避けられないインシデント 切り札としてのエンドポイントセキュリティ 株式会社ソリトンシステムズ マーケティング部 エバンジェリスト 荒木粧子 公認情報セキュリティマネージャー(CISM) Agenda サイバー攻撃の現状 サイバー攻撃への対策 切り札としてのエンドポイントセキュリティ まとめ 2 犯罪ビジネス(サイバークライム)の台頭 1. サイバー攻撃の現状 3 ハッカーからスパイへ、兵器へ 国家のスパイ活動 サイバー兵器 リ ス ク 個人の利益 嫌がらせ 気晴らし 腕試し・実験 ~1990年代 犯罪組織による サイバークライムビジネス 金銭目的 2000年 2005年 2010年 単純な攻撃 高度な攻撃 産業スパイ (クラッカー) (ハッカー) (インサイダー) 2015年 国家による攻撃 サイバークライム ●BrainBoot/Morrisワーム ●Concept Macro Virus ●Anna Kournikova ●SQL Slammer ●MyDoom ●Storm botnet ●Aurora ●WikiLeaks ●SpyEye/Zeus ●Crimeware as a Service ●ポリモルフィックウィルス ●Melissa ●Sircam ●Blaster ●Netsky ●Koobface ●Mariposa ●Anonimous ●Duqu ●Ransomware as a Service ●Michelangelo ●I love you ●Code Red and Nimda ●ISobig ●Sasser ●Conflicker ●Stuxnet ●LutsSec ●Flame (Locky, Cryptesra, Cerver…) 【参考】 ISACA「Responding to Targeted Cyberattacks」2013年 4 を元に、ソリトンにて追記 攻撃の種類ごとの件数推移 ハッキング(DoS、SQL-I) マルウェア(ウイルス、RAT等) ソーシャル(フィッシング等) 誤操作(設定ミス、紛失) 誤用(内部者の権限悪用、違反) 物理(盗難、物理的侵入) 環境(災害、停電、浸水等) ハッキング、マルウェア、 ソーシャルエンジニアリングの増加 ↓ 戦場・ビジネス基盤としての成熟 Verizon' s 2016 Data Breach Investigations Report http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ 5 第5の戦場・犯罪ビジネス基盤 • 国家間のサイバー戦争(第5の戦場) • コストかけずに致命的なダメージを与えることが可能 (重要インフラへの攻撃、機密情報窃取など) • 物理攻撃 x サイバー攻撃の組み合わせ • • • • サイバークライム 匿名性の高い電子取引基盤の整備(Bitcoin等) ローリスク・ハイリターン 無差別~ターゲット(病院等) 6 Crimeware as a Service(例) 分業制で効率アップ・儲かるビジネスとして成立 犯罪組織等 マネーロンダリ ングチーム 攻撃代行サービス (フォーラム) マルウェア・スパム 配信業者 マーケティング チーム オペレーター チーム マルウェア添付 フィッシング 改竄された 悪用された Webサイト Web広告 メール メール Exploit Kit チーム 使い捨てられる出し子 (主婦パート・アルバイト) ランサムウェア チーム BOT端末 暗号鍵のやりとり 支払 7 ランサムウェアにより 人質となったファイル 高度な攻撃・より収益アップを目指す Exploit Kit チーム ランサムウェア チーム 最新のゼロデイ攻撃 複合化が困難な暗号方式 検知されにくいC2通信 阻止するのが困難な 感染手法 高度化 ランサム ウェア感染 BOT端末 一石四鳥 (DDoS兵) 認証情報 窃取 情報漏えい 8 参考:攻撃表層の拡大(例) 攻撃者 Attack Surface 関連企業 取引先 事業拡大による システム追加 DMZ Internet 接続環境 内部 クラウド サービス 従業員の SNSなど 開発環境 モバイルワーク テレワーク Lateral Movement(攻撃の横展開)によりCritical Assetsが狙われる 9 参考:ビジネスに即したリスク特定 昨今の攻撃シナリオを理解する 自組織に当てはめてシミュレーションしてみる 重要資産(Critical Assets)は何か? どのように検知・把握するか? どこまで縮退できるか? 関連企業 取引先 事業拡大による システム追加 DMZ Internet 接続環境 内部 10 クラウド サービス 従業員の SNSなど 開発環境 モバイルワーク テレワーク 切り札としてのエンドポイントセキュリティ 2. サイバー攻撃への対策 11 サイバー攻撃の流れ(Cyber Kill Chain) 企業・組織の ホームページ ソーシャル エンジニアリング での標的型メール 調査・攻撃準備 CKC:Reconnaissance ファイル投下 Weaponization 脆弱性攻撃、 スクリプト、 実行ファイル等で侵入 環境整備 侵入(感染) Delivery C&Cから RATドロップ Exploitation 12 Installation サーバーを攻略し機密情報を搾取する アカウント情報を窃盗し 長期にわたり諜報活動などを行う 内部活動 目的達成(情報持出等) Command & Control Actions on Objectives サイバー攻撃対策 Sandbox 防御してほしい 対応能力高めたい 企業・組織の ホームページ 証拠能力が欲しい ソーシャル パターンファイル エンジニアリング での標的型メール 検知能力高めたい 調査・攻撃準備 CKC:Reconnaissance ファイル投下 Weaponization 脆弱性攻撃、 スクリプト、 実行ファイル等で侵入 環境整備 侵入(感染) Delivery C&Cから RATドロップ Exploitation 13 Installation サーバーを攻略し機密情報を搾取する アカウント情報を窃盗し 長期にわたり諜報活動などを行う 内部活動 目的達成(情報持出等) Command & Control Actions on Objectives エンドポイントでの検知・対応 検知 ・Sandbox製品等での境界防衛は、未知の攻撃を検知するが 防御はエンドポイントで実施しないと間に合わない ・従来型エンドポイント製品では未知の脅威に対抗できない 対応 ・Sandbox製品等での境界防衛で、脅威検知した後は、 エンドポイントでの対応が必須 ・大規模・多拠点にわたる環境では対応が困難 記録分析 ・ステークホルダーへの説明責任の必要性増加 ・フォレンジック困難な環境の増加( SSD、仮想環境など) に伴う、フォレンジックを見据えた環境整備が急務 エンドポイントでの脅威検知・インシデント対応をするツール EDR(Endpoint Detection and Response) 14 サイバー攻撃対策 EDR(Endpoint Detection and Reponse) 企業・組織の ホームページ ①検知 ②対応 ③記録分析 15 ①検知 事後:感染を前提 IOC(Indicator of Compromise) ファイルハッシュ、レジストリ、プロセス、Mutex、C2等 感染状況の把握 事前:出来るだけ事前対処 IOA(Indicator of Attack) 侵害されているかもしれない挙動を検知 ※IOAの構成要素として、TTP(Tactics, Techniques and Procedures)と表現されることもある 16 ①検知の手法 タイムラグは? 収集したログから 管理サーバーやクラウドで 分析して検知 どのようにIOC/IOAを受信するのか? False Positive(過検知)対策は? IOCを受信して検知 あらかじめ実装された エンジンで検知 ※ IOAを受信して検知 ※NGAV(Next Generation AntiVirus)ではこの設計思想の製品が多い。 NGAV機能を持つ製品がEDRに入るかどうかは、その他の対応・記録機能の有無による。 17 ②対応 端末隔離(通信制御) 管理用通信のみ残してブロック ユーザー側にはメッセージ プロセスやアプリの禁止・終了 稼働しているプロセスは終了、 未稼働であれば実行禁止 どこまで自動化するか? 18 ③記録分析 想定される状況 ステークホルダーへの説明責任を果たす 外部から指摘を受けた場合こちらが多い 既に業務停止・制限してしまっている状況 内部不正の対応もこちらに近いが、より長期間の通常オペ レーションのログ解析も必要となる場合もある リアルタイムのインシデント調査に活用 業務継続が優先される場合、証拠保全を諦めざるをえない ケースもある 19 ③記録の種類と取扱い どれぐらい保存可能か? オンプレミス・クラウドの どのタイプを選択するか? (センシティブな情報を含む ログが含まれる可能性あり) 誰が分析するのか? ダンプファイルの保存先・送付は? PCへの影響・負荷は? メモリ・ディスク・ パケット等の各種ダンプ PCセキュリティログ (ユーザーレベル、カーネルレベル) ※上記では表現できていませんが、サイバー攻撃対策だけではなく、内部不正にも対応する製品では、より継続的・ 長期のPCセキュリティログ取得・分析に重点を置き、オンプレミス構成となる傾向にあります。内部不正も視野に入 れて対策を検討する際には、この点の考慮も必要です。 20 ③記録 - 証拠保全 証拠保全 事故や不正行為、犯罪といったインシデントに関わる デジタル機器に残されたデータの中から、電磁的証拠と なり得るものを、確実に、そのまま(As-is)で、 収集(Collection)・取得(Acquisition)し、 保全(Preservation)しておくこと フォレンジックでは、原則、 コピーである保全データを調査する 直接調査しない ディスク、メモリ状態などを 完全にコピー(署名付き) ※訴訟に利用する証拠保全は、専門家に依頼なさることをお勧めします 21 様々なEDR 内容 検知 対応 記録分析 感染を前提とした事後対策 初期EDR 予防重視タイプ ○ ○ 出来る限りの事前対策 ○ 端末隔離 ○ ○ プロセス・アプリ制御 ○ ○ 全容解明 ○ リアルタイムの調査 ○ ※上記はあくまで典型例であり、特定の製品を示しているものではありません。 22 考慮すべきポイントは? 3. まとめ 23 EDRで実現できるようになること 検知 感染を前提に、端末を特定 Sandboxをすり抜ける未知脅威を検知 対応 感染端末の隔離 マルウェアの起動禁止・ブロック 記録分析 ステークホルダーへの説明 リアルタイムなインシデント調査 しかし、100%検知は無い。過検知(False Positive)もある。 どのような運用が発生するのかを踏まえておくべき 24 事前・事後の対応の違い 企業・組織の ホームページ 調査・攻撃準備 CKC:Reconnaissance 攻撃前 ファイル投下 Weaponization 環境整備 侵入(感染) Delivery Exploitation Installation 内部活動 目的達成(情報持出等) Command & Control Actions on Objectives 侵入前 侵入後 過検知対応 インシデント対応 (False Positive) 25 EDR選択時に考慮すべきこと 内容 検知 対応 記録分析 検知時の 対応 感染を前提とした事後対策 予防重視タイプ ○ ○ 出来る限りの事前対策 ○ 端末隔離 ○ ○ プロセス・アプリ制御 ○ ○ 全容解明 ○ リアルタイムの調査 検知イベントの正誤を判断す る情報 上記を支援するサービス インシデント調査 次の一手 初期EDR (専門家によるフォレンジック) eDiscovery ○ ? ? ? ? ? ? ? ? ※上記はあくまで典型例であり、特定の製品を示しているものではありません。 26 まとめ サイバー攻撃の現状 犯罪組織が背景のケースが増加 インシデントを避けられない時代となった サイバー攻撃対策 エンドポイントセキュリティ対策(EDR)で これまでの課題を解決する機能は提供可能 運用面、EDRで何を実現するのか?が鍵となる 27 参考:ソリトンシステムズのご提案 for Cyber 内容 検知 検知 対応 記録分析 運用支援サービス ヘルプデスク 記録分析 脅威判定支援 フォレンジック関連サービス インシデント調査 検知時の対応 eDiscovery トレーニング 製品関連 対応 次の一手 フォレンジック 28 Mark II 感染を前提とした事後対策 ○ 出来る限りの事前対策 ○ 端末隔離 ○ プロセス・アプリ制御 ○ 全容解明 ○ リアルタイムの調査 ○ 検知イベントの正誤を判断す る情報 ○ 上記を支援するサービス ○ インシデント調査(専門家に よるフォレンジック) ○ eDiscovery ○ 参考:フォレンジック事業の強化 電子証拠開示 保守サービス 法律事務所・法務・知財部 デジタル鑑識 運用サービス 法執行機関・警察・検察・海保 サイバーセキュリティ ITセキュリティ 製品開発 官庁・大企業 調査サービス (旧Ji2) フォレンジック関連トレーニング 教育サービス 【グローバル専門職の技術者集団】 (旧Ji2) 不正検査 鑑識/調査 分析/解析 フォレンジック現場の知見を製品開発に生かす セキュリティ フォレンジック専門企業であるJi2を システム監査 2014年6月に子会社化、 2016年10月に吸収合併し、事業強化 サイバー攻撃のインシデント調査から 内部不正事案のeDiscoveryまで、サービス・トレーニング提供 29 株式会社ソリトンシステムズ http://www.soliton.co.jp/ 〒160-0022 東京都新宿区新宿2-4-3 TEL 03-5360-3811 netsales@soliton.co.jp 大阪営業所06-6821-6777 福岡営業所092-263-0400 名古屋営業所052-217-9091 東北営業所022-716-0766 札幌営業所011-242-6111 ※本資料に記載の商品・サービス名は、各社の商標または登録商標です。 30
© Copyright 2024 Paperzz