IBM 研究所、クラウドの脅威に対抗するため SysFlow をオープンソース化

IBM Research Labs は最近、クラウドおよびコンテナ環境の脆弱性を見つけるためのオープンソース セキュリティ ツールキットである SysFlow のリリースを発表しました。 SysFlow は、ネットワーク保護における一般的な問題を解決するように設計されています。最新のセキュリティ監視ツールは、ファイルの変更などの個々のイベントに至るまで、システム アクティビティを高い精度でキャプチャできます。

[[312846]]

これは便利ですが、多くの「ノイズ」も発生し、脅威を発見するのが難しくなります。 IBMの研究員フレデリコ・アラウジョ氏とテリル・テイラー氏は、このような状況で脆弱性を見つけることは「干し草の山から針を探すようなもの」だと語った。

SysFlow により、セキュリティ チームが精査しなければならない情報の量が減少します。このツールキットは、特定のシステムから運用データを収集し、そのデータを、個々のイベント (HTTP 要求など) ではなくシステムの高レベルの動作を示すモデルに圧縮できます。このようなローカライズされたイベントも表示できますが、SysFlow は詳細な分析に必要なコンテキストを提供するのではなく、関連する動作パターンと関連付けます。

Araujo 氏と Taylor 氏はブログ投稿で脆弱性のシナリオを実演しましたが、このツールキットは非常に便利であることがわかりました。ハッカーは企業ネットワーク上で脆弱な Node.js サーバーを見つけ、そこに悪意のあるスクリプトをダウンロードし、機密性の高い顧客データベースにハッキングしたと推測されました。

「高度な監視ツールは切断されたイベント ストリームしかキャプチャできませんが、SysFlow はシステム上の各攻撃ステップでエンティティを接続します」と 2 人の研究者は説明しています。 「たとえば、強調表示された SysFlow トレースは、攻撃キル チェーンの各ステップを正確にマッピングします。つまり、node.js プロセスをハイジャックし、ポート 2345 でリモート マルウェア サーバーと通信して、悪意のあるスクリプトをダウンロードして実行します。」

SysFlow はセキュリティ チームが脅威を検出するのに役立つだけでなく、その過程でハードウェア リソースも節約します。 IBM によれば、このツールキットは従来のツールに比べてセキュリティ データ収集率を「桁違いに」削減します。

SysFlow には、疑わしいイベントを自動的に検出するようにカスタマイズできるルール エンジンが組み込まれています。このツールキットは、脆弱性に加えて、財務記録を不適切な場所に保管するなどの規制違反も検出できます。より詳細な検出が必要な場合、セキュリティ チームはカスタムの脅威識別アルゴリズムを SysFlow にプログラムできます。

IBM は、このプラットフォームを他のオープンソース ツールと併用できると考えています。 「SysFlow のオープンなシリアル化形式とライブラリにより、オープンソース フレームワーク (Spark、scikit-learn など) やカスタム分析マイクロサービスとの統合が可能になります」と Araujo 氏と Taylor 氏はブログ投稿に書いています。

SysFlow は、生のシステム データを悪意のある動作の高レベルのビューに変換する機能を備えており、これは他のソリューションでも提供されています。最近資金提供を受けた新興企業 Cyber​​eason を含む複数のセキュリティ ベンダーは、攻撃者が企業ネットワークに到達するためにたどる経路を追跡できる商用調査ツールを提供しています。しかし、IBM が SysFlow をオープンソース形式で無料で提供することで、SysFlow はセキュリティ ツール エコシステムの中で特別な位置を占めることになります。