Comments
Description
Transcript
参考資料
Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 標的型サイバー攻撃とその対策 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 2 APT/標的型サイバー攻撃の特徴 攻撃の特徴 ■特定企業や政府組織を標的としたスパイ活動 ■標的型メールにより、スパイウィルスを送り込む⼿⼝ ■派⼿でないスパイ活動を⻑期間執拗に⾏う 対策上の問題点 ■標的型メールへの絶対的なセキュリティ対策は無い - 実在する上司や取引先の名を語ったメールに添付されたPDFファイル - 誰か⼀⼈でも開けば成功。必ず誰かが開いてしまう。 ■侵⼊したスパイウィルスの検出が難しい - 新しいパターンのウィルスや、狙った企業内でしか発症しない専⾨プログラム - 狙った企業が導⼊しているウィルス対策ソフトに検出されないことを確認済 - アンチウィルスソフトでは、検出できない ■社内に“⼈に起因する”セキュリティホール多数存在 - ⾮管理サーバや消し忘れアカウント、⾮管理共有、脆弱パスワードなど - 侵⼊したウィルスやハッカーに狙われる 【攻撃の⼿⼝】 攻撃プロセス 情報収集 侵⼊ 外部連絡 拡散 ⼯作活動 攻撃の⼿⼝(最近の流⾏) 企業のIR情報や所属協会名簿などの公開情報から実在の⼈物名を⼊⼿ ⼊⼿した実在の⼈物名を語り、仕事を装ったメールを関係者へ送信。誰か⼀⼈が開けば成功 バックドアの確⽴など、外部との連絡経路を確保し、外部からの指⽰やマルウェア本体のDL、盗み出した情報の漏洩 感染したPCの権限を利⽤し、他のPCやサーバのセキュリティホールを利⽤して感染を拡⼤する 企業内の重要な情報や、ID/PASSWORDなどを盗聴する Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 攻撃のポイント ⼊⼝ 出⼝ 内部 3 対策の考え⽅ 前提条件 マルウェアは必ず侵⼊する マルウェアは必ず侵⼊する 「ウィルスやハッカーは、既に社内に居る」という前提に⽴った対策が必須 「ウィルスやハッカーは、既に社内に居る」という前提に⽴った対策が必須 その上で、こう考えましょう 侵⼊されても情報を盗まれなければいい 侵⼊されても情報を盗まれなければいい 侵⼊してもすぐに盗まれるわけではない。 侵⼊してもすぐに盗まれるわけではない。 何ヶ⽉、あるいは何年か掛かるケースも 何ヶ⽉、あるいは何年か掛かるケースも 『⼊らせない』よりも、『侵⼊したウィルスの拡散防⽌や、早期発⾒』が現実的かつ本質的な対策 『⼊らせない』よりも、『侵⼊したウィルスの拡散防⽌や、早期発⾒』が現実的かつ本質的な対策 そのためには内部ネットワークの『強化と監視』が重要 そのためには内部ネットワークの『強化と監視』が重要 •• 監視:多点・多重のログ取得(リアルタイム検出は必ずしも必要ではない) 監視:多点・多重のログ取得(リアルタイム検出は必ずしも必要ではない) •• 強化:ポリシー通りの確実な運⽤を可視化・管理 強化:ポリシー通りの確実な運⽤を可視化・管理 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 4 ログのモニタリングによる対策 『侵⼊したウィルスの拡散防⽌、早期発⾒』をログを利⽤した可視化により実現する 『侵⼊したウィルスの拡散防⽌、早期発⾒』をログを利⽤した可視化により実現する 重要サーバ 重要サーバ 未管理サーバ Active Active Directory Directory 拡散 乗っ取り 外部通信 感染PC 感染PC 感染PC 感染PC 攻撃⽤サーバ 攻撃⽤サーバ Web Web Proxy Proxy 【ログから⾒るポイント】 マルウェア感染後の検知(拡散防⽌・早期発⾒) 対象ログ Active Directory へのログオンアタック マルウェアは真っ先にActive Directoryの乗っ取りを狙う。 ADサーバ認証ログ マルウェアの拡散 マルウェアは他のPCやサーバへの拡散(感染)を⾏う. サーバ/PCアクセスログ 外部への情報持ち出し マルウェアは取得した情報を、外部の攻撃⽤サーバに送信する。 Web Proxy アクセスログ 予防的対応 未管理PC・サーバの抽出 対象となるログ 未管理サーバや未使⽤アカウントはマルウェアに悪⽤されやすい。 サーバ/PCアクセスログ 未使⽤アカウントの抽出 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 5 Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 6 標的型サイバー攻撃 対策レポートテンプレート VISUACTとLogstorageの連携により、マルウェアの⾏動をを可視化!! ネットワークを流れるパケットをキャプ ネットワークを流れるパケットをキャプ チャし、クライアント⇔サーバ間のアク チャし、クライアント⇔サーバ間のアク セスログを記録する。 セスログを記録する。 VISUACTが記録した各ポイントのアクセ VISUACTが記録した各ポイントのアクセ スログを統合し、分析レポートを出⼒す スログを統合し、分析レポートを出⼒す る。 る。 - Logstorage for VISUACT【分析レポート⼀覧】 レポート名 考えられるリスク ログ取得 レポート内容 Server→Clientへのアクセス ファイルサーバがウィルスに感染 VISUACT 認証ログ(LogonまたはLogonFailer)の宛先がサーバでないログを抽出する。 ADへのログオンアタック ADサーバの乗っ取り VISUACT クライアント毎のLogOnFailer件数を集計し、特に多いものを抽出する。 Client→Clientへのアクセス クライアントマシンがウィルスに感染している VISUACT アクセスログの宛先がサーバでないログを抽出する。 不特定多数へのアクセス クライアントマシンがウィルスに感染している VISUACT クライアント毎のアクセス先件数を集計し、⼀定数以上の場合アラートを出す 未使⽤アカウント抽出レポート 退職者アカウント等が存在する VISUACT 管理台帳とアクセスログを突合せ、未使⽤アカウントを抽出。 ⾮管理PC・サーバレポート 勝⼿に設置されたサーバが存在する VISUACT 管理台帳とアクセスログを突合せ、⾮管理PC・サーバを抽出。 Web Proxy 外部攻撃サイトへのアクセス履歴を出⼒する。 マルウェア⾏動検出レポート 未使⽤ITデータ棚卸レポート (オプション) 外部攻撃サイトアクセスレポート (オプション) 不正攻撃サイトアクセス履歴 情報が持ち出されている Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 7 システム構成 『侵⼊したマルウェアの拡散防⽌、早期発⾒』をログを利⽤した可視化により実現する 『侵⼊したマルウェアの拡散防⽌、早期発⾒』をログを利⽤した可視化により実現する ログの統合管理 分析レポート⽣成 感染サーバ 感染サーバ Active Active Directory Directory ログ ルーター Visuact-lite Visuact-lite ルーター Visuact-lite Visuact-lite 感染PC 感染PC Visuact-lite Visuact-lite 感染PC 感染PC 営業部 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. ルーター ルーター 感染PC 感染PC Visuact-lite Visuact-lite 未管理サーバ 開発部 総務 関連会社 8 対策レポートテンプレート① マルウェア⾏動検出レポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 9 マルウェア⾏動検出レポート概要 侵⼊したマルウェアの拡散防⽌、早期検出 分析ポイント 分析ポイント 【ログ解析の観点】 ■サーバサイドログ ・サーバが発信元のログ(かつアクセス先がサーバでない) ⇒ サーバがウィルスに感染している可能性 ・短時間に沢⼭「Logon failuer」が出ているクライアント ⇒ ドメインアタックをしている可能性 感染サーバ 感染サーバ ADサーバ ADサーバ 乗っ取り 拡散・情報取得 ■部⾨サイドログ ・宛先がサーバでない ・不特定多数のマシンにアクセスしている ⇒ クライアントマシンがウィルスに感染している可能性 感染PC 感染PC 感染PC 感染PC 【レポート⼀覧】 レポート名 考えられるリスク ⾏われている不正アクセス・不正⾏為 ログ取得 レポート内容 サーバからクライアントへのアク セス ファイルサーバがウィルスに感染 サーバに感染したウィルスが、サーバのアカウントを利用し て拡散するためにファイル共有を利用しているマシンを探索 する VISUACT 認証ログ(LogonまたはLogonFailer)の宛先がサ ーバでないログを抽出する。 ADへのログオンアタック ADサーバの乗っ取り ADサーバに対し、ログオンアタックを行なう VISUACT クライアント毎のLogOnFailer件数を集計する。 クライアントからクライアントへ のアクセス クライアントマシンがウィルスに感染 している サーバ以外のマシンにアクセスしている VISUACT アクセスログの宛先がサーバでないログを抽出 する。 不特定多数へのアクセス クライアントマシンがウィルスに感染 している 不特定多数のマシンにアクセスしている VISUACT クライアント毎のアクセス先件数を集計する。 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 10 マルウェア⾏動検出レポートサンプル レポートイメージ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 11 対策レポートテンプレート② ITデータ棚卸レポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 12 ITデータ棚卸レポート概要 狙われやすい「未使⽤アカウント」「⾮管理PC・サーバ」を検出 分析ポイント 分析ポイント 【ログ解析の観点】 ■アクセスログと各種台帳/マスタ ・管理台帳とアクセスログを突合せ、未使⽤アカウント、 ⾮管理サーバ、PCを検出。 ⇒ 未使⽤アカウント、⾮管理サーバは不正に利⽤され易い 【未使⽤アカウント抽出レポート】 ⾮管理 サーバ 未使⽤ アカウント 【⾮管理サーバ・PC抽出レポート】 突合 アクセスログ 突合 アクセスログ アカウント管理台帳 (ユーザアカウントリスト) 指定期間中、⼀度も使⽤されていないアカウントがある! ⾮管理 PC サーバ・PC管理台帳 (IPアドレスリスト) 管理台帳にないPC・サーバへのアクセスがある! レポート名 考えられるリスク ログ取得 レポート内容 未使用アカウント抽出レポート 退職者アカウントなど、未使用アカウントの利用。 VISUACT 管理台帳とアクセスログを突合せ、未使用アカウントを抽出。 非管理PC・サーバレポート 社内に許可無く設置されたサーバ、PCのウィルス感染。 VISUACT 管理台帳とアクセスログを突合せ、非管理PC・サーバを抽出。 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 13 ITデータ棚卸レポートサンプル レポートイメージ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 14 対策レポートテンプレート③ 外部攻撃サイトアクセスレポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 15 外部攻撃サイトアクセスレポート概要 外部攻撃サイトへのアクセス分析 【ログ解析の観点】 分析ポイント 分析ポイント ■Web Proxyサーバのログ - 外部の攻撃⽤サーバにアクセスしているサーバやPC。 ⇒ ウィルスに感染したサーバやPCが情報を 持ち出している可能性 感染サーバ 感染サーバ 外部通信 攻撃⽤サーバ 攻撃⽤サーバ Web Web Proxy Proxy 感染PC 感染PC レポート名 考えられるリスク ⾏われている不正アクセス・不正⾏為 ログ取得場所 レポート内容 外部攻撃サイトアクセスレポート 情報が持ち出されている 情報の持ち出し先サイトへのアクセス C&Cサーバへのアクセス Web Proxy 外部攻撃サイトへのアクセス履歴 を出力する。 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 16 外部攻撃サイトアクセスレポートサンプル サンプルレポート 【URLリスト連携】 【URLリスト連携】 ネットスター社が提供するURLリストを利⽤し、URLに対するカテゴ ネットスター社が提供するURLリストを利⽤し、URLに対するカテゴ リ情報を付与しています。 リ情報を付与しています。 URLリストには、マルウェアを配布するサイトや、不正に改ざんされた URLリストには、マルウェアを配布するサイトや、不正に改ざんされた サイト、標的型攻撃で使⽤される可能性のあるサイト、C&C(コマンド サイト、標的型攻撃で使⽤される可能性のあるサイト、C&C(コマンド &コントロール)サーバ &コントロール)サーバ などの不正攻撃サイト、フィッシングサイト、 などの不正攻撃サイト、フィッシングサイト、 ワンクリック詐欺サイトなどの悪質サイトも「不正コード配布」という ワンクリック詐欺サイトなどの悪質サイトも「不正コード配布」という カテゴリで登録されています。 カテゴリで登録されています。 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 17 開発元 開発元 インフォサイエンス株式会社 〒108-0023 東京都港区芝浦2-4-1インフォサイエンスビル http://www.infoscience.co.jp/ お問い合わせ先 お問い合わせ先 インフォサイエンス株式会社 プロダクト事業部 TEL 03-5427-3503 FAX 03-5427-3889 http://www.logstorage.com/ mail : [email protected] Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 18