|
IBM Research Labsは最近、クラウドおよびコンテナ環境の脆弱性を発見するためのオープンソース・セキュリティ・ツールキット「SysFlow」のリリースを発表しました。SysFlowは、ネットワーク保護における一般的な問題に対処することを目的としています。最新のセキュリティ監視ツールは、ファイル変更操作などの個々のイベントをトレースし、システムアクティビティを高精度に捕捉できます。
これは確かに便利ですが、多くの「ノイズ」を生成し、脅威の検出を困難にします。IBMの研究者であるフレデリコ・アラウジョ氏とテリル・テイラー氏は、このような状況で脆弱性を見つけることを「干し草の山から針を見つけるようなもの」と表現しました。 SysFlowは、セキュリティチームが精査しなければならない情報量を削減します。このツールキットは、特定のシステムから運用データを収集し、そのデータを圧縮して、個々のイベント(HTTPリクエストなど)ではなく、システムの高レベルの動作を示すモデルを作成できます。また、局所的なイベントも提示できますが、SysFlowは詳細な分析に必要なコンテキストを提供するのではなく、関連する動作パターンと相関関係にあるイベントのみを提示します。 アラウジョ氏とテイラー氏はブログ記事で、ツールキットの有用性を示す脆弱性シナリオを例示しました。彼らは、ハッカーが企業ネットワーク上で脆弱なNode.jsサーバーを発見し、そのサーバーに悪意のあるスクリプトをダウンロードし、機密性の高い顧客データベースに侵入したという仮説を立てました。 両研究者は次のように説明しています。「高度な監視ツールは断片的なイベントストリームしか捕捉できませんが、SysFlowはシステムへの攻撃のあらゆる段階でエンティティを繋ぎ合わせることができます。例えば、強調表示されているSysFlowトレースは、攻撃キルチェーンの各段階、つまりNode.jsプロセスをハイジャックし、ポート2345でリモートマルウェアサーバーと通信して悪意のあるスクリプトをダウンロード・実行する段階を正確にマッピングできます。」 SysFlowは、セキュリティチームによる脅威の発見を支援するだけでなく、その過程でハードウェアリソースの節約にも役立ちます。IBMによると、このツールキットは従来のツールと比較して、セキュリティデータ収集速度を「桁違いに」削減します。 SysFlowには、疑わしいイベントをカスタマイズして自動検出できる組み込みルールエンジンが搭載されています。脆弱性に加えて、このツールキットは、財務記録を不適切な場所に保存するなどの規制違反も検出できます。よりきめ細かな検出を行うには、セキュリティチームはSysFlowに独自の脅威検出アルゴリズムをプログラムできます。 IBMは、このプラットフォームが他のオープンソースツールと連携できると考えています。「SysFlowのオープンなシリアル化フォーマットとライブラリは、Sparkやscikit-learnなどのオープンソースフレームワークや、カスタム分析マイクロサービスとの統合をサポートしています」と、アラウジョ氏とテイラー氏はブログに記しています。 SysFlowは、生のシステムデータを悪意のある動作の高レベルビューに変換できます。これは他のソリューションでも提供されている機能です。複数のセキュリティベンダー(最近資金調達を行ったスタートアップ企業Cybereasonを含む)が現在、企業ネットワークへの攻撃者の侵入経路を追跡するための商用調査ツールを提供しています。しかし、IBMがSysFlowをオープンソースとして無料で提供するという決定は、SysFlowをセキュリティツールのエコシステムにおいて独自の地位を確立することになるでしょう。 |
