デルとEMCジャパンは2020年4月14日、サイバー攻撃対策製品群の新版「RSA NetWitness Platform 11.4」を発表した。同日提供を開始した。新版では、可視化できる領域を拡大するとともに、検知スピードを高めた。価格(税別)は、要問い合わせ。ユーザー数やライセンス体系(買取/年間ライセンス、提供形態(ハードウェア、仮想アプライアンス、クラウドサービス)によって異なる。
RSA NetWitness Platformは、サイバー攻撃や標的型攻撃に対策するための製品群である。エンドポイントでのマルウェア感染を調べる製品、ログやネットワークパケットを分析して標的型攻撃を検知する製品、インシデント対応プロセスの標準化などによってSOC(セキュリティオペレーションセンター)の運用を支援する製品などで構成する(関連記事:標的型対策の「RSA NetWitness」新版、分析対象データを増やして脅威の検知能力を向上)。
ログに加えてパケット情報も学習
新版では、パケット情報をマシンラーニング(機械学習)で学習することで、可視化できる事象を広げた。ユーザーやデバイスのふるまいを分析して不審な行為を特定するUEBA(User and Entity Behavior Analytics:ユーザーおよびユーザー以外のふるまい分析)製品「RSA NetWitness UEBA」にマシンラーニング機能を追加した形である。
従来は、マシンラーニングの学習用データソースとして、各種のログやエンドポイントのログを利用していた。今回新たに、ネットワークパケットのメタデータをマシンラーニングで学習できるようにした。学習量が格段に増えたことで、シンシデントを検知する精度が向上し、可視化の領域が広がった。
パケットを学習した情報は、異常検知モデルに適用する。通常値(ベースライン)と継続的に比較し、許容値を超えるものを不正が疑われる行動として検知する。さらに、新しく装備した24種類のインジケータ情報と組み合わせてアラートの精度を高める。また、重要度などに基いてリスクスコアを算出し、3種類のアラート(「データ流出の疑い」、「フィッシングの疑い」、「標準時間外の活動」)を示す。
ヘッダー情報でSSL暗号化通信に潜む脅威を検知
新版では、SSL通信に潜む脅威を検知する機能を追加した。RSA NetWitnessの従来版では、他社のセキュリティ機器が復号した情報を用いてSSL暗号化通信を可視化していた。
新版では、RSA NetWitness UEBAを強化し、SSL暗号化通信のヘッダー部分の情報を学習するようにした。これにより、復号装置を利用しない状況においても、データ流出の疑いなど複数の脅威を検出できるようにした。
RSA NetWitness UEBAの新版は、SSL通信において暗号化されていないヘッダーの一部を、独自のインジケータで参照する。これを通常値(ベースライン)と比較し、逸脱していた場合にアラートを出す。
例えば、SSL通信が示す通信先の国、ポート、ドメイン、SSLサブジェクト、――などの情報を学習する。これらが通常と異なる場合と、トラフィックボリュームが多い場合は、フィッシングの疑いのある通信とみなす。情報漏洩が疑われる通信では、通信先ポートや送信元のトラフィックボリュームの多さが判断材料となる。
イベント検索機能を強化し、問題解決までの時間を短縮
新版では、事象の調査するためにアナリストが多様するイベント検索機能も強化した。イベント分析画面に検索機能を集約するとともに、いくつかの機能を追加した。
新機能として、検索にメタキーを使用しないフリーテキスト検索、検索結果のソート機能とグルーピング機能、クエリー共有が可能になるプロファイル作成機能、――がある。プロファイル作成機能を使うと、上級アナリストが作成したクエリープロファイルを他メンバーと共有する、といった運用がとれる。