絞り込み検索
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
2022.1.24技術ブログ

MISPでサイバー攻撃対応力アップ!

サイバー攻撃の増加に伴い、対応には膨大な量の脅威インテリジェンスが必要になってきている。脅威インテリジェンスの迅速な入手と管理、セキュリティ機器への反映と入替など、早い新陳代謝が重要だ。本稿では、MISP(Malware Information Sharing Platform)導入により、サイバー攻撃への対応力がアップし、国内外および社内外との情報連携も円滑になった事例を紹介する。

目次

1.IoC活用の課題

NTTDATA-CERTでは、セキュリティインシデント未然防止と早期検知のために、日々、脅威インテリジェンスを収集しています。脅威インテリジェンスのうち、IoC(Indicator of Compromise)と呼ばれている情報は、マルウェアや不正通信の遮断や検知に使うことができます。そこで、脅威インテリジェンスからIoCを抽出して、FirewallやSIEMなどのセキュリティ機器へ情報提供します。

NTTDATA-CERTのIoCの処理業務には、以下の課題がありました。

  • 攻撃が増えているのに活用しているIoCが増えていない。遮断や検知できてないサイバー攻撃があるかもしれない
  • 人手を介するため、IoCを収集してセキュリティ機器へ適用するまでに時間がかかる。夜間や休日に緊急性の高いIoCが手に入っても、セキュリティ機器へ適用できない。時差のため、海外グループ会社とのIoC即時の送受ができない
  • 手動作業はミスが多い。処理するIoC数が多ければ作業量が増えて人件費も増える

日々増加するサイバー攻撃への対応力を向上するために、NTTDATA-CERTはMISP(※1)を導入してIoCの処理業務の改善を図りました。

(※1)MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing:

https://www.misp-project.org/features.html

2.MISPの導入

MISPは、脅威インテリジェンスの管理と共有が行えるオープンソースソフトウェア(OSS)です。MISPの概要は、NTTコミュニケーションズが提供しているWebページ「Threat Intelligenceの活用を促進するMISPの紹介」(※2)をご参照ください。

図1は、NTTDATA-CERTのMISP導入前後のIoC処理フローの比較です。

図1:NTTDATA-CERTにおけるMISP導入前後のIoC処理フロー

図1:NTTDATA-CERTにおけるMISP導入前後のIoC処理フロー

MISPを導入した結果、上記の課題が改善できて、以下のようにIoCの処理能力が向上しました。

  • 他組織のMISPと接続して、大量のIoCを取得可能
    MISPには、他組織が配信しているIoCを簡単に自動収集できるFeed機能(※3)があります。この機能により、世界中のCSIRT(シーサート、セキュリティインシデント対応チームの略称)やセキュリティ組織がMISPで提供している新鮮で高品質なIoCを収集可能です。
  • IoCを海外グループ会社と即時共有できる
    以前はIoCを国内外グループ会社へ共有するまでに2~3日かかりましたが、MISPの導入後は数分で共有可能になりました。
  • 大量のIoCの処理や蓄積ができる
    処理できるIoC数が大幅に増えたため、対応できるサイバー攻撃の範囲も拡大して、最新の脅威も対応できるようになりました。
  • Web UIでIoCの検索や閲覧などの操作性が向上
  • 自動化によりIoC処理時の作業ミスと人件費を削減
(※2)Threat Intelligenceの活用を促進するMISPの紹介:

https://developer.ntt.com/ja/blog/79981ba1-d849-4b23-892b-0cf27825de2f

(※3)MISP Default Feeds:

https://www.misp-project.org/feeds/

3.より高度なIoC活用

MISPを導入した結果、より高度なIoC活用に向けた以下の取り組みが可能になりました。

3.1 高品質なIoCの採用

高品質なIoCを使って誤検知を極力減らしたい。そこで複数の論文(※4)(※5)を調査して、IoCの情報源の品質評価モデルを見つけました。しかし、そのままでは評価で使う項目数が多く、評価の計算に時間がかかります。そこで論文のモデルを元に、実用的な独自の品質評価モデルを作成しました。独自の品質評価モデルは、主に以下の項目を使います。

  • IoCの配信の量や頻度、継続性
  • IPアドレス/ドメイン/URLなどの通信元/先以外の追加情報の有無
  • IoCの検知/誤検知精度(悪性サイト、ホワイトリスト/正規サイトのIoCの含有率)
  • データ形式の機械処理の要否、自動処理の可否

この独自の品質評価モデルを使って複数のIoC情報源を評価して、新たに3つの高品質なIoCの情報源を採用しました。

3.2 IoCのライフサイクル導入

このように高品質なIoCの情報源を新たに3つ採用した結果、日々収集するIoC数が増えました。しかし、セキュリティ機器には適用できるIoC数の上限があります。一方、最近のサイバー攻撃は、攻撃に使用したIPアドレスやURLをすぐ使い捨てます。つまり、IPアドレスやURLといったIoCの有効期間は短く、すぐに防御や検知の効果がなくなリます。加えて誤検知が発生する確率も上がります。

セキュリティ機器へ登録するIoCは、蓄積して使い続けるのではなく、頻繁に入れ替える運用にすべきです。大量のIoCを収集してどんどん使って捨てる、早い新陳代謝のIoCのライフサイクルモデルを作成して導入しました。

(※4)

参考文献:Schaberreiter,T., Kupfersberger,V., Rantos,K., Ilioudis,C., et al.: A Quantitative Evaluation of Trust in the Quality of Cyber Threat Intelligence Sources, Proc. ARES '19: Proceedings of the 14th International Conference on Availability, Canterbury CA United Kingdom, (2019).

(※5)

参考文献:Ermerins,J., Noort,v,N., Velasco,L., Marques,N,J.:Scoring model for IoCs by combining open intelligence feeds to reduce false positives, Security and Network Engineering, UNIVERSITY OF AMSTERDAM,(2020).

4.グローバルなIoC共有

NTTDATA-CERTは、国内外のNTTデータグループ会社へのIoC共有を進めています。図2に示すように、グローバルなIoCの共有を実現しています。MISPには、他組織のMISPとIoCを簡単に共有できるSynchronisation機能(※6)があります。この機能により、各国のグループ会社に閉じていたIoCが、グループ全体で共有可能になりました。

図2:NTTデータグループにおけるグローバルなIoC共有

図2:NTTデータグループにおけるグローバルなIoC共有

また世界中のCSIRTやセキュリティ組織、MISPコミュニティ(※7)がMISPを使って活発にIoCを共有しています。MISPを使ってこれらの組織とつながることで、より多くのIoCを取得できます。NTTDATA-CERTも他組織とも連携し、IoCの提供も取り組み始めています。MISPのバグ報告など、MISPコミュニティへも貢献しています。

(※6)Synchronisation/Sharing · User guide of MISP intelligence sharing platform:

https://www.circl.lu/doc/misp/sharing/#sharing--synchronisation

(※7)Known Existing and Public MISP Communities:

https://www.misp-project.org/communities/

5.まとめ

本稿では、NTTDATA-CERTがMISPを導入してIoCの処理業務の改善した事例を紹介しました。MISPの導入によって、単に業務効率を改善しただけでなく、サイバー攻撃の対応範囲の拡大と対応のスピードが上がり、サイバー攻撃への対応力がアップしました。

本稿によって、MISPの普及の推進と、読者のみなさんのCSIRTのサイバー攻撃対応力のアップ!の一助になれば幸いです。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ