誤検出の元凶を断つ：ULTRA REDリサーチチームの裏側 “誤検出の呪い” を解く　

ULTRA REDのリサーチチーム責任者、Eddie Zaltsman単独インタビュー

誤検出は現在サイバーセキュリティ部門が直面している最大の課題の一つです。SOCアナリストは数千件のアラートに対処していますが、その多くは真の脅威ではなくノイズであることが判明しています。しかし本当に重大な脆弱性を見逃すことなく、誤検出率1%未満を達成できるとしたらどうでしょうか。

ULTRAREDではこれが当たり前のことなのです。

今回ULTRA REDのリサーチチーム責任者、EddieZaltsmanにインタビューし、同チームがどうやってこれを実現しているのかを聞きました。2回に渡る本シリーズでは、誤検出への真剣な取り組み、AIを活用した精度向上、革新的なセキュリティ研究を実際の保護に実装しているULTRA REDチームの取り組みについて紹介されます。

まず最大の課題である誤検出そのものについて。サイバーセキュリティの分野ではあらゆるところで誤検出が発生しています。ULTRAREDのチームは一見解決不可能と思われるこの問題にどのように取り組んでいるのでしょうか？

まったくその通りで、誤検出は業界全体にとって大きな悩みです。弊社は早い段階で、従来の脆弱性スキャナーが静的チェックに依存しすぎていることを認識していました。この種のスキャナーはレスポンスに基づき学習による推測を行っていますが、実際に脆弱性があるのか、またその脆弱性はエクスプロイト可能なのかといった検証は行っていません。

ULTRAREDのブレークスルーは、弊社内で「ランタイム評価メカニズム」と呼んでいるものを実装した時に生まれました。潜在的な問題にフラグを立てるだけではなく、スキャン中に実際にリアルタイムでテストし、その脆弱性が本当にエクスプロイト可能かどうかを確認することにしたのです。わかりやすい例で言うと、「症状からみて骨が折れているようです」と医者に言われるよりも、実際にレントゲンを撮って判断するほうが確実ですよね。

それはとてつもなく複雑な作業に聞こえますが、実際にその手順を説明してください。

従来の脆弱性スキャナーは静的チェック、パターン/バージョン/シグネチャの照合に重点を置き、エクスプロイト可能性がごくわずかでもあれば、エクスプロイト可能と判断します。誤検出はこうして発生するのです。

ULTRAREDではスキャン中にリアルタイムで各シグナルを検証します。たとえばSQLインジェクションの場合、ペイロードをむやみに挿入してレスポンスを待つのではなく、確実な挙動をトリガーするようなインプットを作成し、タイミング、ロジックの変更、通常とは異なる特定のレスポンスといった測定可能な成果によって脆弱性を確認します。XSS、RCE、その他、何十種類ものベクターについても同様で、それぞれのカスタム検証ロジックを使ってアプローチします。

このように的を絞ったテストで脆弱性を確認できない場合、アラートは発しません。したがって、正確であるだけでなく、アクションにつながるアラートになるのです。

ULTRA REDの検出エンジンは他の動的スキャナーやDASTツールとどこが違うのでしょうか？

良い質問ですね。多くのスキャナーは、表面的には似たような「高機能」をうたっています。しかしそうした機能が適切に実装されているかどうか、そして実際に継続的に成果を上げることができるかどうかは疑問です。これらを大規模にうまく実施することは決して簡単ではありません。

ULTRAREDの検出エンジンは以下のような基本原則に沿っています。

●      コンテキストアウェアなクローリング：単にリンクに沿って進むことはしません。弊社のエンジンは人のようなインタラクションをシミュレーションし、単一ページのアプリケーションをインテリジェントに進み、モーダルの処理、DOMの動的な変化を解釈します。APIとWebSocket通信に対する詳細な知識も相まって、両方の機能がインテリジェントなインプットファジングの基礎を形成し、想定されるインプットタイプごとに動的にペイロードを生成します。これにより他のスキャナーでは完全に見落とされてしまうアプリケーション深部のパーツにもアプローチすることができます。

●      アダプティブペイロードミューテーション：ペイロードがフィルタリングまたはブロックされてもエンジンは停止せず、順応します。WAFの挙動など確認できるレスポンスに基づき動的にペイロードを変異させ、低レベルのツールであれば障害とするような防御機構を迂回することができます。

●      エクスプロイトの証拠検証：それぞれの検証結果には実際にエクスプロイト可能なことを示す安全で再現可能な証拠が含まれています。これは優先順位の決定と修復のために重要な点で、単なる推測ではなく確たる証拠を提示しているのです。

チェックボックスに印を付けるだけでなく、緻密さ、精度、効率のために各機能を開発しているのです。こうした特長をうたっているツールは多数ありますが、チームをノイズ対応に忙殺させることなく、重大な脆弱性を継続的に検出するために必要なレベルでこれらの特長を提供しているツールはほとんどありません。

変化の激しい分野でどうやって革新し続けているのですか？

何よりも人材が大切です。サイバーセキュリティに精通している研究者を採用しています。あらゆるエクスプロイト技法に強い関心があり、脅威情報を深く掘り下げ、クリエイティブな発想で課題に取り組んでいます。

レッドチームは大きな役割を担っています。新たな検出モジュールの開発や、レッドチームでの演習中に遭遇した障害に基づく既存モジュールの改善など、幾度となく成果を上げています。リサーチ、スキャニングテクノロジー、実際の環境への導入といった継続的なループによって、常に革新を続けることができるのです。

AIの統合についてお聞かせください。検出機能を強化するためにどのように人工知能を活用されていますか？

AIは黙々と作業する働き者です。リサーチ分野では脆弱性開示、エクスプロイトキット、異常な挙動など、大量のデータセットの処理に役立っています。しかし一番効果を発揮するのがスキャニング中です。弊社のAIはアプリケーションの基本挙動を学習し、既知のシグネチャがなくても悪意の可能性がある場合はフラグを立てます。

こうしてエッジケースの脆弱性や主流になる前のゼロデイ攻撃を発見しています。

こうした革新すべてが顧客にとっての価値につながることをどのように確認するのですか？

イノベーションのための革新は行っていません。実際にお客様が抱えている課題に対処するために行っているのです。弊社のチームはTier 3サポートとして機能しており、ツールが壊れたり、受信トレイがあふれたりするような深刻な問題を見聞きしています。こうしたフィードバックをロードマップに直接反映させています。

お客様には脆弱性の一覧を提供するだけでなく、エクスプロイト可能性ランキング付きの検証結果を提供することで、迅速に対処、修復できるようにしています。

誤検出を減らそうとしている他のチームに何かアドバイスはありますか？

あらゆるものを検証することです。検出だけして検証しなければ単なる推察で終わります。そして自動化は重要ですが、推察ではなく実際のロジックに基づくものでなければなりません。

人的要因も軽視してはなりません。最も優れたツールは攻撃者のマインドセットをよく理解している人が作っています。誤検出との戦いには熱意、クリエイティビティ、関心が何より大切です。

Eddieのインタビュー第2弾では実際の事例を詳しく紹介し、他では見落とされがちな重大な脆弱性をULTRA REDがどのように発見しているのかをお聞きします。

ULTRA REDによるセキュリティ環境の強化について詳しくお聞きになりたい方は、弊社チームにお問合せください。1%未満の誤検出率達成事例をお伝えします。

‍