はじめに
「ネットワークセキュリティ」というと皆さんはどういう言葉を思い浮かべますか?
アンチウイルス、IPS、サンドボックス、アンチスパイウェア等、いろいろな言葉が思い浮かぶかもしれません。
攻撃、脅威の種類に応じて様々な名前の防御技術・製品があります。
また、これらを総称して「脅威防御」と言ったりもします。
ところで、これらの従来型の脅威防御には、大きく2つの共通課題があることに皆さんお気づきでしょうか。
従来型「脅威防御」技術の限界とは
1つめの課題は「何が悪いものかをあらかじめ知っている必要がある」という点。
具体的には、悪いHTTPリクエスト(IPSのシグネチャ)、悪いURL(フィッシングやマルウェアなどのカテゴリのURLリスト)、悪いファイル(アンチウイルスのパターンファイル)、悪い接続先(悪いIPアドレスのリスト)などを判定するシグネチャが必要になります。
2つめの課題は「タイムラグ」。
シグネチャによる防御の場合、シグネチャと実トラフィックを照合して検出を行います。しかしながら、以下のAとBとの間にはどうしてもタイムラグが生じてしまいます。
- A: 攻撃の発現: 世の中にマルウェアや攻撃が広まる・使われる。
- B: 防御の完了: シグネチャが提供され、Aが既知の攻撃になり防御可能になる。
このタイムラグ短縮のため、攻撃発見用センサーの追加やシグネチャ生成の自動化はいまも行われていますし、それはそれで効果があって重要な改善です。それでもこの課題は残されています。タイムラグがある限り被害者をゼロにすることはできないのです。
くわえて、高度に回避的な通信には、そもそもシグネチャで見つけられるような単純な特徴がないことすらあります。
これらの課題を解決し、ネットワークセキュリティの局面を逆転するにはどうしたらよいのでしょうか。
今回解説するのがそのゲームチェンジャーとなる、従来型シグネチャによる防御によらない新たな検知・防御技術です。
ネットワークセキュリティのゲームチェンジャーとなるクラウド+MLの活用
前述したシグネチャ方式のもつ課題を解決するため、弊社が出した答えの1つが「MLを活用するリアルタイムなインライン防御」です。
この技術はシグネチャに頼らずインラインで判定しますので、初めて目にする攻撃をその場で見つけることができます。パロアルトネットワークスの次世代ファイアウォールは、クラウドとリアルタイムに連携し、その大規模な計算資源とディープラーニングを活用し、悪意のある通信を検出します。
とはいえ「この技術があればシグネチャによる判定が不要になる」という訳ではないので、そこはご注意ください。「従来のシグネチャで防げるものは防ぐ、それをすり抜けた高度な脅威をクラウドとMLで検出する」という多層防御の考えかたは依然として有効です。
このインラインのリアルタイム防御に使われている技術については「AIを使用した悪意のあるC2トラフィックの検出」という弊社の脅威インテリジェンス調査チーム Unit 42 のブログに詳しく説明されていますので、あわせて参照してください。
Advanced Threat Prevention: 高度な脅威防御
クラウドとMLによるこのインライン判定の実装のひとつが、弊社が2022年3月に公開したPAN-OS 10.2 のATP(Advanced Threat Prevention: 高度な脅威防御)です。
この新たなサブスクリプションサービスは、高度に回避的なC&C通信も検出可能です。
IPアドレス、ドメイン、通信パターンなどの特定要素にもとづく検出が行えない場合、クラウドのディープラーニングによる判定で初めて検出が可能になります。そうしたケースでは、クラウドと通信することで、リアルタイムにインラインで脅威を検出・防御することができます。
ただしこの検知技術の実現には、次の3つの技術的課題の解決が必要でした。
- 誤検知率をいかに抑えるか
- 判定時間をいかに短くできるか
- リソースへのインパクトをいかに下げられるか
1: 誤検知率をいかに抑えるか
世界最大規模の脅威解析基盤であるWildFireの長年のサービス運用実績や、Unit42などの脅威インテリジェンスチームの知見を活用し、クラウドの判定機構に誤検知を回避する仕組みを組み込みました。これにより誤検知率を抑えることができました。
2: 判定時間をいかに短くできるか
クラウドベンダーと協業し、世界中の主要ポイントにエンジンを配置しました。また、MLの計算処理を高速化するため、ハードウェアレベルでの最適化を施しました。これらの対策により、判定にかかる時間を短縮できました。
3: リソースへのインパクトをいかに下げられるか
従来のセキュリティサブスクリプション機能と同様、次世代ファイアウォールはセンサーとエンフォーサー(制御)とで役割を分担し、脅威インテリジェンス(知能)部分はクラウドに任せるという設計思想・動作原理で実装しています。これにより、リソースへのインパクトを小さく抑えられました。
さいごに
攻撃者の攻撃手法や質の変化にともない、ネットワークセキュリティも新たなステージに突入しています。攻撃技術の進化には、防御技術の進化で対抗していく必要があります。
そこで弊社の出した答えの1つが、本稿でご紹介したクラウドとMLを活用するインライン防御技術によりシグネチャ数や更新頻度では対処がむずかしい攻撃に対応していく方法です。
本稿では説明を割愛していますが、このクラウドとMLを活用するインラインのリアルタイム判定手法は、以下のサブスクリプションにも活用されています。
- DNSセキュリティ
- Advanced URL Filtering (高度なURLフィルタリング)
- Advanced Threat Prevention (高度な脅威防御)
本技術や本技術を組み込んだサブスクリプションについてのご質問があれば、ぜひ弊社までお気軽にお問い合わせ下さい。