1.IoC活用の課題
NTTDATA-CERTでは、セキュリティインシデント未然防止と早期検知のために、日々、脅威インテリジェンスを収集しています。脅威インテリジェンスのうち、IoC(Indicator of Compromise)と呼ばれている情報は、マルウェアや不正通信の遮断や検知に使うことができます。そこで、脅威インテリジェンスからIoCを抽出して、FirewallやSIEMなどのセキュリティ機器へ情報提供します。
NTTDATA-CERTのIoCの処理業務には、以下の課題がありました。
- 攻撃が増えているのに活用しているIoCが増えていない。遮断や検知できてないサイバー攻撃があるかもしれない
- 人手を介するため、IoCを収集してセキュリティ機器へ適用するまでに時間がかかる。夜間や休日に緊急性の高いIoCが手に入っても、セキュリティ機器へ適用できない。時差のため、海外グループ会社とのIoC即時の送受ができない
- 手動作業はミスが多い。処理するIoC数が多ければ作業量が増えて人件費も増える
日々増加するサイバー攻撃への対応力を向上するために、NTTDATA-CERTはMISP(※1)を導入してIoCの処理業務の改善を図りました。
2.MISPの導入
MISPは、脅威インテリジェンスの管理と共有が行えるオープンソースソフトウェア(OSS)です。MISPの概要は、NTTコミュニケーションズが提供しているWebページ「Threat Intelligenceの活用を促進するMISPの紹介」(※2)をご参照ください。
図1は、NTTDATA-CERTのMISP導入前後のIoC処理フローの比較です。
図1:NTTDATA-CERTにおけるMISP導入前後のIoC処理フロー
MISPを導入した結果、上記の課題が改善できて、以下のようにIoCの処理能力が向上しました。
- 他組織のMISPと接続して、大量のIoCを取得可能
MISPには、他組織が配信しているIoCを簡単に自動収集できるFeed機能(※3)があります。この機能により、世界中のCSIRT(シーサート、セキュリティインシデント対応チームの略称)やセキュリティ組織がMISPで提供している新鮮で高品質なIoCを収集可能です。 - IoCを海外グループ会社と即時共有できる
以前はIoCを国内外グループ会社へ共有するまでに2~3日かかりましたが、MISPの導入後は数分で共有可能になりました。 - 大量のIoCの処理や蓄積ができる
処理できるIoC数が大幅に増えたため、対応できるサイバー攻撃の範囲も拡大して、最新の脅威も対応できるようになりました。 - Web UIでIoCの検索や閲覧などの操作性が向上
- 自動化によりIoC処理時の作業ミスと人件費を削減
3.より高度なIoC活用
MISPを導入した結果、より高度なIoC活用に向けた以下の取り組みが可能になりました。
3.1 高品質なIoCの採用
高品質なIoCを使って誤検知を極力減らしたい。そこで複数の論文(※4)、(※5)を調査して、IoCの情報源の品質評価モデルを見つけました。しかし、そのままでは評価で使う項目数が多く、評価の計算に時間がかかります。そこで論文のモデルを元に、実用的な独自の品質評価モデルを作成しました。独自の品質評価モデルは、主に以下の項目を使います。
- IoCの配信の量や頻度、継続性
- IPアドレス/ドメイン/URLなどの通信元/先以外の追加情報の有無
- IoCの検知/誤検知精度(悪性サイト、ホワイトリスト/正規サイトのIoCの含有率)
- データ形式の機械処理の要否、自動処理の可否
この独自の品質評価モデルを使って複数のIoC情報源を評価して、新たに3つの高品質なIoCの情報源を採用しました。
3.2 IoCのライフサイクル導入
このように高品質なIoCの情報源を新たに3つ採用した結果、日々収集するIoC数が増えました。しかし、セキュリティ機器には適用できるIoC数の上限があります。一方、最近のサイバー攻撃は、攻撃に使用したIPアドレスやURLをすぐ使い捨てます。つまり、IPアドレスやURLといったIoCの有効期間は短く、すぐに防御や検知の効果がなくなリます。加えて誤検知が発生する確率も上がります。
セキュリティ機器へ登録するIoCは、蓄積して使い続けるのではなく、頻繁に入れ替える運用にすべきです。大量のIoCを収集してどんどん使って捨てる、早い新陳代謝のIoCのライフサイクルモデルを作成して導入しました。
参考文献:Schaberreiter,T., Kupfersberger,V., Rantos,K., Ilioudis,C., et al.: A Quantitative Evaluation of Trust in the Quality of Cyber Threat Intelligence Sources, Proc. ARES '19: Proceedings of the 14th International Conference on Availability, Canterbury CA United Kingdom, (2019).
参考文献:Ermerins,J., Noort,v,N., Velasco,L., Marques,N,J.:Scoring model for IoCs by combining open intelligence feeds to reduce false positives, Security and Network Engineering, UNIVERSITY OF AMSTERDAM,(2020).
4.グローバルなIoC共有
NTTDATA-CERTは、国内外のNTTデータグループ会社へのIoC共有を進めています。図2に示すように、グローバルなIoCの共有を実現しています。MISPには、他組織のMISPとIoCを簡単に共有できるSynchronisation機能(※6)があります。この機能により、各国のグループ会社に閉じていたIoCが、グループ全体で共有可能になりました。
図2:NTTデータグループにおけるグローバルなIoC共有
また世界中のCSIRTやセキュリティ組織、MISPコミュニティ(※7)がMISPを使って活発にIoCを共有しています。MISPを使ってこれらの組織とつながることで、より多くのIoCを取得できます。NTTDATA-CERTも他組織とも連携し、IoCの提供も取り組み始めています。MISPのバグ報告など、MISPコミュニティへも貢献しています。
https://www.circl.lu/doc/misp/sharing/#sharing--synchronisation
5.まとめ
本稿では、NTTDATA-CERTがMISPを導入してIoCの処理業務の改善した事例を紹介しました。MISPの導入によって、単に業務効率を改善しただけでなく、サイバー攻撃の対応範囲の拡大と対応のスピードが上がり、サイバー攻撃への対応力がアップしました。
本稿によって、MISPの普及の推進と、読者のみなさんのCSIRTのサイバー攻撃対応力のアップ!の一助になれば幸いです。