暗号化トラフィックの分析
暗号化トラフィック分析は、復号化することなく、ネットワークセッションの暗号化をチェックしてマルウェア検出を行います。遅延やプライバシー侵害のリスクなしに、暗号化されたトラフィックの可視性が向上します。暗号化トラフィックに隠れて仕掛けられたマルウェア攻撃が増加しており、コンプライアンスを満たしながら必要なレベルの保護を確保するには、悪意ある SSL トラフィックを検出する機能が重要になります。
オンラインデモ暗号化トラフィックへの対策
暗号化されたトラフィックは、ほとんどの IT 管理者にセキュリティ脅威の潜在的なソースと見なされています。通信のプライバシーを侵害したり、インフラストラクチャのパフォーマンスに影響を与えたりすることなく、SSL/TLS トラフィックに隠されたリスクを検知することが求められます。
Flowmon ソリューションはこのニーズを満たします。拡張性が高く、インフラストラクチャのパフォーマンスを低下させずに暗号化トラフィックに隠されたリスクを検出します。トラフィックを復号化しないのでプライバシーも保護されます。
暗号化トラフィック分析の仕組み
Flowmon の暗号化トラフィック分析は、パッシブプローブを使用してネットワークトラフィックの IPFIX 形式のメタデータを収集し、TLS プロトコル情報などで強化します。クライアントとサーバー間の暗号化されたセッションの属性は、クライアントの物理的な場所や、サーバーがデータセンターで運用されているかクラウドで運用されているかに関係なく利用できます。そのため、トラフィックに関する豊富な情報が得られ、期限切れの SSL 証明書、ポリシーに準拠していない証明書、暗号化の強度、障害や脆弱性が含まれる可能性のある古い TLS バージョンなどを識別することができます。機械学習エンジンは、このデータを使用して振る舞い分析と異常検出を実行し、マルウェアやその他の脅威を特定します。
このアプローチは、プライバシーを侵害したり、パフォーマンスを低下させたりすることはありません。トラフィック量に関係なく、洞察力に富んだ分析を提供します。また、データは集約された形式で保存されるので、保存スペースも少なくてすみます。
Flowmon のアプローチのメリット
コンプライアンスとセキュリティ
コンプライアンスの監視
- 対処が必要な、期限切れ、または準拠していない SSL 証明書を検出
- キーの長さやアルゴリズムをチェックして暗号化強度を確認
- 脆弱性がある、使うべきでない TLS バージョンを検出
- サーバー名識別で検出された、望ましくないサイトにアクセスする不適切なクライアント
サイバー脅威の検出
- SSL パラメータの異常からマルウェア感染ステーションを診断
- JA3 フィンガープリントでマルウェアに感染した C&C サーバーを検知
- 異常な証明書または不正な証明書を特定することで中間者攻撃を検出
- データ漏洩を示す不審なパケットサイズ
ユースケース: JA3 フィンガープリント
JA3 フィンガープリントは、悪意のある脅威を検出したり、少なくとも侵害の兆候 (Indicator of Compromise、IoC) を見つけたりするための効果的な方法です。このメソッドは、TLS 通信の5つのパラメータ (バージョン、暗号、拡張機能、楕円曲線とその形式) を組み合わせて、MD5 ハッシュを生成します。この手法は様々なクライアントを識別するのに十分だと考えられ、例えば、"e7d705a3286e19ea42f587b344ee6865" は、標準 TOR クライアントの JA3 フィンガープリントです。
Flowmon の JA3 フィンガープリント例
この方法はシグネチャに大きく関与しており、Flowmon は公開されている JA3 フィンガープリントのデータベースを利用します。これは暗号化トラフィック分析の重要な部分であり、潜在的な脅威を検出できます。
