Comments
Description
Transcript
標的型サイバー攻撃対策ハンドブック - wisdom
今、企業に必要なセキュリティ対策 標的型サイバー攻撃対策ハンドブック 世間を騒がせている 標的型サイバー攻撃とは 標的型サイバー攻撃の概要 標的型サイバー攻撃は、プロの犯罪集団が、特定の組織や人を狙って「なりすましメール」を送り、 機密情報を窃取する攻撃です。メール本文は、馴染みのある業務内容や依頼事項に見せかけているため、 受信者は疑念を抱かずに添付ファイルの開封やURLをクリックします。 その結果、PCがマルウェアに感染し、外部からの遠隔操作で情報が盗み取られてしまいます。 攻撃者 機密情報 攻撃サーバ ⑤情報漏えい ④外部から 遠隔操作 ①関係者になりすまし 信頼できる人 を詐称 ③マルウェア 感染 ②添付ファイル開封・ URLクリック なりすまし 電子メール 信頼できると判断 標的型サイバー攻撃の傾向 情報セキュリティ10大脅威 2016 総合順位 順 位 『標的型攻撃による情報流出』は、 タイトル 2015年に発生した標的型攻撃に 1 インターネットバンキングやクレジットカード情報の不正利用 2 標的型攻撃による情報流出 3 ランサムウェアを使った詐欺・恐喝 ており、前年よりも上位(2015は総 4 ウェブサービスからの個人情報の窃取 合3位)となっています。 5 ウェブサービスへの不正ログイン 6 ウェブサイトの改ざん また、最近では『ランサムウェアを 7 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ 使った詐欺・恐喝』が世界で猛威を 8 内部不正による情報漏えいとそれに伴う業務停止 振るっています。 9 巧妙・悪質化するワンクリック請求 10 よる大規模な個人情報流出事件以降、 多くの組織や企業が攻撃被害を受け 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 出典:IPA 情報セキュリティ10大脅威 2016 -2- 標的型サイバー攻撃から組織を守る 多層防御による対策 巧妙化・高度化する標的型サイバー攻撃 攻撃者はさまざまな攻撃ステップを踏んで、攻撃を仕掛けてきます。 潜入情報収集 準備 Step1. 計画立案 Step2. 攻撃準備 • 攻撃目標設定 • 標的型メール 作成 • 攻撃に必要な 情報の関連 • 攻撃サーバ 調査 準備 Step3. 初期潜入 • 標的型メール の送付 • 通信受信リ モート操作 標的型サイバー攻撃対策の考え方 情報窃取破壊 Step5. 内部侵入・ 調査 Step4. 基盤構築 • バックドア開設 • 他端末侵入 • サーバ侵入 • 端末情報入手 • 管理者情報 窃取 • 構成情報入手 撤収再侵入 Step6. 目的遂行 • 情報窃取 • システム 破壊 Step7. 再侵入 • バックドアを 通じ再侵入 ~ 多層防御 ~ 標的型サイバー攻撃は、一つの対策で防ぐことは困難です。 攻撃ステップに適した、複数の対策を組み合わせる多層防御が有効です。 Step1.計画立案 Step2.攻撃準備 攻撃開始 機密情報窃取 攻撃者 Step7.再侵入 組織・企業内 ログ 入口対策 Step3.初期潜入 出口対策 PC対策 ログ 自社情報 システムの評価 ログ収集・分析 相関分析 証跡管理 Step4.基盤構築 ファイル保護対策 インシデント管理 内部対策 Step5.内部侵入・調査 Step6.目的遂行 パッチ対策 セキュリティ教育 多層防御 + 統合監視 -3- 標的型サイバー攻撃の被害を防ぐ 効果の高い3つのポイント NECがおすすめする3つのポイント 標的型サイバー攻撃は、複数の対策を組み合わせた多層防御が有効です。 しかし、すべての対策を一斉に施すのは負担も大きくなります。 NECではその中でも効果の高い3つのポイントをおすすめします。 自社の情報システムは安全なの? ポイント 1 自社情報システムの 現状を確認しましょう! P5 現 状 把 握 P8 入 口 ・ 出 口 対 策 P11 パ ッ チ ・ フ ァ イ ル 保 護 対 策 マルウェア侵入前・ ファイル流出前に防げないの? ポイント 2 入口・出口で 防御しましょう! 万が一マルウェアが侵入しても 情報を守る方法はないの? ポイント 3 感染を想定した システムにしましょう! -4- 自社情報システムの現状を確認しましょう! ポイント 1 自社情報システムの現状を 把握していますか? 自社情報システムに潜む脆弱性を知りたい! 標的型サイバー攻撃対策の第一歩は、「己」を知ること! 正しく自社情報システムの「脆弱性」を知ることで、優先度の高い、適切な対策を選択できます。 Web改ざん “踏み台”となり 攻撃に関与!? 情報漏えい 攻撃者 導入効果 ~ 自社情報システムの現状把握 ~ 自社情報システムの現状を客観的に評価することで、こんな効果があります。 自社情報システムの脆弱性がわかります。 標的型サイバー攻撃対策について、対策 の優先順位や時期、規模などを検討する 有効な基礎データを得られます。 NECが提供するサービス/製品は? -5- 現 状 把 握 入 口 ・ 出 口 対 策 パ ッ チ ・ フ ァ イ ル 保 護 対 策 ポイント 1 自社情報システムの現状を確認しましょう! 情報システムの脆弱性を検出 プラットフォーム脆弱性診断サービス/ Webアプリケーション脆弱性診断サービス 既知の脆弱性を悪用したマルウェアに感染しないために、メンテナンス不足のシステムを 発見することが重要です。 わかりやすい分析レポート NEC 不要な サービス 診断用コマンド 現 状 把 握 入 口 ・ 出 口 対 策 脆弱な 設定 脆弱な バージョン レスポンス 報告会の実施 ●ネットワークに接続された 機器上のOSやミドルウェア、 安易な 不要な 外部からの攻撃の標的となる パスワード アカウント Webアプリケーションなどに 潜む脆弱性を検査・発見 ●セッション管理の不備やアクセス制御の不備を検査・発見 プラットフォーム/Webアプリケーション脆弱性診断サービスの特徴 ●PC/サーバ/ネットワーク機器/Webアプリケーションに潜む脆弱性を検出します。 ●システム内の脆弱性を見える化し、対処方法を提案します。 事前準備 診断 分析 報告 事後処理 お客さま 診断するシステムを 決定します パ ッ チ ・ フ ァ イ ル 保 護 対 策 NEC どのような対処をするか 検討していただきます レポートをもとに 診断結果を報告します 診断を実施します 診断対象となるシステム について伺います 診断結果を 分析します 分析結果を レポートにまとめます 適切な対処方法 を提案します NECによる脆弱性診断でシステム内の脆弱性を見える化! -6- 自社情報システムの現状を確認しましょう! ポイント 1 実機ベースアセスメント PoV( Proof of Value ) 標的型攻撃診断サービス お客さま環境に評価機を設置し、標的型サイバー攻撃の脅威有無・マルウェア感染端末を調査します。 お申込みから約2か月で現状把握が可能です。 機器の設置場所は、通常の通信経路からは独立しているため、稼働中のシステム・通信に影響を 与えません。 インターネット ファイア ウォール 現 状 把 握 ミラーポート使用 パケットの転送 評価機材 スイッチ LAN 入 口 ・ 出 口 対 策 管理者クライアント (例)FireEyeによる標的型攻撃診断サービスの流れ ※開始時期は、機器の空き状況等により変わります ご 紹 介 ・ ヒ ア リ ン グ 準 備 / 設 置 ( 2 週 間 ~ ) ロ グ 収 集 ( 約 3 週 間 ) 機 器 撤 去 レ ポ ー ト 作 成 レ ポ ー( ト約 提3 出週 /間 報後 告) 会 評価機による診断で、攻撃侵入・感染状況を見える化! -7- パ ッ チ ・ フ ァ イ ル 保 護 対 策 ポイント 2 入口・出口で防御しましょう! 不審な添付ファイルやURLを含む メールを検知できますか? 自社情報システムへのマルウェア侵入を防ぎたい! 標的型サイバー攻撃に使用されるマルウェアは、特定の組織や人に特化して作成されるため、 アンチウイルスソフトでの検知は困難です。 ●メールに添付された未知のマルウェアを検知できますか? ●不正なWebサイトからダウンロードした未知のマルウェアを検知できますか? インターネット 標的型メール 現 状 把 握 添付ファイルを 開き感染 攻撃者 メールサーバ 入 口 ・ 出 口 対 策 URLリンク先へ アクセスし感染 導入効果 ~ 入口・出口対策 ~ 入口・出口対策を行うことで、こんな効果があります。 パ ッ チ ・ フ ァ イ ル 保 護 対 策 既知/未知のマルウェア侵入を検知します。 外部への不審な通信を発見できます。 不審なメールを事前に削除することで 感染リスクを減らすことができます。 NECが提供するサービス/製品は? -8- 入口・出口で防御しましょう! ポイント 2 不審な添付ファイルやURLを含む メールの侵入を防ぐ入口対策 ActSecureクラウドメールセキュリティサービス ActSecureクラウドメールセキュリティサービスは、既存サーバの簡単な設定変更のみで、 標的型攻撃対策や誤送信対策などメール利用に欠かせないセキュリティ機能を利用できます。 ●未知のマルウェアが添付されたメールを検知・遮断します。 ●不審なURLが含まれるメールを検知・遮断します。 ●検知した状況を月次レポートとして提示し、お客さまのセキュリティ業務を支援します。 ActSecureクラウドメールセキュリティサービスの特徴 NEC ActSecureクラウドメールセキュリティサービス 機能 入口対策 アンチウイルス アンチスパム ○ 標的型攻撃対策 ○ 出口対策 ウイルスチェック スパムチェック 標的型攻撃対策 virus SPAM 誤送信対策 誤送信防止 メールアーカイブ ○ アーカイブ 一 http://xxx~ 一 □ウイルス・スパムチェック、 標的型攻撃対策により、 外部の攻撃者から お客さまシステムを防御 □添付ファイルの自動暗号化、 メール送受信後の アーカイブにより、 情報漏えい対策を強化 外部 入 口 ・ 出 口 対 策 お客さま環境 ! 攻撃者 現 状 把 握 クラウド OR メールサービス 取引先など メールシステム利用者 オンプレ メールサーバ メールシステム管理者 NECが社内外から培ったノウハウで攻撃を防ぐ! -9- パ ッ チ ・ フ ァ イ ル 保 護 対 策 ポイント 2 入口・出口で防御しましょう! 不審なメールや不正な外部通信を 検知する入口・出口対策 FireEye NX/EX/CM シリーズ 標的型攻撃対策製品であるFireEyeは、シグネチャに頼らず仮想環境(サンドボックス)上で 実際にファイルを動作させてマルウェア検知を行うため、未知のマルウェアも検知が可能です。 ●約2,000パターンの解析環境が導入された独自の仮想実行環境で、ゼロデイ攻撃を含む複数の脆 弱性をついた攻撃を検知します。 ●FireEye導入企業で発見した脅威情報を共有・活用します。 ●24時間365日リモートでNECが監視するサービスを提供します。 現 状 把 握 FireEyeの特徴 ゼロデイ攻撃など、シグネチャをすり抜けるマルウェアを検知します。 入 口 ・ 出 口 対 策 入口対策:外部から内部ネットワークに入ってくる通信を再現・解析可能です。 パ ッ チ ・ フ ァ イ ル 保 護 対 策 メールに添付されたファイルおよびURLも解析・検知可能です。 出口対策:感染PCから外部の攻撃サーバへの通信を検知・遮断可能です。 脅威情報を共有して迅速で効率的に検知! - 10 - 感染を想定したシステムにしましょう! ポイント 3 感染リスクの低減策やファイル 流出後対策を施していますか? 感染リスクを低減し、かつ、万が一に備える! 迅速にパッチを適用することで、その脆弱性を悪用したマルウェア感染を回避できます。 また、ファイルを暗号化することで、万が一ファイルが外部に流出した場合でも、 情報の漏えいを防げます。 ●セキュリティパッチを迅速に収集・適用できていますか? ●ファイルを漏れなく暗号化できていますか? ●ファイルサーバのファイルも自動で暗号化していますか? 対策提示 機密情報 機密情報 現 状 把 握 脆弱性 あり! 遠隔操作により ファイルの窃取 攻撃者 導入効果 ファイルコピー 社員 各種サーバ ~ パッチ対策・ファイル保護対策 ~ パッチ対策・ファイル保護対策を行うことで、こんな効果があります。 万が一マルウェアが侵入しても、 被害を最小限に抑えることができます。 ファイルを暗号化することで、 ファイルが流出しても情報は漏れません。 自動的に暗号化するため「暗号化忘れ」 がなくなります。 NECが提供するサービス/製品は? - 11 - 入 口 ・ 出 口 対 策 パ ッ チ ・ フ ァ イ ル 保 護 対 策 ポイント 3 感染を想定したシステムにしましょう! セキュリティリスクを把握し、 効果的な対策を可能にする NEC Cyber Security Platform NEC Cyber Security Platformは、お客さまシステムに潜むセキュリティリスクを迅速に特定し、 環境に合わせたセキュリティリスクへの対策案を提示します。 ●自社情報システムの脆弱性を迅速に見える化できます。 ●残存する脆弱性に対し、複数の対処方法を提示するため、 パッチ適用ができない環境でもセキュリティ対策を施すことができます。 ●NECの豊富なセキュリティ対策ノウハウをインテリジェンスとして提供します。 現 状 把 握 NEC Cyber Security Platformの特徴 サーバ Agent 入 口 ・ 出 口 対 策 PC Agent Agent 構成情報収集 パッチ適用率集計 パ ッ チ ・ フ ァ イ ル 保 護 対 策 NECセキュリティ インテリジェンス 配信サーバ Agent 構成情報を分析 潜在個所を特定 NEC Cyber Security Platform マネージャ 脆弱性情報 脆弱性の内容 脆弱性影響度 脆弱性成立条件 脆弱性発見ルール 脆弱性対策方法 など 部門別台数集計 OS別台数集計 脆弱性の影響が分かる 影響範囲を特定 複数の対策案を提示 セキュリティ管理者 NECグループ18万台の運用実績を持つ基盤と知見で セキュリティリスクが管理されたICT環境を実現! - 12 - 感染を想定したシステムにしましょう! ポイント 3 ファイル毎に暗号化+アクセス制御で 第三者閲覧を防ぐ InfoCage FileShell InfoCage FileShellは、様々なファイルを自動的に暗号化し、従来の運用を損なわず 「暗号化ファイルが外部へ流出しても中身は漏れない安心感」を実現します。 ●ファイルを自動的に暗号化するため、暗号化忘れがありません。 ●パスワード入力や再暗号化などの操作がなく、 ファイルの拡張子も変わらないため、操作感は従来と変わりません。 ●暗号化ファイルにアクセス権限を持たせているため、 万が一、外部に流出しても第三者は閲覧・編集ができません。 現 状 把 握 InfoCage FileShellの特徴 自動でモレなくファイルを暗号化 導入後も利用者の操作は従来通り ファイルを開く Word Text ダブルクリック 手作業で暗号化する必要なし 暗号化されたまま編集・閲覧可能 多種多様なファイルを暗号化 暗号化済みファイルも簡単に視認 メモ帳でも Word Word naibu.docx Excelでも 暗号化後 naibu.docx Excel PDF himitsu.pdf 利用するアプリケーションも自由 PDF himitsu.pdf 鍵マークの有無で識別 情報漏えい対策の最後の砦! - 13 - 入 口 ・ 出 口 対 策 パ ッ チ ・ フ ァ イ ル 保 護 対 策 標的型サイバー攻撃対策 ソリューションマップ より堅牢なシステムにするための方法 ご紹介した効果の高い3つのポイントの他にも、お客さま環境に適した様々なセキュリティ対策を提案します。 現状把握 入口・出口対策 内部対策 パッチ・ファイル保護対策 ログ分析 セキュリティ教育 PC対策 運用監視 多層防御の一例 標的型メール 現状把握 機密情報の漏えいを防止 攻撃者 ファイルサーバ マルウェア感染 リスクを低減 パ ッ チ ・ フ ァ イ ル 保 護 対 策 入口対策 公開サーバ メールサーバ DMZ インターネット ファイア ウォール 認証サーバ 内 部 対 策 プロキシサーバ 出口対策 PC対策 マルウェア感染による 外部通信の検知/遮断 ログ分析 運用監視 攻撃サーバ - 14 - 情報システム管理者 セ キ ュ リ テ ィ 教 育 標的型サイバー攻撃対策に 有効な製品/サービス 分類 現状把握 製品名 プラットフォーム脆弱性診断サービス Webアプリケーション脆弱性診断サービス ActSecureクラウドメールセキュリティサービス ActSecureクラウドサンドボックスサービス for FortiGate Outlookアドインツール 入口対策 Deep Discovery Email Inspector powered by Express5800 Deep Discovery Inspector powered by Express5800 FireEye EX/NX/CMシリーズ Palo Alto Networks PAシリーズ Deep Discovery Inspector powered by Express5800 出口対策 FireEye NXシリーズ Palo Alto Networks PAシリーズ パッチ対策 ファイル保護対策 NEC Cyber Security Platform InfoCage FileShell Palo Alto Networks Traps PC対策 FFR yarai Zerona 内部対策 ログ分析 セキュリティ教育 運用監視 Deep Discovery Inspector powered by Express5800 ALog ConVerter Splunk 標的型攻撃メール対応訓練サービス セキュリティ監視サービス ※こちらに未掲載の製品・サービスも多数ございます。詳細はお問い合わせください。 - 15 - 日本電気株式会社 〒108-8001 東京都港区芝五丁目7-1(NEC本社ビル) URL:http://jpn.nec.com/security/solution/apt.html ●その他本紙に掲載された社名、商品名は各社の商標または登録商標です。 ●本製品の輸出(非居住者への役務提供等を含む)に際しては、外国為替及び外国貿易法等、関連する輸出管理法令等をご確認の上、必要な手続きをお取りください。 ご不明な場合、または輸出許可等申請手続きにあたり資料等が必要な場合には、お買い上げの販売店またはお近くの弊社営業拠点にご相談ください。 ●本紙に掲載された製品は、改良のため予告なく仕様を変更することがあります。 2016年9月(V5) EX-301842