アイデンティティベース攻撃からの自動防御
このブログはこちらの英語ブログ(2024年6月28日公開)の翻訳、細谷 卓によるレビューです。
アイデンティティは、現代のセキュリティ戦略の基盤です。アイデンティティベース攻撃は増加傾向にあり、ほとんどのデータ侵害は認証情報の窃取によって引き起こされています。1万8,000社以上のお客様を抱え、毎月数十億件の認証をアイデンティティプラットフォームで処理しているOktaは、こうしたアイデンティティベース攻撃の最前線に立っています。
先月だけでも、Oktaは悪意のあるトラフィックと正当なトラフィックをリアルタイムで分離するパイプラインを使用して、約23億8,000万件の悪意のある要求をブロックしました。これは、Okta Workforce Identity Cloudへの全ログイン試行の20%以上を占めています。
このブログでは、このパイプラインのさまざまなレイヤーの詳細について説明します。特に、AIベースのコンポーネントに焦点を当てます。また、お客様がこれらの機能を使用して、さまざまな種類のアイデンティティベース攻撃からユーザーを保護する方法についても説明します。
多層防御
アイデンティティベース攻撃から防御するには、以下の理由により、複数のレイヤーを使用する多層防御の戦略が必要となります。
- 多くのアイデンティティベース攻撃は非常に巧妙であり、悪意のある要求と正当な要求を区別するために、1つの防御レイヤーだけでは必要な情報すべてに対応できません。複数のレイヤーを用いることで、要求の正当性を判断できます。
- 攻撃を自動的に検知するパイプラインでは、常に誤検知(正当な要求を悪意あるものと誤って判定)と見逃し(悪意ある要求を正当なものと誤って判定)が発生します。誤検知と見逃しに対する許容範囲は組織ごとに異なるため、セルフサービスで構成でき、誤検知の削減と見逃しの削減のバランスをとるためのレイヤーがパイプライン内に必要です。
- アイデンティティベース攻撃には、パスワードスプレー、ブルートフォース、フィッシング、セッションハイジャックなど、さまざまな種類があります。単一の検知/適用戦略がすべての攻撃に有効であるとは限りません。パイプラインには、特定の種類の攻撃に対処するレイヤーが必要です。
このスタックの各レイヤーでの検知には、主に2つの側面があります。
- 品質:検知の品質は、誤検知率と見逃し率を組み合わせることで決定できます。両方を最適化することを目指す一方で、レイヤーごとに異なる基準を使用して、どちらか一方を優先します。
- 修復オプション:修復オプションが多要素認証(MFA)ではなくブロックのみの場合は、誤検知を減らすことが非常に重要です。
- 除外の構成:管理者が検知をセルフサービスで無効にできない場合は、誤検知を減らすことが重要です。
- 遅延:正当なユーザーの応答時間に影響を与えずに、すべての検知を実行することが重要です。
このパイプラインのすべてのレイヤーの詳細を見てみましょう。レイヤーは、ログイン要求のパスで呼び出される順序で記述されます。これらのレイヤーの順序と各レイヤーでサポートされる機能は、将来変更される可能性があります。
Okta Edge
これは、要求のエントリポイントであり、防御の最前線です。このレイヤーには、DDoS攻撃を検知して保護するための多くの制御が含まれています。Oktaは、大規模な認証情報ベースの攻撃から保護するために、Edgeのすべてのテナントについてブロックされている悪意のあるIPを特定するパイプラインを構築しました。Okta Edgeでサポートされている機能の構成は、いかなる部分もお客様が変更することはできません。
ブロックリストゾーン
お客様は、IPアドレス、位置情報、IPサービスカテゴリ、自律システム番号(ASN)の特定の組み合わせをブロックリストゾーンとして作成し、ブロックすることが可能です。これらのゾーンに一致する要求については、Okta Workforce Identity Cloudのすべてのエンドポイントへのアクセスがブロックされます。
多くの認証情報ベースの攻撃は、匿名化プロキシサービスを経由した要求を含んでいます。Oktaは、最近リリースされたセルフサービスの早期アクセス機能を有効にして、すべての匿名化プロキシをブロックするデフォルトゾーンを作成することを推奨しています。特定のIPサービスカテゴリに例外を追加したい場合は、別のセルフサービス早期アクセス機能を使用することで、強化された動的ネットワークゾーンのサポートを利用できます。
Oktaは過去1か月で、ゾーン構成に基づいて約3億1,800万件の悪意のあるWeb要求をブロックしました。Oktaは、IPに関連する位置情報、IPサービスカテゴリ、ASNを解決するために、複数の外部ベンダーを活用しています。
Oktaは、次の2つの側面に焦点を当てて、継続的にゾーンをスケーリングしています。
品質:古いデータフィードによる誤検知と見逃しを減らすため、外部データフィードが利用可能になってから24時間以内に更新するデータパイプラインを構築しました。
遅延:すべてのWeb要求のIPメタデータを解決します。このような大規模の処理に対処するため、すべての外部プロバイダーからのメタデータの解決において非常に低い遅延(95パーセンタイルが50ミリ秒未満)を維持するための改善に継続的に取り組んでいます。
ThreatInsight
ThreatInsightは、AIを活用して認証情報ベースの大規模攻撃を検知・保護するOktaのネイティブな機能であり、検知パイプラインと適用パイプラインの2つのコンポーネントを含みます。
検知パイプライン
パスワードスプレー、クレデンシャルスタッフィング、総当たり攻撃などの大規模なアイデンティティベース攻撃に関与する悪意のあるIPを検知するため、ストリーミングデータとバッチデータのパイプラインを構築しました。クロステナントとテナント固有の悪意のあるIPの両方を検知します。
検知パイプラインはヒューリスティックモデルとMLモデルも含み、大規模な認証情報ベースの攻撃を受けているテナントにフラグを設定します。これらのモデルは、攻撃が開始されてから数分以内にテナントレベルでのログイン失敗の異常を検知します。これらのモデルからの出力に基づいて、SystemLogを通じてお客様に通知し、攻撃を受けているテナントについて、より積極的に悪意のあるIPにフラグを設定します。これらのモデルは、Oktaが毎月、攻撃を受けている数百のテナントに通知する上で役立っています。
適用パイプライン
Oktaは、以下の2つのアクションをこの順序で実行する低遅延の適用パイプラインを構築しました。
- 悪意のあるIPからの要求をブロックまたはログに記録します。お客様は、ThreatInsightをログモードまたはブロックモードで構成できます。
- 要求の多くの属性に基づいて、不審な要求にフラグを設定します。複数のヒューリスティックモデルとMLモデルを実行して、要求のIP、位置情報、ユーザーエージェントなどの属性に基づいて不審な要求にフラグを立てます。モデルが出力するスコアと脅威レベルにより、要求をテナントのレート制限カウンターにカウントするか、不審な要求に対して分離されたレート制限カウンターにカウントするかが決定されます。
レート制限や不審な要求のフラグ付けの前にThreatInsightチェックを実行することで、大規模な認証情報ベースの攻撃によって正当なユーザーがレート制限違反に遭遇する可能性を低減できます。
ThreatInsightは過去1か月間で、1万以上のテナントの150以上のエンドポイントに関連する約20億8,000万件の要求と340万のIPをブロックしました。一部の大規模な攻撃では、毎分10万件以上の要求の割合で、1時間当たり20万以上のIPをブロックしました。複数のOktaテナントを巻き込む攻撃では、3万1,000以上のIPが検知されました。
Oktaは、ThreatInsightをブロックモードに設定して、大規模な認証情報ベースの攻撃からテナントを保護することを推奨しています。
私たちは、以下の2つの側面に焦点を当てて、ThreatInsightを拡張し続けています。
品質:誤検知と見逃しを減らすために、データパイプラインと検知を継続的に改善し、不審なアクティビティから数秒以内に悪意のあるIPを特定し、検知後数分以内にそれらのIPに必要な対応措置を適用できるようにします。
遅延:Okta Workforce Identity Cloudが受け取るすべてのWeb要求に対してThreatInsightのチェックを実行し、レート制限チェックが開始する前にもこれを実行します。これを大規模に行うためには、ThreatInsightによる評価で低遅延(95パーセンタイルが50ミリ秒未満)を維持するように、MLモデルスコアリング機能のキャッシュと保存方法に多くの機能強化を加えました。
レート制限
Oktaプラットフォームは、テナントレベルでのレート制限を適用します。これは、Oktaが管理するレート制限とお客様が構成可能なレート制限の組み合わせです。このレイヤーは、アイデンティティベース攻撃の検知やブロックを直接的に行うものではありません。しかし、このレイヤーでアイデンティティベース攻撃に関連するコンポーネントの1つは、正当な要求と悪意ある要求に対して異なるレート制限カウンターを維持する機能のサポートです。
ポリシー評価
ポリシー評価レイヤーでは、要求について完全なコンテキスト(ユーザー、デバイスなど)を使用します。
ゾーン
お客様は、IP、ジオロケーション、IPサービスカテゴリ、ASNのさまざまな組み合わせに基づいて、IP、動的ネットワークゾーンと拡張動的ネットワークゾーンを構成し、これらのゾーンをさまざまなタイプのポリシー(グローバルセッションポリシー、認証ポリシーなど)で使用できます。ゾーンがブロックリストとして登録されておらず、ポリシーで設定されている場合は、特定のWeb要求に対してのみ適用されることとなり、すべてのWeb要求に適用されるわけではありません。
行動検知
行動検知は、ユーザーの行動パターンを分析して、異常なユーザーアクティビティを検知します。Oktaは、ユーザーに対して複数タイプの異常行動検知(新しいIP、新しい国、新しいジオロケーション、新しいデバイス、不可能な速度など)の適用範囲設定をサポートしています。お客様は、グローバルセッションポリシーと認証ポリシーでこれらの動作を組み合わせることで、テナントにとって何が危険かを定義できます。たとえば、テナントによって、ユーザーが過去10回の試行でログインしたことのない国からのログインを不審と判定する場合や、過去100回の試行でユーザーがログインしたことのないデバイスやIPを不審と判定する場合などがあります。行動検知は、お客様がこれらの異常をカスタマイズして誤検知または見逃しを最適なバランスで調整できるようにするルールエンジンを提供します。
Oktaは、行動検知をサポートするために、ユーザーの過去のアクティビティに基づいてユーザープロファイルを作成するデータパイプラインを構築しました。
リスクスコア
リスクスコアは、パイプラインの複数レイヤーからのシグナルを組み合わせて、ログイン試行に関連するリスクレベルを決定します。リスクスコアにより、動作、ゾーンなどの条件の構成の複雑さが解消されます。お客様は、ポリシーでリスクレベルを構成し、MFAなどのアクションをセットアップするだけです。Oktaは、さまざまなコンテキスト(位置情報、デバイス、脅威、行動など)を組み合わせて、何が危険かを判断します。
リスクエンジンは、以下のコンテキストでリスクを集約して、Web要求のリスクレベルを決定します。
- ThreatInsightの評価:ThreatInsightの評価に基づいて、この要求はどの程度危険か?
- IPメタデータ:外部プロバイダーからのメタデータに基づいて、このIPはどの程度危険か?
- IP:ユーザーの過去のパターンに基づいて、このIPは、このユーザーについてどの程度危険か?
- テナント:テナントは現在、大規模な認証情報ベースの攻撃を受けているか?
- ジオロケーション:ユーザーの過去のパターンに基づいて、このジオロケーションは、このユーザーについてどの程度危険か?
- デバイス:ユーザーの過去のパターンに基づいて、このデバイスは、このユーザーについてどの程度危険か?
このレイヤーでは機械学習を使用して、要求に関連するさまざまなコンテキストにわたって、さまざまな機能の相対的な重みを特定します。モデルは、ユーザーのMFAアクセスパターン(ユーザーのさまざまな行動シグナルに関連するMFAの成功、失敗、放棄)を使用してトレーニングされます。
Oktaは、新たにリリースしたOkta Identity Threat Protectionに、新しいバージョンのリスクモデルを含めて提供しています。Okta Identity Threat Protection SKUを購入したお客様は、継続的なリスク評価のメリットを得ることができます。リスク評価は、ログイン時に実行されるだけでなく、セッションに関連するリスクを判断するために継続的に実行されます。継続的なリスク評価は、Okta Verifyからのデバイスシグナル、異常なASN、異常なユーザーエージェントなど、より多くの要素を使用する高度なモデルを活用しています。Oktaはさらに、この製品の一部としてユーザーリスクの概念を導入しました。ユーザーリスクは、ユーザーのアイデンティティに関連する状態に基づいたリスクを捉え、セッション、デバイス、複数のサードパーティセキュリティプロバイダーから得られるすべてのシグナルにわたってリスクを集約します。
過去1か月間に、Oktaは30億件以上のログイン要求のリスクを評価しました。Oktaは、リスクの高いログイン試行に対しては、認証ポリシーで強力な認証を構成することを推奨しています。
Oktaは、リスクエンジンを継続的に拡張していくため、以下の2つの側面に注力しています。
品質:誤検知と見逃しを減らすために、さまざまなコンテキストでリスクを検知するために使用するモデルと、全体的なリスクの集約方法を継続的に改善しています。また、精度を改善するため、ユーザーに関連する最新のアクティビティを使用するようにデータパイプラインをスケーリングしています。ユーザーがシステムで特定のアクションを実行してから1秒以内に、ユーザーのプロファイルがこの情報で更新されます。
遅延:Adaptive MFAをご利用のお客様について、Okta Workforce Identity Cloudが受け取るすべてのログイン試行に対して、リスクエンジンのチェックを低遅延(95パーセンタイルが50ミリ秒未満)で実行します。
重要なポイント
- Oktaは、さまざまなタイプのアイデンティティベース攻撃を検知して保護するために、複数のレイヤーを使用する多層防御の戦略を活用しています。
- ブロックリストゾーンは、AIを活用するThreatInsightを補完するセルフサービス機能であり、毎月数十億件の大規模な認証情報ベースの攻撃をブロックしています。Oktaは、匿名化プロキシをブロックするためにデフォルトの動的ネットワークゾーンを有効にし、ThreatInsightをブロックモードに設定することをお勧めしています。
- 要求がOktaスタックを通過する中で、より多くのコンテキストが生成されます。行動検知やリスクスコアなどの機能は、このコンテキストを使用して、より高度なアカウント乗っ取り攻撃を検知します。
- リスクスコアは、AIを活用してさまざまなコンテキストを考慮してリスクを集約する機能です。お客様は、行動検知を使用して、テナントのリスクをカスタマイズ/定義できます。Oktaは、リスクベースのポリシーを構成して、リスクの高いログインに対してMFAを要求することをお勧めしています。
- 新しくリリースされたOkta Identity Threat Protectionは、リスクエンジンの機能を次のレベルに引き上げる製品です。より高度なシグナルとMLモデルを活用して、セッションとユーザーのリスクを継続的に評価します。
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
このブログ記事についてのご質問は、[email protected]までご連絡ください。
