...

セキュリティインシデントの動向と シーサート活動への取り組み

by user

on
Category: Documents
15

views

Report

Comments

Transcript

セキュリティインシデントの動向と シーサート活動への取り組み
Hitachi Incident Response Team
2016.11.21 11:40:02 +09'00'
セキュリティインシデントの動向と
シーサート活動への取り組み
2016年11月29日
寺田真敏
Hitachi Incident Response Team
http://www.hitachi.co.jp/hirt/
Contents
「安全が確認できるまで遮断へ」、「攻撃者のサイバー攻撃ス
ピードへの追従」の2つの視点から、サイバーセキュリティの変化を
みていきます。また、日立グループでの取り組みと共に、これらの
動きの中から、新たな脅威に対処するためのシーサート活動につ
いて考えてみたいと思います。
1.
2.
3.
4.
セキュリティインシデントの動向
標的型攻撃
シーサート(CSIRT)活動
日立グループのシーサート活動
1.
セキュリティインシデントの動向
被害の見え方
1998-2003
脆弱性対策
インシデント対応認知期
2004-2009
脆弱性対策
インシデント対応黎明期
均一的かつ広範囲に
渡る単発被害
- ウェブサイトのページ
書き換え
均一的かつ広範囲に
渡る連鎖型被害
- ウイルス添付型メール
- ネットワーク型ワーム
Copyright © Hitachi Incident Response Team. 2016
2010-2015
脆弱性対策
インシデント対応定着期
類似した局所的な被害
- フィッシング
- スパイウェア
- ボット
すべてが異なる
局所的な被害
- 標的型攻撃
3
1.
セキュリティインシデントの動向
【変化】「安全が確認できるまで遮断」へ
1990
2000
2010
2020
影響の大きなインシデントが発生すると対策アプローチに大きな変化が見られる。
▲Winnyによる
情報漏えい(2006)
データセントリック型対策
Thinクライアント
HDD付クライアント
▲防衛産業企業への
標的型攻撃(2011)
入口対策
出口対策
▲特殊法人などへの
サイバー攻撃他(2015)
リスク加算型対策
危険と思うまで使い続ける
Copyright © Hitachi Incident Response Team. 2016
リスク減算型対策
安全が確認できるまで止める
4
1.
セキュリティインシデントの動向
【変化】「安全が確認できるまで遮断」へ
 「安全が確認できるまで止める」という考え方への対処
危険と思うまで使い続ける
安全が確認できるまで止める
リスク値
潜在的な
脅威残存期間
(対策準備期間) サービス停止期間
潜在的な脅威残存期間=0
サービス停止期間
▲暫定対策
▲根本対策
▲暫定対策
▲根本対策
対策開始▲
対策完了▲
▲広域な侵害活動発生
▲限定的な侵害活動発生
▲深刻な脆弱性発見/侵害活動発生
Copyright © Hitachi Incident Response Team. 2016
▲対策開始
リスク閾値
▲対策完了
▲広域な侵害活動発生
▲限定的な侵害活動発生
▲深刻な脆弱性発見/侵害活動発生
時間
5
1.
セキュリティインシデントの動向
【変化】攻撃者のサイバー攻撃スピードへの追従
 情報共有と自動化
人間系の
情報網
分野:特定
機械処理系を
加味した情報網
STIX + TAXII
IPA J-CSIP
NPA サイバーインテリジェンス
情報共有ネットワーク
手動
AIS(Automated Indicator Sharing)
自動
(ルーチン
ワーク化)
US-CERT Alerts
DHS Daily Open Source
Infrastructure Report
---------STIX(Structured Threat Information eXpression)
脅威情報構造化記述形式
TAXII(Trusted Automated eXchange of Indicator Information)
検知指標情報自動交換手順
AIS(Automated Indicator Sharing)
検知指標情報自動共有
Copyright © Hitachi Incident Response Team. 2016
分野:一般
NIST SCAP(Security Content
Automation Protocol)
6
1.
セキュリティインシデントの動向
【変化】攻撃者のサイバー攻撃スピードへの追従
 情報共有と自動化=多層防御としての(情報活用+対策)


事前措置:組織にサイバー攻撃が行われる前に、組織が有していない脅威
情報を利用して、サイバー攻撃対策につなげる。
事後措置:組織が有していない脅威情報を利用してサイバー攻撃による影
響有無を特定する。
脅威
情報
攻撃を検知した組織
---------INTELLIGENCE DRIVEN COMMUNITY DEFENSE
https://forums.soltra.com/index.php?/topic/266-soltra-intro-pdf-deck/
Copyright © Hitachi Incident Response Team. 2016
脅威
情報
情報活用で連携している組織
7
1.
セキュリティインシデントの動向
【変化】攻撃者のサイバー攻撃スピードへの追従
 人手を介した連携(human readable型)
高度な情報分析は可能ではあるが、情報を持っていても、即時的な対処につな
げられない。
Cyber Threat Information
Cyber Threat Information
Sensor
Cyber Threat
Data
分析
Analyzing
Cyber
Threats
Observables
& Context
検知指標作成
Specifying
Indicator Patterns
for Cyber Threats
共有情報選別
Sharing Cyber
Threat
Information
Sharing
Communities
Indicators
脅威への対処管理
Managing Cyber Threat Response Activities
Courses of Action & Context
Operational Cyber Threat Information
Cyber
Threat
Prevention
Cyber
Threat
Detection
---------Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression (STIX™)
http://stixproject.github.io/getting-started/whitepaper/
Copyright © Hitachi Incident Response Team. 2016
Incident
Response
8
1.
セキュリティインシデントの動向
【変化】攻撃者のサイバー攻撃スピードへの追従
 システムを介した連携(machine readable型)
高度な情報分析はできないが、情報があれば、即時的な対処につなげられる。
Sharing Hub
検知指標分析・選別
Indicators
Indicators
検知指標分析・選別
Cyber
Threat
Prevention
Cyber
Threat
Detection
Copyright © Hitachi Incident Response Team. 2016
Indicators
検知指標分析・選別
Cyber
Threat
Prevention
Cyber
Threat
Detection
検知指標分析・選別
Cyber
Threat
Prevention
Cyber
Threat
Detection
9
2.
標的型攻撃
攻撃対象を狙い撃ちした高度な潜伏型攻撃
 APT(Advanced Persistent Threat)

特定組織を対象とし(標的型)、
組織内ネットワークを活動基点とした(潜伏型)侵害活動

【初出】オンライン誌Bloomberg Businessweek (2008年4月)
An Evolving Crisis - BYZANTINE FOOTHOLD
2007. A new form of attack, using sophisticated technology, deluges
outfits from the State Dept. to Boeing. Military cyber security specialists
find the "resources of a nation-state behind it" and call the type of attack
an "advanced persistent threat." ・・・
2006年頃から始まった米国政府や米国軍事関連企業を標的とした攻撃
Copyright © Hitachi Incident Response Team. 2016
10
2.
標的型攻撃
攻撃活動のモデル化:簡易モデル
 特定組織を対象とし(標的型)、
組織内ネットワークを活動基点とした(潜伏型)侵害活動
A
P
T
Step1(侵入):ソーシャルエンジニアリングを用いた攻撃
 標的型メール
 悪意あるWebサイトへの誘導
 USB経由
Step2(潜伏):潜伏中は外部との通信環境を維持
 攻撃指令管理ホストとの接続
 新たな機能や自身の更新のためファイルダウンロード
Step3(窃取や妨害):最終目標(脅威)に合わせて変更
 ソフトウエア構成管理システムへの攻撃
 機密情報の窃取
 制御システムの動作妨害
Copyright © Hitachi Incident Response Team. 2016
11
2.
標的型攻撃
攻撃活動のモデル化:簡易モデル
 情報窃取の攻撃シナリオ
Step1:侵入活動・・・①
ウイルス添付メールに
よるパソコンへの感染
Step2:潜伏活動・・・②③
システム情報収集や
アクセス権限昇格
Step3:窃取活動・・・④⑤
機密情報の窃取
⑤情報窃取
①標的型メール
②潜伏活動用
ウイルス
ダウンロード
④窃取活動用
ウイルス
ダウンロード
③システム情報収集や
アクセス権限昇格
Copyright © Hitachi Incident Response Team. 2016
12
2.
標的型攻撃
攻撃活動のモデル化:Cyber Kill Chain
 Kill Chain(F2T2EA)
米国空軍の軍事コンセプトで、発見(Find)⇒ 固定(Fix)⇒ 照準(Targeting) ⇒ 追
跡(Track)⇒ 交戦(Engage または Employ)⇒ 査定(Access)の6段階からなるサイ
クル
 Cyber Kill Chain=Kill Chainのコンセプトをサイバーに応用
①
②
③
④
⑤
⑥
⑦
Reconnaissance(偵察)
Weaponization(武器化)
Delivery(配送)
Exploitation(攻撃)
Installation(インストール)
Command and Control(C2)(遠隔制御)
Actions on Objectives (実行)
---------Lockheed Martin: Intelligence-Driven Computer Network Defense Informed
by Analysis of Adversary Campaigns and Intrusion Kill Chains (ICIW2011) レポート(2011年3月)
Copyright © Hitachi Incident Response Team. 2016
13
2.
標的型攻撃
攻撃活動のモデル化:Cyber Kill Chain
 連鎖型の標的型攻撃シナリオ
【事例】 2011年3月中旬、米EMC社のセキュリティ部門RSAの情報システムか
ら二要素認証製品であるRSA SecurIDに関する情報の一部が盗まれた(①~
③)。2011年5月中旬、米ロッキード・マーティン社に対して、3月に米EMC社か
ら盗まれたRSA SecurID関連情報を悪用した不正アクセスが発生した(④)。
①ウイルスメール
④不正アクセス
送付
②遠隔ツール
インストール
③RSA SecurID情報
窃取
侵害活動の成果が
次の標的型攻撃に
利用される
米ロッキード・マーティン社
米EMC社
Copyright © Hitachi Incident Response Team. 2016
14
3.
シーサート(CSIRT)活動
Computer Security Incident Response/Readiness Teamの略
 コンピュータセキュリティにかかるインシデントに対処するための組
織の総称(機能)
 インシデント関連情報、脆弱性情報、攻撃予兆情報を収集、分
析し、対応方針や手順の策定などの活動
⇒ CSIRTに規格はなく、各組織の実態に即したCSIRTを実装
⇒ 1つとして同じCSIRTは存在しない
シーサートの目的、立場(組織内での位置付け)、活動範囲、法的規制などの違
いからそれぞれ各チームがそれぞれの組織において独自の活動している。
コンピュータセキュリティインシデント対応能力を組織化すること
注:Cyber Security Incident Readiness Teamと呼ぶ場合もある。
Copyright © Hitachi Incident Response Team. 2016
15
3.
シーサート(CSIRT)活動
---------What's CSIRT?
http://www.nca.gr.jp/imgs/CSIRT.pdf
Copyright © Hitachi Incident Response Team. 2016
16
3.
シーサート(CSIRT)活動
一般的に認識されているシーサートの役割
レディネス:事前対処
攻撃予告Xの
情報公開
攻撃予告Xによる
侵害活動が
発生した場合
攻撃予告Xによる
侵害活動の発生
脆弱性対策期間
公開された脆弱性Yを 脆弱性Yの
発見
悪用した侵害活動が
発生した場合
脆弱性Yの
情報公開
(再発)防止策の
検討と展開
Copyright © Hitachi Incident Response Team. 2016
侵害活動の沈静化
インシデント対応期間
脆弱性Yを悪用した
侵害活動の発生
脆弱性対策期間
~シーサートの役割~
レスポンス:事後対処
被害の未然防止
脆弱性や攻撃予告に
関する情報の収集
分析と早期検知
侵害活動の沈静化
インシデント対応期間
発生
被害の極小化
適材適所への迅速な
情報伝達と技術支援
17
3.
シーサート(CSIRT)活動
コンピュータセキュリティインシデント対応能力の組織化
 インシデントレスポンス(事後対処)などの実践的な活動経験を
元に、インシデントレディネス(事前対処)を進めること


経験があるからこそ、「問題解決」に向けての想像力も働く。
経験ができないならば、他のインシデントレスポンス(事後対処)の
疑似体験を通して、 「問題解決」に向けての想像力を養う。
経験
~シーサートの役割~
(再発)防止策の
検討と展開
Copyright © Hitachi Incident Response Team. 2016
被害の未然防止
脆弱性や攻撃予告に
関する情報の収集
分析と早期検知
被害の極小化
適材適所への迅速な
情報伝達と技術支援
18
3.
シーサート(CSIRT)活動
コンピュータセキュリティインシデント対応能力の組織化
年代
特徴
被害の模式図
2000年
~2001年
均一的かつ広範囲に渡る単発被害
Webサイトのページ書き換え
2000年
~2005年
均一的かつ広範囲に渡る連鎖型被害
ウイルス添付型メールの流布
ネットワーク型ワームの流布
2005年~
類似した局所的な被害
SQLインジェクションによるWebサイト侵害
Winny、Shareによる情報流出
フィッシング、スパイウェア、ボットなど
すべてが異なる局所的な被害
標的型攻撃
攻撃組織基盤化
2006年~
2009年~
攻撃組織間連携
Copyright © Hitachi Incident Response Team. 2016
異なる組織のシーサート同士が
つながり、手段を共有する
ことで問題解決を図る
異なる組織のシーサート同士が
つながり、侵害活動を鳥瞰する
ことで問題解決を図る
19
4.
日立グループのシーサート活動:モデル化
シーサート活動体制のモデル化
 脆弱性対策とインシデント対応活動を支える4つのIRT
(2001年)
日立製品の脆弱性対策
顧客システムのセキュリティ確保
製品ベンダIRT
SIベンダIRT
社外SI・サービス
提供部署
製品開発部署
日立グループ
グループIRT組織間の
連携・調整
HIRTセンタ
HIRT(Hitachi Incident Response Team)
情報セキュリティ早期警戒
パートナーシップ
Copyright © Hitachi Incident Response Team. 2016
社内インフラのセキュリティ確保
社内ユーザIRT
社内インフラ
管理部署
グループ外コミュニティとの
グローバルネットワークの構築
日本シーサート協議会
FIRST等の
社外シーサートコミュニティ
20
4.
日立グループのシーサート活動:実装
シーサート活動体制モデルの実装の歩み
 設立1998年4月

日立としてのIRT(Incident Response Team)体制を整備するための
プロジェクトとして活動を開始
 第1ステップ:社内ユーザIRTの立上げ (1998年~2002年)

日立版IRTを試行するために、日立グループに横断的なバーチャルチームを
編成し、メーリングリストをベースに活動を開始。メンバ構成は主に社内
セキュリティ有識者及び社内インフラ提供部門を中心に編成
 第2ステップ:製品ベンダIRTの立上げ (2002年~)

製品開発部門を中心に、社内セキュリティ有識者、社内インフラ提供部門、
製品開発部門、品質保証部門等と共に、日立版IRTとしての本格活動に向け、関
連事業所との体制整備を開始
 第3ステップ:SIベンダIRTの立上げ (2004年~)

SI/サービス提供部門と共にSIベンダIRTの立上げを開始。さらに、インター
ネットコミュニティとの連携による迅速な脆弱性対策ならびにインシデント対応の実現
に向け、HIRTの対外窓口ならびに社内の各IRTとの調整業務を担う
HIRT/CC(HIRT/Coordination Center=HIRTセンタ)の整備を開始
Copyright © Hitachi Incident Response Team. 2016
21
4.
日立グループのシーサート活動:実装
シーサート活動のための協力関係
システム&サービスビジネス
本社
制度面を牽引
IT統括本部
ITイノベーション本部
情報管理委員会
セキュリティ技術分科会
連携
制度面と技術面の
相互連携
HIRTセンタ
技術面を牽引
日立のIRT窓口
品質保証本部
品質保証本部
施策展開
全社各ビジネスユニット・グループ会社
IRT統括
(組織間の技術相互連携)
社外 IRT コミュニティ
-IRTコミュニティー(FIRST.org、NCA.gr.jp(日))
-IRT機関(CERT/CC、CERT-UK、JPCERT/CCなど)
-政府機関(内閣官房、経産省、総務省、警察庁)
-ISP/セキュリティベンダ
(NTT、IIJ、ラック、トレンドマイクロ)他
Copyright © Hitachi Incident Response Team. 2016
SIベンダIRT
技術面の連携
・脆弱性対策支援
・インシデント対応支援
・情報提供
・相談、協力
事業部・グループ会社IRT
事業部・グループ会社IRT
実行責任者
実行責任者
脆弱性関連情報
脆弱性関連情報
ハンドリング責任者
ハンドリング責任者
IRT連絡窓口担当者
IRT連絡窓口担当者
社内ユーザIRT
製品ベンダIRT
事業部・グループ会社IRT
事業部・グループ会社IRT
実行責任者
実行責任者
脆弱性関連情報
脆弱性関連情報
ハンドリング責任者
ハンドリング責任者
IRT連絡窓口担当者
IRT連絡窓口担当者
事業部・グループ会社IRT
事業部・グループ会社IRT
実行責任者
実行責任者
脆弱性関連情報
脆弱性関連情報
ハンドリング責任者
ハンドリング責任者
IRT連絡窓口担当者
IRT連絡窓口担当者
22
4.
日立グループのシーサート活動:コンセプト
HIRT vs HIRTセンタ
 HIRT(Hitachi Incident Response Team)
=広義のHIRT
=HIRTセンタ+製品ベンダIRT+SIベンダIRT+社内ユーザIRT
=日立グループ全体で推進するIRT活動
 HIRTセンタ
=狭義のHIRT
=日立グループにおけるIRTの実行的な組織
Copyright © Hitachi Incident Response Team. 2016
23
4.
日立グループのシーサート活動:マイルストーン
シーサート活動のマイルストーン
▼HIRTプロジェクト始動
▼HIRTセンタ開設
1998-2003
2004-2009
2010-2015
脆弱性対策・インシデント対応
認知期
黎明期
定着期
均一的かつ広範囲に渡る単発被害
均一的かつ広範囲に渡る連鎖型被害
すべてが異なる局所的な被害
Webサイトのページ書き換え
ウイルス添付型メールの流布
ネットワーク型ワームの流布
標的型攻撃
戦術型攻撃
OSの脆弱性
アプリケーションの脆弱性
ユーザの脆弱性
 脆弱性対策・インシデント対応情
報発信を通したIRT活動モデルの
構築

4つのIRTをコンセプトとした仮想
組織体制の整備による情報セキュ
リティ早期警戒パートナーシップへの
対応
 海外IRT活動(FIRST、WARP)、
国内IRT活動(日本シーサート協
議会)参画を通した連携モデルの
構築
 技術、コンテンツ、管理連携による、
ユーザエリア、製品・サービスエリアの
一体化と脆弱性対策・インシデント
対応に関する問題の低減
 海外ならびに国内IRT連携活動を
通したトラストモデルの構築
Copyright © Hitachi Incident Response Team. 2016
24
4.
日立グループのシーサート活動:マイルストーン
日立グループのシーサート活動の向上 ・・・ 6ヵ年計画
フェーズ3 (2014年~2015年)
バーチャルかつ横断的な対応体制(HIRTセンタ~IRT窓口~IRT連携支援メンバ)の整備
⇒日立グループ全体で推進するインシデントオペレーション活動の定着化
全社各事業部・グループ会社
SIベンダIRT
事業部・グループ会社IRT
事業部・グループ会社IRT
HIRT
センタ
実行責任者
実行責任者
脆弱性関連情報
脆弱性関連情報
ハンドリング責任者
ハンドリング責任者
IRT連絡窓口担当者
IRT連絡窓口担当者
製品ベンダIRT
社内ユーザIRT
フェーズ1 (2010~2011年)
事業部・グループ会社IRT窓口との連携強化
Copyright © Hitachi Incident Response Team. 2016
・脆弱性対策支援
・インシデント対応支援
・セキュリティ情報提供
・教育企画
支援対象部署
IRT連携支援メンバ
フェーズ2 (2012年~2013年)
IRT連携支援メンバとの連携強化
25
4.
日立グループのシーサート活動:マイルストーン
日立グループのシーサート活動の向上 ・・・ 6ヵ年計画
分類
具体的な施策
フェーズ1
事業部/グループ会社IRT窓口との連携強化
(2010年~2011年)  事業部/グループ会社IRTとHIRTセンタ連携による各種支援
活動の推進
 HIRTオープンミーティングを活用した、IRT連携の運営体制、
技術ノウハウの展開体制の整備
 セキュリティレビュー支援などから得られた課題の解決に向けた
対策展開
フェーズ2
IRT連携支援メンバとの連携強化
(2012年~2013年)  IRT連携支援メンバ (事業部・グループ会社) 制度の試行

IRT連携支援メンバを起点としたIRT活動のボトムアップ
フェーズ3
バーチャルかつ横断的な対応体制の整備
(2014年~2015年)  HIRTセンタ~IRT窓口~IRT連携支援メンバによる各種支
援活動の推進
 ユーザ連携モデル (フェーズ1,2) と組織連携モデル (フェーズ
3) 融合による広義のHIRT (バーチャル組織体制) の構築
Copyright © Hitachi Incident Response Team. 2016
26
4.
新たな取り組みに向けて
シーサート活動のマイルストーン
▼HIRTプロジェクト始動 ▼HIRTセンタ開設
2004-2009
1998-2003
2010-2015
2016-2021
脆弱性対策・インシデント対応
認知期
黎明期
定着期
普及期
均一的かつ広範囲に渡る
単発被害
均一的かつ広範囲に渡る
連鎖型被害
すべてが異なる局所的な
被害
物理的な影響を伴う被害
Webサイトのページ書き換え
ウイルス添付型メールの流布
ネットワーク型ワームの流布
標的型攻撃
戦術型攻撃
分野別攻撃
OSの脆弱性
アプリケーションの脆弱性
ユーザの脆弱性
社会システムの脆弱性
 脆弱性対策・インシデント対
応情報発信を通したIRT活
動モデルの構築

4つのIRTをコンセプトとした
仮想組織体制の整備による
情報セキュリティ早期警戒
パートナーシップへの対応
 海外IRT活動(FIRST、
WARP)、国内IRT活動(日
本シーサート協議会)参画を
通した連携モデルの構築
 技術、コンテンツ、管理連携
による、ユーザエリア、製品・
サービスエリアの一体化と脆
弱性対策・インシデント対応
に関する問題の低減
 海外ならびに国内IRT連携
活動を通したトラストモデルの
構築
 分野毎にカスタマイズした
脆弱性対策・インシデント対
応による問題の低減
 分野内ならびに分野間IRT
連携活動を通したトラストモ
デルの構築
Copyright © Hitachi Incident Response Team. 2016
27
END
セキュリティインシデントの動向と
シーサート活動への取り組み
HIRTの役割は、サイバーセキュリティ問題(インシデント)の発生
に際して、それを検知し、関連組織と連絡をとり、被害拡大を
防ぐ(レスポンス:事後対処)と共に、再発を防止するための原
因究明と改善(レディネス:事前対処)を行うことです。
『次の脅威をキャッチアップする過程の中で
早期に対策展開を図る』
Fly UP