールの検知やファイアウォールでの検知およびブロックといった局所的な対策に頼るところが多く、かといってITインフラ全体を対策しようとした場合にはコストが障壁となります。そのため、対策を実施していないシステムから侵入を許してしまいます。仮にすべてのシステムで対策できたとしても、各所に配備されたセキュリティ対策製品が検知した断片的情報をつなぎ合わせて脅威の全体像を把握するという負荷の高い作業が求められます。この脅威を俯瞰し発生したインシデントに対して迅速かつ適切に対処するためには、専門的な知識とスキルが必要となり、人的リソースの問題がその遂行を難しくしています。
また、エンドポイントなどに導入される振る舞い分析ソフトウェアはアプリケーションやファイルの起動など、局所的な分析となってしまうことから、長期かつ継続的に行われる偵察活動や進行する攻撃の検知が難しい面がある、という問題も抱えます。
Kaspersky Anti Targeted Attack Platformとは
そこで、ITインフラ全体を俯瞰した監視を行い、短期的な振る舞い監視に加えて長期的かつ継続的な振る舞い監視を実施し、イベントの集約と相関分析を可能にする次世代のサイバーセキュリティプラットフォームとして開発されたのが、Kaspersky Anti Targeted Attack Platformです。
このソリューションは、大きく分けて、情報収集の役割を担う「センサー」、収集されたデータの分析を担当する「セントラルノード」、未知の脅威の解析を行う「アドバンストサンドボックス」で構成されています。また、同ソリューションの管理コンソールでは、各コンポーネントで検知されたイベントを集約して相関分析した結果を直観的に把握することが可能です。
センサー
HTTP、ICAP、FTP、DNS、SMTP、PoP3など複数プロトコルに対応するネットワークセンサーは、検知した各種オブジェクトをセントラルノードへ渡します。センサーを各拠点に配備することによって、遠隔のオフィスや隔離されたシステムをKaspersky Anti Targeted Attack Platformの監視下へ置くことが可能です。また、エンドポイントセンサーは、エンドポイントにて検知した不審オブジェクトをセントラルノードに転送します。なお、当社の法人向けエンドポイントセキュリティ製品であるKaspersky Endpoint Securityも、エンドポイントセンサーとしてKaspersky Anti Targeted Attack Platformと連携可能です。
セントラルノード
各センサーから受け取ったオブジェクトを、Kaspersky Labの定義データベース、ヒューリスティック分析、レピュテーションデータベースに照らし合わせて解析します。また、YARAルールを利用した分析にも対応しています。
これに加え、機械学習によって、通常の振る舞いから逸脱する不審な振る舞いを検知します。
アドバンストサンドボックス
オブジェクトをさらに詳細解析するのが、アドバンストサンドボックスです。未知のマルウェアを解析するサンドボックスは、サンドボックス回避機能を持つマルウェアにも対応可能となっています。また、最新の回避手法に対応するため、サンドボックスのモジュールが随時配信される仕組みです。
管理コンソール
センサーによって検知され、セントラルノード、アドバンストサンドボックスによって解析された結果は、セントラルノード内の標的型攻撃アナライザー(TAA)によって相関分析された後に管理コンソールに表示されます。コンソール画面では関連するイベントが一連のシリーズとして表示され、攻撃の全体像の把握に役立ちます。また、イベントの重要度が自動的に判定され、優先的に対処すべき事項の見極めをサポートします。
関連サービス
ソリューションの提供に留まらず、カスペルスキーではKaspersky Anti Targeted Attack Platformに関連するトレーニングサービスも実施しています。管理者としてのトレーニングのほか、アラートの読み取り方や対応の取り方をアドバイスするアナリスト向けトレーニング等をご用意しています。
Kaspersky Anti Targeted Attack Platformのライセンス体系および価格については、当社のプレスリリースをご覧ください。
当ソリューションの詳細については、Kaspersky Anti Targeted Attack Platformの説明ページも合わせてご参照ください。