AILabs | MONITORAPP

脅威インテリジェンスとは?

IT分野を中心とした調査・助言を行うガートナーの定義によると、脅威インテリジェンスは、企業の情報資産に対する既存または新たな脅威や危険の対応に使用できるように、コンテキスト、メカニズム、インジケータ、影響、実行可能な助言等のフォーマットで提供する証拠に基づいた知識であります. 言うなれば、蓄積したサイバー攻撃の脅威を分析して、セキュリティ対策に活かす取り組みです.

APTとゼロデイ攻撃の時代. 脅威インテリジェンスの必要性は?

ハッカーがサイバー攻撃の速度と規模を増加させる自動化されたスクリプトで攻撃を行い始めたことで、サイバー攻撃の手口が高度になっています. このように高度化された昨今のサイバー攻撃を「APT」と称します. APT攻撃は、既存のセキュリティソリューションを迂回していて、従来のセキュリティソリューションでは対応が難しくなっています. まさに知能化攻撃の時代です.

こういう知能化攻時代でセキュリティのキーワードの一つが「未知の攻撃」です. 従来の手動的な攻撃検知ソリューションの対応では、未知の攻撃による脅威の存在も見つかりにくい攻撃手口です. まだ世界の中に知られていない攻撃であるため、セキュリティソリューションで備えていても完璧には防げない攻撃を「ゼロデイ攻撃」と称します. こういう知能的な攻撃に対応するためには、防御にも知能化が必要です. これが、機械の速度で分析し、その結果を早速に反映することで、リアルタイムで新しい脅威に対応できる「脅威インテリジェンス」が必要である理由です.

脅威インテリジェンスはクラウド技術の発展によって実装可能になりました. 毎日新しく発生するセキュリティイベントやデータは、リアルタイムでクラウド上で収集されます. こういう収集情報は脅威インテリジェンスに搭載している機械学習によって高い速度で分類されます. 攻撃の検出や遮断に重点を置く従来のセキュリティソリューションに人工知能を搭載した脅威インテリジェンスを組み込んだらより効果的にセキュリティ対策を備えることが可能です.

モニタラップの脅威インテリジェンスプラットフォーム「AILabs」

モニタラップの脅威インテリジェンスプラットフォームを紹介します. AILabsは、モニタラップの独自開発しクラウド環境に構築したシステムであり、新たな攻撃技術や攻撃者に関する脅威情報をリアルタイムで提供します. AILabsには、シグネチャ/レピュテーション基盤検出、全トラフィック検査、プロファイリング、リアルタイムの情報収集/共有、サードパーティ連動、データマイニング、ビックデータ分析機能を搭載しています.

様々な脅威情報が自動的に収集され、分析した後に色々のセキュリティソリューションにリアルタイムで配布されます. 自動的に仮想パッチにも対応しています.
AILabsはモニタラップのすべてのソリューションと連動されています. 各ソリューションから収集したデータは機械学習とプロファイリング技術で分析・分類され、未知の攻撃にも対応できるようにします. AILabsは、以下の「収集 > 分析 > 処理 > 配布」の流れの仕組みになっています.

Collection

Analysis

Processing

Distribution

Malicious Code
- Malicious URL
- Landing Site
- Distribute Site
- Domain, IP
- Malicious URL DB
Hash
Bad Crawler.bot
Various logs
3rd party Integration
API List
Others

Dynamic Analysis
- URL visit analysis
- API comparison analysis
- Similarity Profiling Analysis
Static Analysis
- Pattern comparison analysis
- Category Analysis
- Historical Analysis
Reputation Analysis
Machine leaming Analysis
Others

Data correction and mining
Big Data Analysis
Correlation Analysis
Others

Deploying with
Rest API
3rd party Integration
AI Product

1. 各種脅威情報の収集と配布
悪意のあるコードの攻撃プロファイルの分析（悪意のあるコード、エクスプロイトURL、およびインバウンドの感染と攻撃を引き起こすその他のソースを含む）メールの添付ファイルとURLの分析を行います. 悪意のあるコードのコールバック宛先（使用されている宛先IPアドレス、プロトコル、使用されているポート）悪意のあるコード通信プロトコルのその他の特性（送信セッションのインスタンス化に使用されるカスタムコマンド等）の分析の対象となっています.

2. 膨大なWEB脆弱性に基づいたビックデータ
モニタラップは3,000個以上のサイトで15年間WAFソリューションを運用していることで、脅威インテリジェンスの最も重要なWEB攻撃情報に関する膨大なデータに基づいた包括的な脆弱性情報が提供します. WEB脆弱性インテリジェンスには、リスクスコア、影響を受ける製品、パッチの可用性と利用率など、さまざまな状況特性が含まれます. NVD（National Vulnerability Database）およびその他のセキュリティソリューションとクロール技術を使用して、脅威関連のビッグデータを作っています.

3. 相関分析による有意味の情報
「AILabs」のデータは、様々な一見異なる指標との因果関係および相関関係を特定するために、十分に検証及び分析されています. 多くのデータがグローバルに分析され、現在アクティブな脅威情報が検出され、すぐ利用可能な重要脅威情報に加工されます.

4. 機械学習とビックデータ分析により未知の攻撃防御
AILabsの機械学習エンジンは、未知の脅威も発見します. ビッグデータに基づいた機械学習は、プロファイリング技術では把握できない異常な脅威の特定も可能であるためです.

5. リアルタイムの自動データ収集、データフィード、仮想パッチ
リアルタイムデータはすべてクラウドに収集されます. 集計及び分析された情報は、各ソリューションに対してリアルタイムで更新されます. つまり、「AILabs」には自動化されたデータフィードシステムがあります. プラットフォームで蓄積及び正規化されたデータは、フィルター処理、分析、スコアリング、自己強化され、適切なデータ形式に処理されます. 様々な形式のインテリジェンス結果は、Resｔ APIを通じてセキュリティソリューションで更新されます. また、脅威の脆弱性についても自動的に更新されます.

6. 自己開発 / 運用脅威インテリジェンスプラットフォーム
「AILabs」は、監視ラップ自体が開発及び運用する脅威インテリジェンスプラットフォームです. 個別に購入した脅威インテリジェンスサービスは、リンクされた問題、また違う開発による不便さ及び運用上の困難につながる可能性があります. モニタラップのセキュリティソリューションを選択すると、AILabsを介した脅威がすぐに適用されます. モニタラップ製品用に最適化された形式で継続的に開発及び運用されます.

Cover Story

MONITORAPP Threat Intelligence Platform, AILabs