Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
高度標的型攻撃対策に向けたシステム設計ガイド~適切な全体システム設計から見えてくる
ログ運用設計の勘所~
2016年5月
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
研究員 佳山こうせつ
情報セキュリティEXPO 2016
【ポイント】①部分最適でなく全体最適の中で対策を設計することが必要な時代②攻撃者が歩ける経路を狭める全体設計がログの最適化にも繋がる③IPAなど外部機関から通報きたら、焦らずまずコレ
Copyright © 2016 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
設計対策の考え方
ログの活用とまずコレ
最後に
2
Copyright © 2016 独立行政法人情報処理推進機構
セキュリティ脅威の変遷~やるべき対策が多く複雑化した時代へ~
主な対策の軸足
コンピュータウイルス(マルウェア)対策
不正アクセス対策
情報漏えい対策
内部統制対応
出口対策
緊急対応体制
内部対策
ウイルス蔓延事案省庁サイト改ざん
個人情報保護法施行粉飾決算事案
サイバー空間をめぐる攻防防衛産業を狙ったサイバー攻撃
止まないサイバー攻撃と被害報道
3
人材育成
経営
せっかく買ったセキュリティ製品を扱いこなせない某機構を狙った事案により、意思決定の重要性が改めて認識
Copyright © 2016 独立行政法人情報処理推進機構
最近のサイバー攻撃事案例~外部からの通報が発見トリガーの多くを占める~
時期 対象組織 事案概要 発見トリガー2015/2
首都大学東京 個人情報が格納されたNASを踏み台にした学外への多量メール送信
外部からの通報
2015/6
日本年金機構 マルウェア付メールにより感染が拡大し年金加入者個人情報(125万件)が流出
NISCからの通報
2015/6
東京商工会議所 マルウェア感染が拡大しセミナー参加者個人情報が流出
JPCERT/CCからの通報
2015/6
上田市 マルウェアに感染したPCから外部へ不正通信が発生
JPCERT/CCからの通報
2015/6
中間貯蔵環境安全事業株式会社
マルウェアに感染したPCから外部へ不正通信が発生(約5ヶ月間)
セキュリティ会社からの通報
2015/6
香川大学 マルウェアに感染したPCから外部へ不正通信が発生
香川県警(警察庁)からの通報
2015/6
(他、7月までに30件弱のインシデントが報告された)
2015/7
小諸市など複数組織
Webサイトへの不正アクセス 警察など複数からの通報
2015/8
JR北海道 マルウェアに感染したPCから外部へ不正通信が発生
セキュリティ会社からの通報
Copyright © 2016 独立行政法人情報処理推進機構
セキュリティにおける領域の整理~一言に情報セキュリティと言っても、視点や対象は様々~
国家
組織
集団
個人
自己満足・信念 経済的利益 信仰・国防
危機管理
興味本位
ハクティビズム(抗議活動)
サイバーインテリジェンス
サイバー犯罪 サイバー
テロ
ネット民
Anonymous
各国諜報機関
テロ集団
★重要インフラ★官公庁
★個人情報漏洩
★フィッシング
★競技大会サイト攻撃
アングラハッカー
★stuxnet
主体(攻撃者)
★なりすまし犯罪予告
目的(攻撃動機)
★バンキングマルウェア
★ランサムウェア
組織の知財などの情報が狙われ、顕在
化しにくい。
Copyright © 2016 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
設計対策の考え方
ログの活用とまずコレ
最後に
6
Copyright © 2016 独立行政法人情報処理推進機構
問題の本質を押さえておこう
ウイルス感染?~攻撃者によるウイルスを使ったリモートハッキング~
ウイルス感染
攻撃者の活動フィールドは、パソコンだけでなくシステム全体におよぶ
内部侵入
7
Copyright © 2016 独立行政法人情報処理推進機構
内部侵入後の挙動
他の端末、セグメントへ侵入
ファイルサーバ/業務サーバへの不正ログイン
プロキシサーバを介した情報の外部への送出
侵入を前提とした対策の課題~内部システムの防御は業務システムの運用・設計を中心に~
主に、設計上、運用上の弱点が狙われる
デモ主に、脆弱性が狙われる
8
Copyright © 2016 独立行政法人情報処理推進機構
9
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設計ガイド(第4版)の公開(’14.9.30)
https://www.ipa.go.jp/security/vuln/newattack.html
Copyright © 2016 独立行政法人情報処理推進機構
テクニカルウォッチの公開(’14.3.28)
10
「攻撃者に狙われる設計・運用上の弱点についてのレポート」
~標的型攻撃におけるシステム運用・設計10の落とし穴~
10の落とし穴 メールチェックとサーバ運用管理端末が同一 分離できていないネットワーク 止められないファイル共有サービス 初期キッティングで配布さえれるローカルAdmin 使いこなせないWindowsセキュリティログ パッチ配布のためのDomain Admin ファイアウォールのフィルタリングルール形骸化 不足している認証プロキシログの活用とログ分析 なんでも通すCONNECTメソッド 放置される長期間のhttpセッション
攻撃に対して意外な弱点となっているシステム設計例を10点挙げ、運用(背景)と対策の考え方を解説
内容を補完
テクニカルウォッチ
’13.8.29公開
10
Copyright © 2016 独立行政法人情報処理推進機構
11
・新たな分析結果を追加・標的型メール攻撃対策を対象
・内部(攻撃段階)対策に特化・新脅威への対策を追加
2011年11月 2013年8月 2014年9月2011年8月
対策に向けたシステム設計ガイドの歴史
Copyright © 2016 独立行政法人情報処理推進機構
サイバー攻撃の仕組み 全貌整理~攻撃者によるウイルスを使ったリモートハッキング~
計画 ①計画立案:攻撃目標選定、偵察
③初期潜入:標的型メールの送付
④攻撃基盤構築:・コネクトバック開設・端末情報入手・ネットワーク構成把握⑤内部調査侵入:・サーバ不正ログイン・管理サーバ乗っ取り・他端末へ攻撃範囲拡大
⑥目的遂行:・情報窃取・情報破壊
対策できないウイルス感染
人が行う不正アクセス
②攻撃準備:攻撃用サーバ準備
12
P26
Copyright © 2016 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
設計対策の考え方
ログの活用とまずコレ
最後に
13
Copyright © 2016 独立行政法人情報処理推進機構
設計対策の考え方とは?
1)入口対策、エンドポイント対策、出口対策、内部対策でバランスのとれた全体設計を検討する
2)攻撃者が歩く経路を狭めることが、監視すべきポイントの最適化に繋がる
ポイント
14
Copyright © 2016 独立行政法人情報処理推進機構
15
情報搾取システム破壊再侵入
1.計画立案 2.攻撃準備 3.初期潜入 4.基盤構築 5.内部侵入・調査 6.目的遂行 7.再侵入
攻撃シナリオにおける攻撃段階
入口・エンドポイント対策(統一基準範囲)
出口対策、内部対策攻撃者
対策セットA突破①
突破③
突破②
対策セットB対策セットC
対策セットD対策セットE対策セットF
ユーザ端末の感染コネクトバック通信の施行
コネクトバック通信の確立ユーザ端末のリモートコントロール
どの対策セットで検知・遮断したかの把握を行う事で、「攻撃がどの段階まで到達した可能性があるか」の判断材料の一つに利用する。
ポイント1)システム全体でバランスの取れた全体設計を考える
P51
Copyright © 2016 独立行政法人情報処理推進機構
攻撃シナリオと対応機器の概要
ポイント1)システム全体でバランスの取れた全体設計を考える
スパ
ムフ
ィルタ
SPF
次世
代サ
ンドボ
ックス
型フ
ァイア
ウォ
ール
メール
サー
バ
イン
ターネ
ットフ
ァイア
ウォ
ール
IPS/
IDS
次世
代 ウ
ェブア
プリケ
ーシ
ョンフ
ァイア
ウォ
ール
ウェブ
サー
バ
ウェブ
改ざ
ん検
知
ウイ
ルス
対策
ソフ
ト
ゼロ
デイ
対策
ソフ
ト
ウェブ
プロ
キシ
サー
バ
ウェブ
フィル
タリン
グ
次世
代型
ネット
ワー
ク振
る舞
い検
知型
FW/
IDS/
IPS
業務
端末
運用
管理
端末
内部
セン
サー
認証
サー
バ
ファイ
ルサ
ーバ
DBサ
ーバ
監視
サー
バ
ネット
ワー
ク機
器
1計画
立案
2 ○ ○ ○
3
4
5 △ △ ○ □ △ ○
6 ○ △ ○
7 ○ ○ ○ △ △ □ □
8
9端末内のシステム情報を収集
△ ○ □ □
10攻撃ツールのダウンロード
○ △ ○ ○ ○ □ □
11 周辺端末調査 △ □ □ ○
12 ○ □ □ ○
13 ○ □ □ ○ ○ ○
14 ○ □ □
15 ○ ○ □ □
16 □ □ ○
【凡例】 ○:攻撃検知(主観測) △:攻撃検知(補助) □:ログ取得機器 セキュリティ製品 業務機器
リモートコマンド実行
端末情報の収集
C&Cサーバ準備
標的型メール作成
エンドポイント対策
他端末への不正アクセス
入口対策 内部対策
ターゲット周辺の調査
ウェブサイト改ざん、水飲み場サイト構築
No. 対応機器
攻撃手口
バックドア開設・リモートコントロールの確立後
攻撃準備
標的型メール受信
水飲み場サイトアクセス
初期潜入
基盤構築段階
内部侵入・調査
バックドア開設
目的遂行
情報窃取
情報破壊
出口対策
セキュリティ製品中心の対策
システムの運用と設計中心の対策
16
P40
Copyright © 2016 独立行政法人情報処理推進機構
ポイント1)システム全体でバランスの取れた全体設計を考える
17
利便性を考慮した運用により、引き起されるリスクを記載
P48
Copyright © 2016 独立行政法人情報処理推進機構
ポイント2) 攻撃者が歩く経路を狭め監視ポイントを最適化
18
①防御・遮断策 ②監視強化策
攻撃回避を主眼とした設計策
攻撃シナリオをベースに対策
不正アクセス・PW窃取等を防止
早期発見を主眼とした設計策
攻撃者の足跡を発見
トラップを仕掛け、ログ監視強化
攻撃者が歩く経路を少なくする事で、監視強化にも繋がる
システムとセキュリティ機能が連携して、攻撃者の足跡を残す
P47
Copyright © 2016 独立行政法人情報処理推進機構
19
ご参考対策セットA~C(基盤構築段階) P49
攻撃者が狙うシステム上の弱点 統制目標の概要
対策セットAネットワーク通信経路設計によるコネクトバック通信の遮断と監視
システム構成とファイアウォールのフィルタリング形骸化。透過型プロキシ。
ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断およびプロキシで検知する。
対策セットB認証機能を活用したコネクトバック通信の遮断とログ監視
プロキシの認証機能を活用できてないプロキシ。ブラウザに認証情報を保存する設定(オートコンプリート機能)。
認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
対策セットCプロキシのアクセス制御によるコネクトバック通信の遮断と監視
プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。(なんでも通すCONNECTメソッドと放置される長期間のセッション)
CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する。
Copyright © 2016 独立行政法人情報処理推進機構
20
ご参考対策セットD~F(内部侵入・調査段階)
攻撃者が狙うシステム上の弱点 統制目標の概要
対策セットD運用管理専用の端末設置とネットワーク分離と監視
サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用している運用設計。適切に分離、アクセス制御されていないネットワーク設計。
ユーザ端末に保存されている重要情報(運用管理業務で使われている管理者情報や機微情報など)の窃取を防止して検知する。
対策セットEファイル共有の制限とトラップアカウントによる監視
WindowsOSにおいてデフォルトで有効になっているファイル共有。止められないファイル共有。初期キッティングで配布される共通のローカルAdministrator。運用管理ツール(タスクスケジューラ、PsExec)と使いこなせないWindowsログ。
攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有機能を限定する。また、ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する。
対策セットF管理者権限アカウントのキャッシュ禁止とログオンの監視
ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限のアカウント(DomainAdmin)。
攻撃者に管理者権限のアカウント情報を窃取させない。および、万が一窃取されたときも管理者権限のアカウントの不正使用を検知する。
P50
Copyright © 2016 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
設計対策の考え方
ログの活用とまずコレ
最後に
21
Copyright © 2016 独立行政法人情報処理推進機構
ケース①:不審な通信が出てますよ
攻撃者
C&Cサーバ
二次感染端末
認証サーバ(AD)
ファイルサーバ
水飲み場Webサーバ
データベース
ファイアウォール
システム管理者
Internet
サーバセグメント他部門セグメント
22
プロキシサーバ
[プロキシサーバ]①不審な通信のIPアドレス、
日時から該当通信を把握②他にC&Cサーバと通信して
いるプライベートIPを把握
[ユーザ端末]②悪用されたユーザIDからのファイル共有アクセスを把握
ユーザ端末(感染源)
[感染端末]①使用するユーザIDを把握
Copyright © 2016 独立行政法人情報処理推進機構
対策セットA~ネットワーク通信経路設計によるコネクトバック通信の遮断~
23
ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
統制目標
P53
システム構成とファイアウォールのフィルタリング形骸化。透過型プロキシ。
攻撃者が狙うシステム上の弱点 [対策セットAの利点]・ファイアウォールのブロック
ログを活用できる・プロキシにログがしっかり残
る。
Copyright © 2016 独立行政法人情報処理推進機構
対策セットB~認証機能を活用したコネクトバック通信の遮断とログ監視~
認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
P57
プロキシの認証機能を活用できてないプロキシ。ブラウザに認証情報を保存する設定(オートコンプリート機能)。
統制目標
攻撃者が狙うシステム上の弱点
24
[対策セットBの利点]・プロキシログに認証情報が
付加される。・プロキシログの追跡性が向
上する。
Copyright © 2016 独立行政法人情報処理推進機構
対策セットC~プロキシのアクセス制御によるコネクトバック通信の遮断と監視~
CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する
P63
プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。(なんでも通すCONNECTメソッドと放置される長期間のセッション)
統制目標
攻撃者が狙うシステム上の弱点
25
[対策セットCの利点]・潜伏する長期間セッションを
あぶり出せる。
Copyright © 2016 独立行政法人情報処理推進機構
ケース②:おたくの情報流出してますよ
26
攻撃者
C&Cサーバ
二次感染端末
認証サーバ(AD)
ファイルサーバ
水飲み場Webサーバ
データベース
ファイアウォール
システム管理者
Internet
サーバセグメント他部門セグメント
プロキシサーバ
ユーザ端末(感染源)
[ファイルサーバ]①該当する情報が保管されて
いるサーバのログを把握②アクセスしたIDを把握
[認証サーバ]①アクセスしたIDのログを把握②他に不審なIDの登録ログを把握
Copyright © 2016 独立行政法人情報処理推進機構
対策セットD~運用管理専用の端末設置とネットワーク分離と監視~
ユーザ端末に保存されている重要情報(運用管理業務で使われている管理者情報や機微情報など)の窃取を防止し検知する
P68
サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用している運用設計。適切に分離、アクセス制御されていないネットワーク設計。
統制目標
攻撃者が狙うシステム上の弱点
27
[対策セットDの利点]・運用管理用IDまで調査を広
げる必要がない。・安心な端末でログ調査がで
きる。
Copyright © 2016 独立行政法人情報処理推進機構
対策セットE~ファイル共有の制限とトラップアカウントによる監視~
攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有機能を悪用した内部侵害拡大を防止するファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する
P75
WindowsOSにおいてデフォルトで有効になっているファイル共有。止められないファイル共有。初期キッティングで配布される共通のローカルAdministrator。運用管理ツール(タスクスケジューラ、PsExec)と使いこなせないWindowsログ。
統制目標
攻撃者が狙うシステム上の弱点
28
[対策セットEの利点]・悪用されるケースの多いファイル共有において、把握すべきログがファイルサーバに絞られる。
Copyright © 2016 独立行政法人情報処理推進機構
対策セットF~管理者権限アカウントのキャッシュ禁止とログオンの監視~
攻撃者に管理者権限のアカウント情報を窃取させない万が一窃取されたときも管理者権限のアカウントの不正使用を検知する
P87
ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限のアカウント(DomainAdmin)。
統制目標
攻撃者が狙うシステム上の弱点
29
[対策セットFの利点]・強い権限のIDによるアクセ
スログを気にしないで済む。
Copyright © 2016 独立行政法人情報処理推進機構
まとめ1:バランスのとれた全体設計
攻撃者C&Cサーバ水飲み場サイト(改ざんWeb)
プロキシ Web AP
第2ファイルサーバ
セキュリティ製品
サポートデスクパソコン
一般職員OAパソコン
メンテナンスパソコン
30
データベース
ActiveDirectory
ファイルサーバ
Copyright © 2016 独立行政法人情報処理推進機構
まとめ1:バランスのとれた全体設計
攻撃者C&Cサーバ水飲み場サイト(改ざんWeb)
プロキシ Web AP
第2ファイルサーバ
ログ管理・正規化、検索サーバ
セキュリティ製品
サポートデスクパソコン
一般職員OAパソコン
メンテナンスパソコン
【設計ポイント2】アクセス制御されたセグメント分離
【設計ポイント:おまけ】Windowsを使用しない認証基盤の分離
【設計ポイント3】ログ設計による発見と分析運用
【設計ポイント1】セキュリティ機能による入口・出口対策
31
データベース
ActiveDirectory
ファイルサーバ
第2認証基盤
Copyright © 2016 独立行政法人情報処理推進機構
まとめ2:攻撃者が歩く経路を狭め監視ポイントを最適化
防御
監視
分析エスカレー
ション
復旧
32
Copyright © 2016 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を押さえる所から始める
設計対策の考え方
ログの活用とまずコレ
最後に
33
Copyright © 2016 独立行政法人情報処理推進機構
34https://www.ipa.go.jp/security/vuln/newattack.html
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設計ガイド(第4版)の公開(’14.9.30)
P118ツール一覧
Copyright © 2016 独立行政法人情報処理推進機構
35
サイバー攻撃に対するIPAの取り組み「サイバーセキュリティと経済 研究会」(経産省)での検討政策を受けて展開
国内でもここ3年間で攻撃による被害が顕在化、深刻化
標的型攻撃には、多層的な防御が不可欠となっている
Stuxnet
OperationAurora
RSA
重工被害発覚
政府機関への攻撃
Titan Rain
国内の政府機関への標的型メールの観測
2003 ~ 2005 2009 2010 2011 2012~ 2013
「脅威と対策研究会」
2014
●METI 「サイバーセキュリティと経済研究会」
「標的型特別相談窓口」
2011/8設計Guide v1
2013/8設計Guide v3
「情報共有J-CSIP」
2011/10
2012/4
2010/12
サイバーレスキュー隊J-CRAT」
5業界の情報共有体制
標的型攻撃が深刻な脅威に
分析レポート 分析レポート
レスキュー試行
*1)
*2)
*3)
システム設計
早期対応
情報共有
2014/9設計Guide v4
Copyright © 2016 独立行政法人情報処理推進機構
守るセキュリティから繋げるセキュリティへ
「セキュリティはセキュリティ屋の仕事」から脱却。
社会全体で取り組むため、セキュリティという共通言語で異業種を繋げる。
36
Copyright © 2016 独立行政法人情報処理推進機構
新試験はじまる!情報セキュリティマネジメント試験
◆28年度秋期試験実施時期◆・実施日 2016年10月16日(日)
・申込受付 2016年7月11日(月)から
・個人情報を扱う全ての方・業務部門・管理部門で
情報管理を担当する全ての方
◆受験をお勧めする方◆
初回応募者約2万3千人!!
情報セキュリティの基礎知識から管理能力まで、組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的スキルを認定する試験
Copyright © 2016 独立行政法人情報処理推進機構
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
Copyright © 2016 独立行政法人情報処理推進機構
39