NIRVANA改の横断分析機能を可視化する「Organizations View」。青色のリングは組織を表し、各組織中央のオレンジ色の円柱は、組織内で検出されたサイバー攻撃の進行度をMITRE ATT&CKに沿って表示したもの。詳しくは本文参照
国立研究開発法人情報通信研究機構(NICT)は6月13日、サイバー攻撃統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」の新機能として、複数の組織から攻撃情報を収拾し、俯瞰的な分析を可能にする横断分析機能を開発したと発表した。
NIRVANA改は、2013年にNICTが開発。大規模ネットワークの管理を支援するネットワークリアルタイム可視化システム「NIRVANA」にセキュリティ分析機能を加え、組織内の各種セキュリティ機器が発するアラートを集約・分類・相関分析することで、アラートの優先順位付け(トリアージ)や、異常な通信の遮断するアクチュエーション(自動処理)などを可能にする。
これまで、エンドホスト連携機能と自動防御機能の搭載、IPv6対応などのバージョンアップが行われていた。また、SECCON向けにCTFの攻防戦を可視化したカスタムバージョンが提供されたりもしている。
複数組織のエンドポイントからの情報を集約し、総合的に分析
今回の新機能である横断分析機能は、各組織のPCなどのエンドポイントに攻撃情報を収集するエージェントプログラムを導入し、これによって不正な挙動を行うプロセスを分析し、マルウェアを検出する。同時に、その挙動からMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge:サイバー攻撃者の攻撃手法や目的をの情報を収拾したフレームワーク)で規定されているサイバー攻撃の戦術(Tactics)および手法(Techniques)を特定する。
エンドポイントで収集した攻撃情報はNICTのデータセンターに集約され、複数の組織を横断する俯瞰的な分析が行われる。これにより、異なる組織で同時期に発生している攻撃の共通性や、特定の組織や分野に対する攻撃の局所性など、一組織だけでは知り得なかったサイバー攻撃の大局的な状況を、NICTが把握できるようになる。
これにより、従来は組織ごとに行われてきたスタンドアロン型のセキュリティ対策から、結節点となる組織を中心にして複数の組織が緩やかに連携するネクサス(つながり・集団)型の新たなセキュリティ対策を確立し、日本のサイバー攻撃対処能力の向上が期待できるとしている。
組織の拡大表示。エンドポイントはモノリスで表現され、マルウェアが検出されると白いアラートが表示される。中央の円柱にMITRE ATT&CKの戦術(Tactics)が表示され、この図では、組織からデータが持ち出されようとしている状態である窃取(Exfiltration)まで攻撃が進行している
組織内での横展開の攻撃が行われている図。MITRE ATT&CKの手法(Techniques)ごとに履歴が強調表示されて時系列で攻撃の進行を確認でき、この図では、単一のエンドポイントを起点に別のエンドポイントへの横展開(Lateral Movement)を狙った攻撃が複数行われていることが分かる
NICTでは、NIRVANA改の横断分析機能を複数の国内組織と連携して導入・運用を進め、ネクサス型セキュリティ対策のプラットフォーム構築を目指すとしている。
なお、NIRVANA改の横断分析機能は、2023年6月14日~16日に開催される「Interop Tokyo 2023」(幕張メッセ)で動態展示される予定。
サイバー攻撃の大局的な把握の図。この図では、オレンジ色の柱が見える図中の01、02、06の組織にて、同時に同種の手法による横展開の攻撃が発生していることが可視化されている
戦術ごとの検出数の統計。この図では、窃取(Exfiltration)まで攻撃が進行している組織が1つあることが分かる
