« ジーコの背後霊 | トップページ | エントロピーはなぜ増加するのか »

2005.02.12

こんなセキュリティ機器が欲しいなぁ


「イベントごとの重要度」ではなく、「いつもと違う!」 に注目して警報あげてくれるIDS。 


最近のネットワーク侵入検知システム(NIDS)ってのはかなり性能がよろしいようだ。 メーカーが提供してくれるシグネチャも結構かしこいし、性能的にも太い帯域もカバーできるようだし、たくさんの装置を集中的に管理する便利な仕組みもある。 FWとの連携なんて当たり前だし、他のセキュリティ機器、たとえば疑似アタックしてくれる装置との連携までやってくれたりする。

で、社外との接続部分でも社内の重要な部分でも、きちんと運用さえしていれば大抵の悪事の兆候は把握することができるわけだ。 実際に試したことがあるが、監視されてるネットワークで一般的な悪事の手順を踏めば、必ずどこかでイベントとして拾うことができる。
 
 
しかし、よくいわれる話だが、IDSってのは絶え間ないチューニングとひたすら根性いれた人間の目での監視を行わないと、実際に悪事が行われる前の兆候をつかむ事は難しい。

力業の派手な攻撃なら簡単に検知できるのだが、陽動や偽装までする用意周到な悪人相手だと、事が為された後にログを調べて「あ~、この時のこれが悪事の準備だったんだぁ。リアルタイムで気がついていれば……」てな感じになるんだな。

問題は、特に社内LANでは、業務で普通に利用される(不正じゃない)のにIDSでは不正と定義されているイベントが大量にでてくきてしまうため、本当に不正なイベントがそれらの山に埋もれてしまうことなわけだ。
 
 
で、IDSが検知する山ほどあるイベントのうち本当に注目すべきものは何かを考えてみると、それは個々のイベントの危険度というよりも、「なんとなくいつもと違うぞ」てなフィーリングなわけだな。

いつもは出ないイベントが今日は出る。 今日に限って通信量や、あるイベント量が多い。または、少ない。 ……とかね。

いつもと同じ傾向なら、どんなに危険なイベントが検知されても無視していい。 逆に、いつもと違う傾向なら、安全と定義されているイベントでも調査してみる必要があるわけだ。

本当は、人間の力で静的なシグネチャとかルールベースとかを適切にチューニングするべきなんだろうが、そうはいっても量的なパターンまで含めて人力でチューニングするのはかなり難しいわな。
 
 
てなわけで、通常の状態を自動的にパターン化して、それからはずれるものをイベントとして警報してくれる製品が欲しい。

曜日や時間帯によるパターンとか、通信相手とか、もちろんイベントの中身まで考えて、きちんとルールを動的に生成してほしい。もちろん、小難しいチューニングなしで、素人でも使えるものじゃないとイヤ。 それっぽい事をやってくれる製品もポツポツあるようだが、まだまだかなりいい加減らしいし。
 
 
リアルタイムがどうしても無理なら、過去の膨大なログから「いつもと違う」ものを抜き出してくれるツールでもいいぞ。 AIとかニューラルネットワークとか、スペクトルとかフラクタルとか使って、なんとかならんもんか?

|

« ジーコの背後霊 | トップページ | エントロピーはなぜ増加するのか »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18696/2896736

この記事へのトラックバック一覧です: こんなセキュリティ機器が欲しいなぁ:

« ジーコの背後霊 | トップページ | エントロピーはなぜ増加するのか »