米国の物流企業がBlueCatを活用し、DNSのセキュリティと可視性を向上
米国の大手物流企業が、BlueCat IntegrityおよびEdgeソリューションを活用して、DNSのセキュリティ、可視性、脅威対策の強化をどのように実現したかをご覧ください。
この記事は、米国の大手物流会社がBlueCatのDNSソリューションを導入して内部ネットワーク可視化とDNSベースのセキュリティを強化した事例を説明します。問題としては内部トラフィックの不透明さ、DNSトンネリングによるデータ流出、ゲストネットワークの監視欠如、フォレンジック調査の遅延があり、技術的環境として中央管理型DNSとDNSEdge、Splunk統合が活用されました。導入の結果、DNSクエリの可視化、マルウェア・クリプトジャッキングの阻止、IoTとゲストネットワークの監視強化、フォレンジック応答時間の短縮など具体的な運用上の改善が得られました。
DNSEdge導入で監視・対処できる具体的な脅威には何が含まれますか?
DNSEdgeは内部および外部のDNSトラフィックを完全に可視化し、マルウェアや悪意ある内部関係者の活動を検出・阻止するセキュリティポリシーを適用できます。具体的には、仮想通貨マイニング(クリプトジャッキング)で確認された既知マイニングサイトへのクエリを関連デバイスに紐付けて通信を遮断したり、IoTデバイスが送信するビーコンの送信元IPやクエリ種類、応答を把握して疑わしい活動を調査・対応したり、DNSトンネリングによるデータ流出の発信元IP・宛先・応答を可視化して正当な利用と悪意ある利用を区別しブロック・リダイレクトすることが可能です。
DNSEdgeとSplunkの統合はどのように運用上の効果をもたらしましたか?
DNSEdgeからの包括的なDNSログがSplunkに連携されることで、セキュリティチームは企業全体のDNS異常を初めて集中して分析できるようになりました。これによりフォレンジック調査のためのデータ相関が迅速化され、以前は平均8日かかっていた対応が検索可能な全DNSログにより平均6時間まで短縮されました。また、Splunkで検知した異常に対してEdgeのUIからリアルタイムに緩和策を実行できるため、検出から対処までの時間が大幅に短縮され、運用負荷とリスクが低減しました。
DNSEdge導入後に観察された運用上の改善効果と具体的な指標は何ですか?
導入後、DNSEdgeは1日あたり約320万件の内部DNSクエリを監視し、自動ポリシーで悪意ある振る舞いをブロックするなど内部可視化が実現しました。DNSトンネリングやデータ流出に対しては約毎時720件のブロックを達成し、ゲストネットワークの全デバイスに対して監視とポリシー適用が可能になりました。フォレンジック調査については従来平均8日かかっていた相関作業が、DNSEdgeの検索可能なログにより平均6時間に短縮され、またDNSデータがSplunkへ供給されるようになったことでリアルタイムの解析と緩和が統合的に行えるようになりました。
お客様
この米国の物流企業の年間売上高は690億ドル近くに上ります。もし非上場企業であったならば、2015年の「フォーチュン500」で43位、「グローバル・フォーチュン500」で137位にランクインしていたでしょう。 約3万2,000カ所の施設と50万人以上の従業員という大規模な事業基盤を支えるため、同社は世界最大級のコンピュータネットワークを保有している。
テクノロジーは同社の事業戦略の中核をなしています。同社は、ネットワーク全体での郵便物や荷物の流れを迅速化するために、世界最先端の追跡・情報システムを活用しており、毎日文字通り数十億ものデータポイント(およびDNSクエリ)を生成しています。同社は高度なデータ分析を活用して従業員や顧客の能力を高め、成長を促進する新しい製品やサービスを創出しています。
この物流会社は、自社のコアネットワーク運用におけるDNSの価値をかねてより認識していました。 2008年、同社はBlueCat社の「Integrity」製品を導入し、中核となるDNS機能の一元化と自動化を実現しました。これにより、DNSアーキテクチャが合理化され、ネットワークの安定性が劇的に向上したほか、セルフサービスによるプロビジョニングや自動化といった、より高度な取り組みの基盤が築かれました。 また、一元化されたDNSアーキテクチャへの移行により、同社がガイドラインとして採用しているNIST 800-53で要求されるDNS関連の制御措置を容易に実装できるようになりました。
課題
一元化されたアーキテクチャを整備したことで、この物流会社は、DNSを活用して長年にわたる一連のサイバーセキュリティ上の課題を解決する方法を模索し始めました。
内部ネットワークトラフィックの可視化
ネットワーク担当者は、外部へのネットワークトラフィックを制御するために、境界レベルで高度なフィルタやファイアウォールを導入していました。しかし、その境界の内側では、ネットワークの内部動作に対する制御が不十分であり、その結果、同社は高度な持続的脅威(APT)や悪意のある内部関係者による攻撃に対して無防備な状態に置かれていました。
データ流出
同社には、マルウェアが頻繁に利用する経路であるDNSトンネリングを介したデータ流出から自社を保護する仕組みが一切ありませんでした。
ゲストネットワークの可視化
同社は、オンサイトの契約業者向けに独立した隔離ネットワークを運用しているが、このネットワーク上の悪意のある活動を監視またはブロックする仕組みは持っていなかった。
フォレンジック調査
ネットワークチームは、サイバーセキュリティ担当者や監察官室からの依頼により、フォレンジック調査の支援を頻繁に任されていました。データログを丹念に調べ、複数のドメインにわたるアクティビティを照合することは、生産性を著しく低下させ、監察官室が抱える膨大な案件への対応を遅らせていました。
SIEMデータ
サイバーセキュリティチームは、潜在的なセキュリティ脆弱性を監視し、対応するための「単一の管理画面」としてSplunkを利用しています。サイバーセキュリティ担当者は、Splunkに脅威インジケーターとしてDNSデータを追加したいと考えていました。
解決策
BlueCat社は、IT管理者に対し、同社の中央管理型DNSアーキテクチャを活用して、ネットワーク活動のパターンに関する新たな可視性を獲得するという提案を行いました。
BlueCatは、クライアント向けのDNSセキュリティシステムである「DNSEdge」のパイロット導入を提案しました。DNS Edgeを導入することで、ネットワーク管理者は、内部(「東西方向」)および外部(「南北方向」)のDNSトラフィックの両方を完全に可視化できるようになります。 この強力な情報源を活用することで、DNS EdgeはDNSクエリをブロック、監視、またはリダイレクトするセキュリティポリシーを実装する機能を提供します。また、DNS Edgeが生成する包括的なDNS情報ログにより、フォレンジック調査やネットワーク運用のリアルタイム監視も簡素化されます。
2018年、BlueCatは物流会社のネットワーク上で、DNS Edgeの第一段階の実装を開始しました。また、BlueCatはSplunkとの統合機能を備えたDNS Edgeを導入し、セキュリティ担当者が企業全体にわたる異常なDNSデータを初めて取り込み、分析できるようにしました。 BlueCatは、ネットワークチームおよびセキュリティチームに対してトレーニングを実施し、DNS Edgeの運用、セキュリティポリシーの活用、および悪意のあるネットワーク活動の監視手法について認定を行いました。
影響
DNS Edgeは、この物流会社が対象としたすべての取り組みにおいて、即座に成果を上げました。
| Before DNS Edge | After DNS Edge |
|---|---|
| No visibility into internal network traffic | DNS Edge monitors ~3.2m internal queries per day; security policies automatically block malicious/anomalous behavior |
| No mechanism to identify or block data exfiltration through DNS | DNS Edge blocks tunneling, domain generating algorithms and other data exfiltration signatures; ~720 blocks per hour |
| Forensic investigation response time averages eight days due to data correlation challenges | Searchable log of all DNS data (queries and responses), allows for correlation of relevant data in an average of six hours |
| No visibility into activity on the guest network; no ability to enact security policies on the guest network | DNS Edge monitors and applies security policies to all devices on the guest network |
| DNS data not available in Splunk | Edge providing relevant DNS data for analysis in Splunk with connection back to real-time mitigation in the Edge UI |
DNSエッジセキュリティに関する調査結果
初期のデータ収集期間を経て、BlueCatとセキュリティチームは、DNS Edgeによって特定された異常や潜在的な問題領域について共同で検証を行いました。この検証により、直ちに対策を講じる必要のある一連の深刻な脅威が明らかになりました。
脅威その1:仮想通貨マイニング
DNS Edgeのデータを分析したところ、既知の仮想通貨マイニングサイトへのクエリが確認されました。これは、マルウェアが同社のコンピューティングリソースを利用して仮想通貨を生成し、その結果をリモートサーバーに送信していたことを示唆するものでした。マイニング操作は高度に組織化され、標的を絞ったもので、主にコンピューティングリソースの使用率が低く、活動が発見されにくい時間帯に行われていました。
同社の既存のファイアウォール設定では、クリプトジャッキングの症状に対処することはできましたが、根本的な問題を解消することはできませんでした。ファイアウォールは、ペイロードデータに適用されたブラックリストに基づいて、リモートサーバーへの暗号通貨マイニング結果の送信を効果的にブロックしていました。
しかし、ファイアウォールはDNSベースのコマンド&コントロール機能をブロックできず、感染したデバイスの送信元IPを特定することもできませんでした。たとえその処理結果が外部のインターネットに到達していなかったとしても、クライアントは依然として感染したままであり、貴重なコンピューティングリソースを消費し続けていました。
DNS Edgeが生成する包括的なクライアント向けログにより、サイバーセキュリティチームはクリプトジャッキング活動を個々のデバイスと迅速に関連付け、それに応じて是正措置を講じることができました。DNS Edgeのセキュリティポリシー機能により、同社はクリプトジャッキングソフトウェア
とリモートサーバーとの間のあらゆる通信を遮断することができました。
脅威 #2:IoT デバイス
この物流会社は、日常業務の一環として、多数の接続デバイスやセンサーを使用しています。これらには、郵便仕分け機から防犯カメラ、携帯電話に至るまで、あらゆるものが含まれます。これらのデバイスは生産性を向上させ、企業に多くの有用なデータを提供する一方で、サイバーセキュリティ上のリスクも孕んでいます。
DNS Edgeの導入中に、同社はIoTデバイスに起因する潜在的に悪意のある活動を検知しました。ネットワーク上の複数のデバイスが、外部サーバーに対して絶えずビーコンを送信していました。この活動は、最終的には無害であることが判明する可能性もあります(ソフトウェアが定期的な更新を検索しているだけかもしれません)。あるいは、さらなる調査によって、コマンド&コントロール関係が明らかになる可能性もあります。
ビーコン活動が悪意のあるものかどうかを判断するには、文脈が極めて重要です。DNS Edgeは、同社のネットワークおよびサイバーセキュリティ担当者に、この活動をどのように扱うかを決定するために必要な情報を提供しました:
- DNS Edgeは送信元IPアドレスを提供したため、IT担当者はどのデバイスが海外サーバーにビーコンを送信していたかを特定することができました
- DNS Edgeはクエリの種類を提供し、デバイスがどのような情報を求めているかを示しました
- DNS Edgeが提供した応答情報からは、リモートサーバーがIoTデバイスをどのように誘導したかがわかります
このコンテキストデータを活用することで、この物流会社は、必要な調査を迅速に実施し、ネットワークに対する潜在的なリスクを軽減できるようになりました。
脅威 #3:DNS トンネリングとデータ流出
DNSトンネリングとは、一見すると通常のDNSクエリの中に実質的な情報を埋め込むデータ転送手法です。DNSトンネリングのすべての利用が悪意のあるものというわけではありません。実際、多くのウイルス対策ソフトウェアシステムでは、更新のためにDNSトンネリングを利用しています。 しかし、DNSトンネリングはマルウェアによるデータ流出に頻繁に利用されており、その検知は困難な場合があります。DNSトンネリングの規模やその背景状況を把握することは極めて重要です。
DNS Edgeを活用することで、ネットワーク管理者は自社のネットワークにおけるDNSトンネリング活動の規模を初めて把握することができました。この活動の発信元IP、宛先、および応答に関する包括的な可視性により、管理者は悪意のあるDNSトンネリングと正当な利用を区別できるようになります。
時間の経過とともに「正常な」DNSトンネリングの全体像が明らかになるにつれ、ネットワーク管理者は、不審なDNSトンネリング活動を監視、ブロック、またはリダイレクトするきめ細かなセキュリティポリシーを策定できるようになります。これらのセキュリティポリシーは、ネットワークにおける重大なデータ流出の抜け穴を塞ぐことになります。