Passive Network Discovery Systems Martin Roesch

侵入検知の現状

NIDS とは? ネットワーク侵入検知システム（NIDS）は、リアルタイムにトラフィックを監視します。また、疑わしいアクティビティを検知した場合、警告を発します。

なぜ NIDS が重要なのか? アクセス制御 (ファイアウォール設定) は、セキュリティ ソリューションの一部でしかありません。このため、企業の安全を完全に確保するにはネットワーク監視技術 (階層型セキュリティ) が必要になります。

補足的なセキュリティ手段 ネットワーク侵入検知システム（ＮＩＤＳ）は、ファイアウォールやその他のセキュリティ インフラを補足し、強化します。 ファイアウォールを飛び越えられたり、構築ミスがある場合の “保証” を提供 内部の人間によるセキュリティ上の脅威を防止 環境や脅威のベクトル値の変更に対して、コンピュータ犯罪科学の分析を提供

NIDS に異常が? 思ったように 侵入検知システム（IDS） が機能しない。 この数年、宣伝は過剰なのに実際の品は供給不足で、業界自体が最大の敵になっている。 侵入検知システム（IDS）の実際の目的は何なのか? 認識 - ネットワークがどのように機能しているか。セキュリティ インフラがどのように機能しているか? 分析 - 異変が起きた場合、何が発生しているのか。また、どうすれば再発を防止できるか? 従来の侵入検知ステム（IDS） は、ネットワークを防御せず、このためネットワークの防御がどのように機能しているか、また、ネットワークがダウンしたときに何が発生したのかが理解できるようになっている。

IDS の実装に関する問題 実装に関する問題 一部、構成が必要 “IP を認識していないとは、どういうことか?!” システム ポリシーの管理 NIDS ソリューションのほとんどが、信頼できるデータ管理ソリューションを備えていない 調整は、終わることのない継続的な処理 “IP を認識していないとは、どういうことか?!” 侵入検知システム（IDS） から値を取得するためには、適切なトレーニングが必要 侵入検知システム（IDS） の出力値を分析するには、　　高度の技術や知識が必要 システム ポリシーの管理 分散型のセンサー検知構成の管理は手動による処理

IDS の実装に関する問題 概念上の問題 検知の失敗 データ管理 プタセク氏とニューシャム氏の論文には、侵入検知システム（IDS） が解決できない曖昧さを利用してIDS を無効にする方法についての代表的なガイドが記載されている 多数の (すべての?) IDS で使用されているアプローチの根本的問題 データ管理 侵入検知システム（IDS） を調整してスタッフのトレーニングが済むと、今度はデータ管理ｌという問題に遭遇する IDSは莫大な情報を生成するため、この情報を管理する必要がある データ管理も （元からIDSにある困難さに負けず劣らず） 非常に困難な問題 IDS が生成するデータは、さまざまな理由により主観的なものであるため、ユーザはコンテキストに追加しない

曖昧な関連性 しかし、どうやって?

知識がないと致命的な結果に 侵入検知システム（IDS）は、ネットワーク状況とは無関係に稼動します。 ネットワーク トポロジーに関する知識がない ネットワークの資産に関する知識がない 資産の重要性に関する知識がない 効果的な優先順位付けは、コンテキストがなければ不可能です。 優先順位は見る人次第で異なる 自動応答は非常にリスクが高い 100% 効力のある検知は、コンテキストがなければ不可能です。 IDS は、ネットワークのトポロジーや構成について、頻繁に仮定しながら推定する必要がある 誤った仮定は、フォルス ポジティブあるいはフォルス ネガティブに至る アタッカーがターゲットに関する情報を NIDS より多く持っていれば、利用されることになります。 IDS にはコンテキストがない。

ネットワーク状況と無関係: 優先順位 ••• 例： Linux web サーバは、CodeRed に対して脆弱ではありません。 回線上に有効なアタックがあったが、重大なものではないか、このコンテキストでは関係のないものでした。 これはフォルス ポジティブにもフォルス ネガティブにもなりませんが、デフォルトの優先順位 (たとえば、重大な) がアタックされたターゲットに関するコンテキストにではなく、イベント タイプに割り当てられます (用語を作るために “非テキスト” )。 上記のようなことが日に何千回も発生し、IDS からのデータの価値が薄くなります。 注意： 情報の有用性が効力のある IDS の鍵です。 Linux Web サーバ インターネット CodeRed アタック ••• IDS アタック!!

ネットワーク状況と無関係: ホスト コンテキスト の欠如 ネットワーク状況と無関係: ホスト コンテキスト　の欠如 ホスト (OS IP スタック) はパケットを個別に処理します。このため次のオーバーラップが発生します。 複製物 再送 構成オプション OS がアタックされていて NIDS が機能しないことをアタッカーが知っていれば、回避が生じます。 AD 受信したオーバーラップ パケット : I A M BE CO NTEN T! 1. ハッカーがパケット ストリームに意図的にオーバーラップを投入 2. IDS/IDP は、‘一般的な’ケースを適用してパケットを処理するため、ターゲットから大きく異なることになります。 さまざまな解釈が可能であるため: CO BE M NTEN T! I A AD 両方を受け入れる CO M NTEN T! I A D B どちらも受け入れない CO BE M NTEN T! I A D 最初のものを受け入れる CO AD M NTEN T! I A B 最後のものを受け入れる

ネットワーク状況と無関係: ネットワーク コンテキストの欠如 セッション コンテンツは下位に変更できます。 TTL (有効期限) の満了により IDS/IDP 回避が可能になる MTU (最大伝送ユニット) ポリシーの変化により IDS/IDP 回避が可能になる 適正なトラフィック分析には、トポロジーの知識が重要 TTL=1 ANAT OMYS TACK ••• ANAT OMYS TACK TTL=3 ANAT OMYS TACK TTL=2 IDS TTL=1 ••• ••• インターネット ルータ ルータ ファイアウォール/IPS TTL=0 ••• ••• ANAT OMYS TACK AN AT TACK ルータ OMYS ターゲット

この問題を解決するには? 良い状態になっている場合、コンテキストをネットワーク侵入検知の内部で稼動させる必要があります。 コンテキストに必要な要素とは? ネットワーク コンテキスト トポロジー ホスト コンテキスト ホスト OS ホスト サービス 起こりうる脅威のコンテキスト 脆弱性分類はネットワークに対して利用可能

コンテキストを構成するための現在のツール アクティブなスキャナ ネットワーク プロファイルの断続的な状況 ラップトップはネットワークに接続されていないことが多い 複数のオペレーティング システムを稼動させているマシンが多い 支障のあるサーバは、簡単にアクティブなスキャナの有効範囲外に隠される 範囲が限定されている すべてのプロトコルではない すべてのポートではない すべての資産ではない サービス配信の有力な可能性 ネットワーク帯域幅の使用量 結果はバイナリ値になり、その精度は 100% 正しい、あるいは 100% 不正になる ホストベースのテクノロジ 未知のホストやサービスは検知できない 管理上の負担が非常に大きくなる

コンテキストの構成に理想的な状態 受動ネットワーク検知システム (PNDS) が、唯一の実行可能なアプローチです。 ネットワークに組み込まれているものすべてを監視 すべてのプロトコル すべてのポート すべての資産 情報が途切れない リアルタイム 常時 さまざまな技法の利用や結合が可能 パケット分析 フロー分析 プロトコル分析 信頼度モデル ネットワーク操作を中断させない 最小限の “可動部品”

脆弱性の分析 推量による VA (脆弱性診断) 起こりうる脅威のコンテキストを理解する必要があります。 ホストやホストのプロファイルに関する知識は、脆弱性や脆弱性の悪用、および改善のための処理に直接結びつきます。 ネットワークでのターゲットの探索にパケットは使われず、まったく受動です。 受動アプローチによって、脆弱性を常時監視することができます。 起こりうる脅威のコンテキストを理解する必要があります。 信頼性モデルは、 NIDS の向上により適しています。

リアルタイムの検知変更 新しいネットワーク資産 (および脆弱性) 新しいネットワーク サービス (および脆弱性) ポリシー違反 新しいネットワーク資産 (および脆弱性) ラップトップ サーバ 許可なしで設置されたデバイス ワイヤあり (ケーブル接続式) ワイヤレス 未認証のユーザ 新しいネットワーク サービス (および脆弱性) ポート プロトコル サービス ポリシー違反 デバイス オペレーティング システム アプリケーション アタックによって起こりうる影響を理解しておく必要があります。

受動ネットワークディスカバリー システムの利点

IDS: コンテキストなし

IDS: コンテキストあり IDS にホスト コンテキストとネットワーク コンテキストを提供 ターゲットベースの IDS! PNDS

イベント->脆弱性/対応関係の変更 起こりうる影響に基づいた優先順位付け 何にも関連していないイベントには関心が無い 脆弱性に関連するイベントには、より関心が強い 脆弱性に関連していて、変更に影響するイベントには、非常に関心が強い 段階的な優先順位付け 関連性 脆弱性 資産の感知性 アタックの有効性

自動調整 ランダムなアタックを検知するだけでなく、ネットワークを保護 ! セキュリティ ポリシーの動的実装 プロトコル オペレーティング システム サービス アプリケーション ランダムなアタックを検知するだけでなく、ネットワークを保護 !

フォルス ポジティブ/ネガティブを解消する ネットワーク トラフィック (パケット） エンド ホストとまったく同じ IDS/IPS でのモデル トラフィック マルチプロトコル セッション 取得 RNA リポジトリ RNA イベント ホスト プロファイル 処理 方式 = … OS/バージョン n0 OS/バージョン n1 OS/バージョン IP デフラグ OS/バージョン IP デフラグ TCP ステート マシン (ストリーム 再結合) TCP ステート マシン (ストリーム 再結合) ネットワーク ホスト プロトコル 復号化 ルールベースの 検証

コンテキスト型の応答を可能にする IDP テクノロジには、応答方法が多数あります。 警告のみ 更新ポリシー (ファイアウォール、ルータなど) ブロック セッション ブロック トラフィック (インライン型フィルタリング) コンテキストによってターゲット固有の応答が可能になります。 応答処理モジュール ターゲット ? インターネット 警告 更新 ブロック 警告 更新 警告 のみ 従業員 データベース 商取引 サーバ Web サーバ

結論

NID の発展の必要性についての概念 アルゴリズムでは不充分 フォルス ポジティブの事態は、過去 10 年、飛躍的な向上はしていない パケット/プロトコルの保護は破綻したモデル

PNDS こそが正しい解決方法 脆弱性スキャナは問題を解決してはいますが、この 1 点だけは解決しきれません。 防御側より攻撃者のほうがターゲットに関してより多くの情報を持っている環境で、的確な侵入検知の提供は見込めません。 PNDS は、広く高度に変更可能な環境に適した方法で、コンテキストの生成にまつわるすべての問題に対処します。 市場初の PNDS が 12 月に (Sourcefire 社より) 発売されます。

質疑応答