Comments
Description
Transcript
資料 - IPA 独立行政法人 情報処理推進機構
情報セキュリティEXPO 2016 高度標的型攻撃対策に向けた システム設計ガイド ~適切な全体システム設計から見えてくる ログ運用設計の勘所~ 【ポイント】 ①部分最適でなく全体最適の中で対策 を設計することが必要な時代 ②攻撃者が歩ける経路を狭める全体設計 がログの最適化にも繋がる ③IPAなど外部機関から通報きたら、 焦らずまずコレ 2016年5月 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 研究員 佳山こうせつ 目次 情報システムを取巻く状況 脅威の全貌を理解する所から始める 設計対策の考え方 ログの活用とまずコレ 最後に 2 Copyright © 2016 独立行政法人情報処理推進機構 セキュリティ脅威の変遷 ~やるべき対策が多く複雑化した時代へ~ 主 な 対 策 の 軸 足 某機構を狙った事案により、意思決定の重要性が改めて認識 せっかく買ったセキュリティ製品を扱いこなせない 止まないサイバー攻撃と被害報道 防衛産業を狙ったサイバー攻撃 内部対策 出口対策 粉飾決算事案 内部統制対応 個人情報保護法施行 省庁サイト改ざん 情報漏えい対策 不正アクセス対策 コンピュータウイルス(マルウェア)対策 3 Copyright © 2016 独立行政法人情報処理推進機構 人材育成 緊急対応体制 サイバー空間をめぐる攻防 ウイルス蔓延事案 経営 最近のサイバー攻撃事案例 ~外部からの通報が発見トリガーの多くを占める~ 時期 対象組織 事案概要 2015/ 首都大学東京 個人情報が格納されたNASを踏み台にし 2 た学外への多量メール送信 2015/ 日本年金機構 マルウェア付メールにより感染が拡大し年金加 6 入者個人情報(125万件)が流出 2015/ 東京商工会議所 マルウェア感染が拡大しセミナー参加者個人 6 情報が流出 2015/ 上田市 マルウェアに感染したPCから外部へ不正通信 6 が発生 2015/ 中間貯蔵環境安 マルウェアに感染したPCから外部へ不正通信 6 全事業株式会社 が発生(約5ヶ月間) 2015/ 香川大学 マルウェアに感染したPCから外部へ不正通信 6 が発生 2015/ (他、7月までに30件弱のインシデントが報告された) 6 2015/ 小諸市など複数 Webサイトへの不正アクセス 7 組織 2015/ JR北海道 マルウェアに感染したPCから外部へ不正通信 8Copyright © 2016 独立行政法人情報処理推進機構 が発生 発見トリガー 外部からの 通報 NISCからの 通報 JPCERT/CCから の通報 JPCERT/CCから の通報 セキュリティ会社か らの通報 香川県警(警察 庁)からの通報 警察など複数から の通報 セキュリティ会社か らの通報 セキュリティにおける領域の整理 ~一言に情報セキュリティと言っても、視点や対象は様々~ 国家 各国諜報機関 サイバーインテリジェンス 主体(攻撃者) ★ランサム ウェア ★個人情報漏洩 個人 危機管理 組織の知財などの 情報が狙われ、顕在 化しにくい。 組織 集団 ★stuxnet Anonymous ハクティビズム (抗議活動) ★なりすまし犯罪予告 興味本位 ネット民 自己満足・信念 Copyright © 2016 独立行政法人情報処理推進機構 アングラハッカー サイバー 犯罪 ★バンキング マルウェア ★フィッシング 経済的利益 目的(攻撃動機) ★重要インフラ ★官公庁 ★競技大会サイト 攻撃 サイバー テロ テロ集団 信仰・国防 目次 情報システムを取巻く状況 脅威の全貌を理解する所から始める 設計対策の考え方 ログの活用とまずコレ 最後に 6 Copyright © 2016 独立行政法人情報処理推進機構 ウイルス感染? ~攻撃者によるウイルスを使ったリモートハッキング~ 問題の本質を押さえておこう ウイルス感染 内部侵入 攻撃者の活動フィールドは、パソコンだけで なくシステム全体におよぶ 7 Copyright © 2016 独立行政法人情報処理推進機構 侵入を前提とした対策の課題 ~内部システムの防御は業務システムの運用・設計を中心に~ 内部侵入後の挙動 他の端末、セグメントへ侵入 ファイルサーバ/業務サーバへの不正ログイン プロキシサーバを介した情報の外部への送出 デモ 主に、脆弱性が狙わ れる 主に、設計上、運 用上の弱点が狙わ れる 8 Copyright © 2016 独立行政法人情報処理推進機構 「高度標的型攻撃」対策に向けたシステム設 計ガイド(第4版)の公開(’14.9.30) 作成:IPA『脅威と対策研究会』 https://www.ipa.go.jp/security/vuln/newattack.html 9 Copyright © 2016 独立行政法人情報処理推進機構 テクニカルウォッチの公開(’14.3.28) 「攻撃者に狙われる設計・運用上の弱点についてのレポート」 ~標的型攻撃におけるシステム運用・設計10の落とし穴~ 10の落とし穴 ’13.8.29公開 メールチェックとサーバ運用管理端末が同一 分離できていないネットワーク 止められないファイル共有サービス 初期キッティングで配布さえれるローカルAdmin テクニカル 使いこなせないWindowsセキュリティログ ウォッチ パッチ配布のためのDomain Admin ファイアウォールのフィルタリングルール形骸化 不足している認証プロキシログの活用とログ分析 内容を補完 なんでも通すCONNECTメソッド 放置される長期間のhttpセッション 攻撃に対して意外な弱点となっているシステム設計例を10点挙 げ、運用(背景)と対策の考え方を解説 10 Copyright © 2016 独立行政法人情報処理推進機構 10 対策に向けたシステム設計ガイドの歴史 2011年8月 2011年11月 2013年8月 ・内部(攻撃段階)対策に特化 ・新脅威への対策を追加 ・新たな分析結果を追加 ・標的型メール攻撃対策を対象 11 Copyright © 2016 独立行政法人情報処理推進機構 2014年9月 サイバー攻撃の仕組み 全貌整理 ~攻撃者によるウイルスを使ったリモートハッキング~ 対策できない ウイルス感染 計画 ①計画立案: 攻撃目標選定、偵察 ②攻撃準備: 攻撃用サーバ準備 ③初期潜入: 標的型メールの送付 人が行う不正アクセス ④攻撃基盤構築: ・コネクトバック開設 ・端末情報入手 ・ネットワーク構成把握 ⑤内部調査侵入: ・サーバ不正ログイン ・管理サーバ乗っ取り ・他端末へ攻撃範囲拡大 ⑥目的遂行: ・情報窃取 ・情報破壊 Copyright © 2016 独立行政法人情報処理推進機構 12 P26 目次 情報システムを取巻く状況 脅威の全貌を理解する所から始める 設計対策の考え方 ログの活用とまずコレ 最後に 13 Copyright © 2016 独立行政法人情報処理推進機構 設計対策の考え方とは? ポイント 1)入口対策、エンドポイント対策、出口対策、内部対策 でバランスのとれた全体設計を検討する 2)攻撃者が歩く経路を狭めることが、 監視すべきポイントの最適化に繋がる 14 Copyright © 2016 独立行政法人情報処理推進機構 ポイント1)システム全体でバランス P51 の取れた全体設計を考える 攻撃シナリオにおける攻撃段階 1.計画立案 2.攻撃準備 3.初期潜入 4.基盤構築 攻撃者 入口・エンド ポイント対策 (統一基準範囲) 6.目的遂行 対策セットA 対策セットB 対策セットC どの対策セットで検知・遮断したかの把 握を行う事で、「攻撃がどの段階まで 到達した可能性があるか」の判断材 料の一つに利用する。 突破② 対策セットD 対策セットE コネクトバック通信の確立 ユーザ端末のリモートコントロール 対策セットF 突破③ 15 Copyright © 2016 独立行政法人情報処理推進機構 7.再侵入 出口対策、内部対策 突破① ユーザ端末の感染 コネクトバック通信の施行 5.内部侵入・調査 情報搾取 システム破壊 再侵入 ポイント1)システム全体でバランス P40 の取れた全体設計を考える 攻撃シナリオと対応機器の概要 9 10 13 14 15 16 ネットワーク機器 □ 監視サーバ □ DBサーバ △ ファイルサーバ △ 認証サーバ ○ 内部センサー ○ 運用管理端末 △ 業務端末 ウェブ改ざん検知 ○ 次世代型ネットワーク振る 舞い検知型 FW/IDS/IPS ウェブサーバ IPS/IDS インターネットファイア ウォール メールサーバ SPF △ ウェブフィルタリング 初 期 潜 入 基 盤 構 築 段 階 標的型メール作成 標的型メール受信 セキュリティ製 品中心の対策 △ △ ○ 水飲み場サイトアクセス ○ バックドア開設 ○ □ ○ バックドア開設・リモートコ ントロールの確立後 端末内のシステム 情報を収集 □ □ ○ □ □ 周辺端末調査 △ □ □ 内 部 侵 入 ・ 調 査 他端末への不正アクセ ス ○ □ □ ○ □ □ □ □ 目 的 遂 行 情報窃取 □ □ □ □ 11 12 ウェブサイト改ざん、 水飲み場サイト構築 C&Cサーバ準備 7 8 ○ 内部対策 ウェブプロキシサーバ 6 ○ ゼロデイ対策ソフト 攻 撃 準 備 4 5 ○ 出口対策 立計 ターゲット周辺の調査 案画 2 3 次世代 ウェブアプリケー ションファイアウォール 1 次世代サンドボックス型 ファイアウォール 攻撃手口 スパムフィルタ 対応機器 ウイルス対策ソフト エンドポイント 対策 入口対策 No. 攻撃ツールの ダウンロード ○ △ ○ △ ○ システムの運用と設計 中心の対策 リモートコマンド実行 端末情報の収集 ○ ○ ○ 情報破壊 【凡例】 ○:攻撃検知(主観測) △:攻撃検知(補助) □:ログ取得機器 16 Copyright © 2016 独立行政法人情報処理推進機構 ○ ○ セキュリティ製品 ○ ○ ○ ○ ○ 業務機器 ポイント1)システム全体でバランス P48 の取れた全体設計を考える 利便性を考慮した運用により、引き起されるリスクを 記載 Copyright © 2016 独立行政法人情報処理推進機構 17 ポイント2) 攻撃者が歩く経路を狭め 監視ポイントを最適化 ①防御・遮断策 P47 ②監視強化策 攻撃回避を主眼とした設計策 早期発見を主眼とした設計策 攻撃シナリオをベースに対策 攻撃者の足跡を発見 不正アクセス・PW窃取等を防止 トラップを仕掛け、ログ監視強化 攻撃者が歩く経路を少なくする事で、監視 強化にも繋がる Copyright © 2016 独立行政法人情報処理推進機構 システムとセキュリティ機能が連携して、攻 撃者の足跡を残す 18 ご参考 対策セットA~C(基盤構築段階) 攻撃者が狙うシステム上の弱点 P49 統制目標の概要 対策セットA システム構成とファイアウォールの ネットワーク通信経路 フィルタリング形骸化。 設計によるコネクトバッ 透過型プロキシ。 ク通信の遮断と監視 ユーザ端末から直接インターネット 上のC&Cサーバへ接続するコネクト バック通信を遮断およびプロキシで 検知する。 対策セットB 認証機能を活用したコ ネクトバック通信の遮 断とログ監視 プロキシの認証機能を活用できて ないプロキシ。 ブラウザに認証情報を保存する設 定(オートコンプリート機能)。 認証機能を持たないプロキシを突破 してC&Cサーバへ接続するコネクト バック通信を遮断および検知する。 プロキシの設定と、通信の開始の 対策セットC 対象漏れ。CONNECTメソッドの無 プロキシのアクセス制 制限と無監視。 御によるコネクトバック (なんでも通すCONNECTメソッドと 通信の遮断と監視 放置される長期間のセッション) CONNECTメソッドを利用してセッショ ンを維持するコネクトバック通信を遮 断および検知する。 19 Copyright © 2016 独立行政法人情報処理推進機構 ご参考 対策セットD~F(内部侵入・調査段階) P50 攻撃者が狙うシステム上の弱点 対策セットD 運用管理専用の端末 設置とネットワーク分 離と監視 対策セットE ファイル共有の制限と トラップアカウントによ る監視 対策セットF 管理者権限アカウント のキャッシュ禁止とロ グオンの監視 サーバの運用管理業務を通常のイ ンターネット閲覧やメール受信に使 用するユーザ端末と併用している 運用設計。 適切に分離、アクセス制御されてい ないネットワーク設計。 WindowsOSにおいてデフォルトで有 効になっているファイル共有。 止められないファイル共有。 初期キッティングで配布される共通 のローカルAdministrator。 運用管理ツール(タスクスケジュー ラ、PsExec)と使いこなせない Windowsログ。 ソフトウェアアップデートやリモート メンテナンスなど、日常の運用で使 われている管理者権限のアカウン ト(DomainAdmin)。 20 Copyright © 2016 独立行政法人情報処理推進機構 統制目標の概要 ユーザ端末に保存されている重要情 報(運用管理業務で使われている管 理者情報や機微情報など)の窃取を 防止して検知する。 攻撃者によりリモートコントロールさ れたユーザ端末から、周囲のユーザ 端末へのファイル共有機能を限定す る。また、ファイル共有が業務上必 要な場合は監視を強化し、不正な ファイル共有機能の利用を検知する。 攻撃者に管理者権限のアカウント情 報を窃取させない。および、万が一 窃取されたときも管理者権限のアカ ウントの不正使用を検知する。 目次 情報システムを取巻く状況 脅威の全貌を理解する所から始める 設計対策の考え方 ログの活用とまずコレ 最後に 21 Copyright © 2016 独立行政法人情報処理推進機構 ケース①:不審な通信が出てますよ C&C サーバ Internet 水飲み場 攻撃者 Webサーバ プロキシサーバ [プロキシサーバ] ①不審な通信のIPアドレス、 日時から該当通信を把握 ②他にC&Cサーバと通信して いるプライベートIPを把握 ファイアウォール [感染端末] ①使用する ユーザIDを 把握 ユーザ端末 (感染源) Copyright © 2016 独立行政法人情報処理推進機構 システム管理者 他部門セグメント 二次感染端末 [ユーザ端末] ②悪用されたユーザ データ ファイル 認証 IDからのファイル共 ベース サーバ サーバ (AD) 有アクセスを把握 サーバセグメント 22 対策セットA P53 ~ネットワーク通信経路設計によるコネクトバック通信の遮断~ 攻撃者が狙うシステム上の弱点 [対策セットAの利点] ・ファイアウォールのブロック システム構成とファイアウォールのフィルタリング形骸化。透過型プロキシ。 ログを活用できる ・プロキシにログがしっかり残 る。 統制目標 ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断および 検知する。 Copyright © 2016 独立行政法人情報処理推進機構 23 対策セットB P57 ~認証機能を活用したコネクトバック通信の遮断とログ監視~ 攻撃者が狙うシステム上の弱点 [対策セットBの利点] ・プロキシログに認証情報が プロキシの認証機能を活用できてないプロキシ。 付加される。 ブラウザに認証情報を保存する設定(オートコンプリート機能)。 ・プロキシログの追跡性が向 上する。 統制目標 認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断およ び検知する。 Copyright © 2016 独立行政法人情報処理推進機構 24 対策セットC P63 ~プロキシのアクセス制御によるコネクトバック通信の遮断と監視~ 攻撃者が狙うシステム上の弱点 [対策セットCの利点] プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。 (なんでも通すCONNECTメソッドと放置される長期間のセッション)・潜伏する長期間セッションを あぶり出せる。 統制目標 CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する Copyright © 2016 独立行政法人情報処理推進機構 25 ケース②:おたくの情報流出してますよ C&C サーバ Internet 水飲み場 攻撃者 Webサーバ プロキシサーバ [ファイルサーバ] ①該当する情報が保管されて いるサーバのログを把握 ②アクセスしたIDを把握 ファイアウォール システム管理者 [認証サーバ] ①アクセスしたIDのログを把握 ②他に不審なIDの登録ログを把握 ユーザ端末 (感染源) Copyright © 2016 独立行政法人情報処理推進機構 他部門セグメント 二次感染端末 認証 サーバ (AD) ファイル サーバ データ ベース サーバセグメント 26 対策セットD P68 ~運用管理専用の端末設置とネットワーク分離と監視~ 攻撃者が狙うシステム上の弱点 [対策セットDの利点] ・運用管理用IDまで調査を広 サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用 げる必要がない。 している運用設計。適切に分離、アクセス制御されていないネットワーク設計。 ・安心な端末でログ調査がで きる。 統制目標 ユーザ端末に保存されている重要情報(運用管理業務で使われている管理者情報や機微情報 など)の窃取を防止し検知する Copyright © 2016 独立行政法人情報処理推進機構 27 対策セットE P75 ~ファイル共有の制限とトラップアカウントによる監視~ 攻撃者が狙うシステム上の弱点 [対策セットEの利点] WindowsOSにおいてデフォルトで有効になっているファイル共有。・悪用されるケースの多いファ 止められないファイル共有。初期キッティングで配布される共通のローカルAdministrator。 イル共有において、把握すべ 運用管理ツール(タスクスケジューラ、PsExec)と使いこなせないWindowsログ。 きログがファイルサーバに絞 られる。 統制目標 攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有 機能を悪用した内部侵害拡大を防止する ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する Copyright © 2016 独立行政法人情報処理推進機構 28 対策セットF P87 ~管理者権限アカウントのキャッシュ禁止とログオンの監視~ 攻撃者が狙うシステム上の弱点 [対策セットFの利点] ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限の ・強い権限のIDによるアクセ アカウント(DomainAdmin)。 スログを気にしないで済む。 統制目標 攻撃者に管理者権限のアカウント情報を窃取させない 万が一窃取されたときも管理者権限のアカウントの不正使用を検知する Copyright © 2016 独立行政法人情報処理推進機構 29 まとめ1:バランスのとれた全体設計 水飲み場サイト C&Cサーバ (改ざんWeb) セキュリティ 製品 サポートデスク パソコン 一般職員 OAパソコン プロキシ Active Directory メンテナンス パソコン 攻撃者 Web ファイル サーバ AP データ ベース 第2ファイル サーバ 30 Copyright © 2016 独立行政法人情報処理推進機構 まとめ1:バランスのとれた全体設計 水飲み場サイト C&Cサーバ (改ざんWeb) セキュリティ 製品 サポートデスク パソコン 【設計ポイント2】 アクセス制御された セグメント分離 一般職員 OAパソコン 【設計ポイント:おまけ】 Windowsを使用しない 認証基盤の分離 Copyright © 2016 独立行政法人情報処理推進機構 プロキシ Active Directory 【設計ポイント1】 セキュリティ機能による 入口・出口対策 攻撃者 Web ファイル サーバ 第2 認証基盤 AP データ ベース 第2ファイル サーバ 【設計ポイント3】 ログ設計による 発見と分析運用 ログ管理・正規化、 検索サーバ メンテナンス パソコン 31 まとめ2:攻撃者が歩く経路を狭め 監視ポイントを最適化 防御 復旧 エスカレー ション 監視 分析 32 Copyright © 2016 独立行政法人情報処理推進機構 目次 情報システムを取巻く状況 脅威の全貌を押さえる所から始める 設計対策の考え方 ログの活用とまずコレ 最後に 33 Copyright © 2016 独立行政法人情報処理推進機構 「高度標的型攻撃」対策に向けたシステム設 計ガイド(第4版)の公開(’14.9.30) 作成:IPA『脅威と対策研究会』 P118 ツール一覧 https://www.ipa.go.jp/security/vuln/newattack.html 34 Copyright © 2016 独立行政法人情報処理推進機構 サイバー攻撃に対するIPAの取り組み 「サイバーセキュリティと経済 研究会」(経産省) での検討政策を受けて展開 国内の政府機関へ Titan Rain の標的型メールの観 測 2003 ~ 2005 ~ 重工 政府機関 被害 への攻撃 発覚 標的型攻撃が深刻な脅威に Operation Aurora 2009 Stuxnet 2010 RSA 2011 2012 2014 2013 ●METI 「サイバーセキュリティと 経済研究会」 「脅威と対策 研究会」 2010/12 システム設計*1) 早期対応 *2) 情報共有 *3) 2011/8 設計Guide v1 2013/8 設計Guide v3 分析レポート 「標的型特別 相談窓口」 2011/10 2014/9 設計Guide v4 分析レポート レスキュー試行 サイバー レスキュー隊 J-CRAT」 5業界の情報共有体制 「情報共有 J-CSIP」 2012/4 国内でもここ3年間で攻撃による被害が顕在化、深刻化 標的型攻撃には、多層的な防御が不可欠となっている 35 Copyright © 2016 独立行政法人情報処理推進機構 守るセキュリティから 繋げるセキュリティへ 「セキュリティはセキュリティ屋の仕事」から脱却。 社会全体で取り組むため、セキュリティという共通言語で異業種を繋げる。 Copyright © 2016 独立行政法人情報処理推進機構 36 新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで、 組織の情報セキュリティ確保に貢献し、脅威から 継続的に組織を守るための基本的スキルを認定する試験 ◆受験をお勧めする方◆ ・個人情報を扱う全ての方 ・業務部門・管理部門で 情報管理を担当する全ての方 ◆28年度秋期試験実施時期◆ 初回応募者 約2万3千人!! Copyright © 2016 独立行政法人情報処理推進機構 ・実施日 2016年10月16日(日) ・申込受付 2016年7月11日(月)から ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 Copyright © 2016 独立行政法人情報処理推進機構 39 Copyright © 2016 独立行政法人情報処理推進機構