Application Frameworkが“Cortex”に進化、大量のログデータ分析/学習で標的型攻撃/APTを検知
パロアルト、AIで高度な脅威の検出/対処を自動化「Cortex XDR」
2019年04月08日 07時00分更新
パロアルトネットワークスは2019年4月5日、高度なサイバー攻撃/セキュリティ脅威対策のための新しいクラウドサービス「Cortex XDR」の国内提供開始を発表した。同社のネットワーク/エンドポイントセキュリティ製品から収集した大量のデータを統合/蓄積し、AI/機械学習の適用によって“異常なふるまい(挙動)”を自動的に検出、その後の調査/対処の作業も省力化することで、セキュリティ人材不足の状況下における高度なセキュリティ対策を支援する。
「Cortex XDR」の機能概要。AI/機械学習で大量のログデータから脅威を自動検出する
パロアルトネットワークス 代表取締役会長兼社長のアリイ・ヒロシ氏
パロアルトネットワークス サイバーセキュリティ営業本部 セールスマネージャーの広瀬努氏
「セキュリティ専門家の代わりにAIが検知する」Cortex XDR
同社 セールスマネージャーの広瀬努氏はCortex XDR(XDRは「Crossover Detection & Response」の略)について、ネットワークとエンドポイントのログデータを収集/分析/連携することで、検知や対応を自動化、高度化するものであり、従来のNTA(Network Traffic Analysis)やUEBA(User and Entity Behavior Analytics)、EDR(Endpoint Detection & Response)の機能が統合されていると説明した。
具体的には、パロアルトの次世代ファイアウォール製品(PAシリーズ、VMシリーズ)やエンドポイントセキュリティ製品(Traps)を“セキュリティセンサー”として扱い、大量のログデータを収集する。多様な環境/拠点から収集したログデータを多角的に分析することで、一般的なセキュリティ製品では検知の難しい高度な脅威も自動的に検知する。
1つめの機能「AIによる攻撃の自動検出」
広瀬氏は、Cortex XDRが対象とするサイバー攻撃は、件数としては「1%未満」に過ぎないものの大きな被害が発生する、標的型攻撃のような高度な攻撃だと説明する。
通常こうした高度な攻撃では、攻撃者は侵入後も長期間にわたって潜伏し、気付かれないようにゆるやかに(時間を空けながら)行動する。これに対抗するため、これまでは多数のセキュリティツールを導入するアプローチが取られてきたが、その結果としてセキュリティ担当者は大量のアラートに悩まされる事態になっている。さらに攻撃の全体像を理解するためには複数の情報(ログ)を“つなぎ合わせる”必要があり、そうした作業にも人手がかかっていた。担当者の作業負荷が高まった結果、「(攻撃への)対策どころか、情報収集すらままならなくなっているのが現状」だと、広瀬氏は指摘する。
そこでCortex XDRでは、AI/機械学習技術を活用して「専門家の代わりにAIが検知する」(広瀬氏)。具体的には、データ分析と脅威の検出に「プロファイリングエンジン」を用いて、通常時におけるユーザー/ホストのふるまいを自動的に学習することで、攻撃が疑われる異常なふるまい(アノマリー)を検知する。実行プロセスだけでなくホスト間の通信も監視対象であり、これにより脅威の内部拡散(ラテラルムーブメント)も早期に検知できる。
Cortex XDRはAI/機械学習を活用した「プロファイリングエンジン」を備える。 行動履歴だけでなく、通信履歴(ピア)も監視対象となる
さらに攻撃検出後の原因調査や対策(封じ込め/再発防止)も、大量の蓄積データから関連するものだけを自動的に抽出し、時系列に沿って関連付けや可視化を行う機能も備えている。こうした機能を活用することで、検知後の迅速な調査や対策も可能になる。
脅威が検知された場合の原因調査や関連情報の収集も自動化される。これにより、インシデントレスポンスの迅速化と省力化が実現する
デモ画面より。あるホストが200以上の存在しないIPアドレスへの接続を試みており、異常なふるまいとして検知されている(左)。原因調査を行うと、ダウンロードしたExcelファイルを開くとPowerShellスクリプトが実行され、カーネルが不正なプロセスを起動するファイルレス攻撃だと判明した(右)
なおCortex XDRでは、大量のログデータをCortexプラットフォーム上の「Cortex Data Lake」サービスが収集し、正規化(共通フォーマット化)したうえで蓄積したものを分析/学習する。Cortexプラットフォームは従来のApplication Frameworkを、またCortex Data Lakeは従来のLogging Serviceを、それぞれリブランド/機能強化したサービスとなる。
Cortex XDR、Cortex Data Lakeの利用は年間契約形式で、価格はオープン。広瀬氏によると、XDRは解析対象とするログデータの容量、Data Lakeは保存するログデータの容量に応じて、それぞれテラバイト単位で年額が計算される。また、XDRの分析対象はパロアルト製品(次世代ファイアウォールやTraps)のログデータであり、それらの製品の利用が前提となるが、XDRにはフル機能版Trapsの利用ライセンスが付属する。
なお今回の発表に合わせて、Trapsの最新版(Traps 6.0)もリリースされている。新機能として、複数の連続するプロセス起動から攻撃を検知する「ふるまい型脅威防御エンジン」、脅威検出時にホストレベルでネットワーク隔離やファイル隔離、プロセス停止を実行できる機能などが追加されている。
「Traps 6.0」の新機能。より検知しにくい攻撃も検知できるようになった
Cortexプラットフォーム、SOARのデミストを組み合わせ“AIを使った自律型SOC”へ
発表会では、Cortex XDRの動作基盤となっているCortexプラットフォームや、3月に買収したデミスト(Demisto)のSOARサービスも含む将来の方向性についても紹介された。
前述したとおり、Cortexはパロアルトネットワークスが2017年から提唱してきたApplication Frameworkそのものであり、データ分析やAI適用による高度なセキュリティアプリケーションの開発基盤として、サードパーティにもオープンにしていく。同社のオンラインカタログ(Cortex Hub)を参照すると、すでに10数社のパートナーアプリケーションがラインアップされている。
「われわれ1社だけでなく、サードパーティや顧客自身でも開発可能にするオープンなプラットフォームとして提供する。これにより、セキュリティアプリケーションの革新を狙う」(広瀬氏)
CortexとCortex Data Lakeの概念図。蓄積したログデータを活用するセキュリティアプリケーションを、サードパーティやユーザー自身でも開発可能にする
なおパロアルトでは2018年12月、グーグルとのクラウド領域でのパートナーシップ強化を発表しており、CortexプラットフォームはGoogle Cloud Platform(GCP)上に構築されている。同社 代表取締役会長兼社長のアリイ・ヒロシ氏は、今年中にはCortexプラットフォームをGCPの国内リージョンでも展開する計画であると明かした。
また同社は今年3月に、インシデント対応を自動化するSOAR(Security Orchestration and Automation Response)ベンダーのデミスト(Demisto)を買収している。デミストの自動化技術によって「人による確認が必要なセキュリティアラートを最大95%削減できる」としており、広瀬氏は、パロアルトではCortex XDRやデミストを組み合わせることで、将来的には“AIを使った自律型SOC”の実現を狙っていると説明した。
