Comments
Description
Transcript
セキュリティインシデントの動向と シーサート活動への取り組み
Hitachi Incident Response Team 2016.11.21 11:40:02 +09'00' セキュリティインシデントの動向と シーサート活動への取り組み 2016年11月29日 寺田真敏 Hitachi Incident Response Team http://www.hitachi.co.jp/hirt/ Contents 「安全が確認できるまで遮断へ」、「攻撃者のサイバー攻撃ス ピードへの追従」の2つの視点から、サイバーセキュリティの変化を みていきます。また、日立グループでの取り組みと共に、これらの 動きの中から、新たな脅威に対処するためのシーサート活動につ いて考えてみたいと思います。 1. 2. 3. 4. セキュリティインシデントの動向 標的型攻撃 シーサート(CSIRT)活動 日立グループのシーサート活動 1. セキュリティインシデントの動向 被害の見え方 1998-2003 脆弱性対策 インシデント対応認知期 2004-2009 脆弱性対策 インシデント対応黎明期 均一的かつ広範囲に 渡る単発被害 - ウェブサイトのページ 書き換え 均一的かつ広範囲に 渡る連鎖型被害 - ウイルス添付型メール - ネットワーク型ワーム Copyright © Hitachi Incident Response Team. 2016 2010-2015 脆弱性対策 インシデント対応定着期 類似した局所的な被害 - フィッシング - スパイウェア - ボット すべてが異なる 局所的な被害 - 標的型攻撃 3 1. セキュリティインシデントの動向 【変化】「安全が確認できるまで遮断」へ 1990 2000 2010 2020 影響の大きなインシデントが発生すると対策アプローチに大きな変化が見られる。 ▲Winnyによる 情報漏えい(2006) データセントリック型対策 Thinクライアント HDD付クライアント ▲防衛産業企業への 標的型攻撃(2011) 入口対策 出口対策 ▲特殊法人などへの サイバー攻撃他(2015) リスク加算型対策 危険と思うまで使い続ける Copyright © Hitachi Incident Response Team. 2016 リスク減算型対策 安全が確認できるまで止める 4 1. セキュリティインシデントの動向 【変化】「安全が確認できるまで遮断」へ 「安全が確認できるまで止める」という考え方への対処 危険と思うまで使い続ける 安全が確認できるまで止める リスク値 潜在的な 脅威残存期間 (対策準備期間) サービス停止期間 潜在的な脅威残存期間=0 サービス停止期間 ▲暫定対策 ▲根本対策 ▲暫定対策 ▲根本対策 対策開始▲ 対策完了▲ ▲広域な侵害活動発生 ▲限定的な侵害活動発生 ▲深刻な脆弱性発見/侵害活動発生 Copyright © Hitachi Incident Response Team. 2016 ▲対策開始 リスク閾値 ▲対策完了 ▲広域な侵害活動発生 ▲限定的な侵害活動発生 ▲深刻な脆弱性発見/侵害活動発生 時間 5 1. セキュリティインシデントの動向 【変化】攻撃者のサイバー攻撃スピードへの追従 情報共有と自動化 人間系の 情報網 分野:特定 機械処理系を 加味した情報網 STIX + TAXII IPA J-CSIP NPA サイバーインテリジェンス 情報共有ネットワーク 手動 AIS(Automated Indicator Sharing) 自動 (ルーチン ワーク化) US-CERT Alerts DHS Daily Open Source Infrastructure Report ---------STIX(Structured Threat Information eXpression) 脅威情報構造化記述形式 TAXII(Trusted Automated eXchange of Indicator Information) 検知指標情報自動交換手順 AIS(Automated Indicator Sharing) 検知指標情報自動共有 Copyright © Hitachi Incident Response Team. 2016 分野:一般 NIST SCAP(Security Content Automation Protocol) 6 1. セキュリティインシデントの動向 【変化】攻撃者のサイバー攻撃スピードへの追従 情報共有と自動化=多層防御としての(情報活用+対策) 事前措置:組織にサイバー攻撃が行われる前に、組織が有していない脅威 情報を利用して、サイバー攻撃対策につなげる。 事後措置:組織が有していない脅威情報を利用してサイバー攻撃による影 響有無を特定する。 脅威 情報 攻撃を検知した組織 ---------INTELLIGENCE DRIVEN COMMUNITY DEFENSE https://forums.soltra.com/index.php?/topic/266-soltra-intro-pdf-deck/ Copyright © Hitachi Incident Response Team. 2016 脅威 情報 情報活用で連携している組織 7 1. セキュリティインシデントの動向 【変化】攻撃者のサイバー攻撃スピードへの追従 人手を介した連携(human readable型) 高度な情報分析は可能ではあるが、情報を持っていても、即時的な対処につな げられない。 Cyber Threat Information Cyber Threat Information Sensor Cyber Threat Data 分析 Analyzing Cyber Threats Observables & Context 検知指標作成 Specifying Indicator Patterns for Cyber Threats 共有情報選別 Sharing Cyber Threat Information Sharing Communities Indicators 脅威への対処管理 Managing Cyber Threat Response Activities Courses of Action & Context Operational Cyber Threat Information Cyber Threat Prevention Cyber Threat Detection ---------Standardizing Cyber Threat Intelligence Information with the Structured Threat Information eXpression (STIX™) http://stixproject.github.io/getting-started/whitepaper/ Copyright © Hitachi Incident Response Team. 2016 Incident Response 8 1. セキュリティインシデントの動向 【変化】攻撃者のサイバー攻撃スピードへの追従 システムを介した連携(machine readable型) 高度な情報分析はできないが、情報があれば、即時的な対処につなげられる。 Sharing Hub 検知指標分析・選別 Indicators Indicators 検知指標分析・選別 Cyber Threat Prevention Cyber Threat Detection Copyright © Hitachi Incident Response Team. 2016 Indicators 検知指標分析・選別 Cyber Threat Prevention Cyber Threat Detection 検知指標分析・選別 Cyber Threat Prevention Cyber Threat Detection 9 2. 標的型攻撃 攻撃対象を狙い撃ちした高度な潜伏型攻撃 APT(Advanced Persistent Threat) 特定組織を対象とし(標的型)、 組織内ネットワークを活動基点とした(潜伏型)侵害活動 【初出】オンライン誌Bloomberg Businessweek (2008年4月) An Evolving Crisis - BYZANTINE FOOTHOLD 2007. A new form of attack, using sophisticated technology, deluges outfits from the State Dept. to Boeing. Military cyber security specialists find the "resources of a nation-state behind it" and call the type of attack an "advanced persistent threat." ・・・ 2006年頃から始まった米国政府や米国軍事関連企業を標的とした攻撃 Copyright © Hitachi Incident Response Team. 2016 10 2. 標的型攻撃 攻撃活動のモデル化:簡易モデル 特定組織を対象とし(標的型)、 組織内ネットワークを活動基点とした(潜伏型)侵害活動 A P T Step1(侵入):ソーシャルエンジニアリングを用いた攻撃 標的型メール 悪意あるWebサイトへの誘導 USB経由 Step2(潜伏):潜伏中は外部との通信環境を維持 攻撃指令管理ホストとの接続 新たな機能や自身の更新のためファイルダウンロード Step3(窃取や妨害):最終目標(脅威)に合わせて変更 ソフトウエア構成管理システムへの攻撃 機密情報の窃取 制御システムの動作妨害 Copyright © Hitachi Incident Response Team. 2016 11 2. 標的型攻撃 攻撃活動のモデル化:簡易モデル 情報窃取の攻撃シナリオ Step1:侵入活動・・・① ウイルス添付メールに よるパソコンへの感染 Step2:潜伏活動・・・②③ システム情報収集や アクセス権限昇格 Step3:窃取活動・・・④⑤ 機密情報の窃取 ⑤情報窃取 ①標的型メール ②潜伏活動用 ウイルス ダウンロード ④窃取活動用 ウイルス ダウンロード ③システム情報収集や アクセス権限昇格 Copyright © Hitachi Incident Response Team. 2016 12 2. 標的型攻撃 攻撃活動のモデル化:Cyber Kill Chain Kill Chain(F2T2EA) 米国空軍の軍事コンセプトで、発見(Find)⇒ 固定(Fix)⇒ 照準(Targeting) ⇒ 追 跡(Track)⇒ 交戦(Engage または Employ)⇒ 査定(Access)の6段階からなるサイ クル Cyber Kill Chain=Kill Chainのコンセプトをサイバーに応用 ① ② ③ ④ ⑤ ⑥ ⑦ Reconnaissance(偵察) Weaponization(武器化) Delivery(配送) Exploitation(攻撃) Installation(インストール) Command and Control(C2)(遠隔制御) Actions on Objectives (実行) ---------Lockheed Martin: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (ICIW2011) レポート(2011年3月) Copyright © Hitachi Incident Response Team. 2016 13 2. 標的型攻撃 攻撃活動のモデル化:Cyber Kill Chain 連鎖型の標的型攻撃シナリオ 【事例】 2011年3月中旬、米EMC社のセキュリティ部門RSAの情報システムか ら二要素認証製品であるRSA SecurIDに関する情報の一部が盗まれた(①~ ③)。2011年5月中旬、米ロッキード・マーティン社に対して、3月に米EMC社か ら盗まれたRSA SecurID関連情報を悪用した不正アクセスが発生した(④)。 ①ウイルスメール ④不正アクセス 送付 ②遠隔ツール インストール ③RSA SecurID情報 窃取 侵害活動の成果が 次の標的型攻撃に 利用される 米ロッキード・マーティン社 米EMC社 Copyright © Hitachi Incident Response Team. 2016 14 3. シーサート(CSIRT)活動 Computer Security Incident Response/Readiness Teamの略 コンピュータセキュリティにかかるインシデントに対処するための組 織の総称(機能) インシデント関連情報、脆弱性情報、攻撃予兆情報を収集、分 析し、対応方針や手順の策定などの活動 ⇒ CSIRTに規格はなく、各組織の実態に即したCSIRTを実装 ⇒ 1つとして同じCSIRTは存在しない シーサートの目的、立場(組織内での位置付け)、活動範囲、法的規制などの違 いからそれぞれ各チームがそれぞれの組織において独自の活動している。 コンピュータセキュリティインシデント対応能力を組織化すること 注:Cyber Security Incident Readiness Teamと呼ぶ場合もある。 Copyright © Hitachi Incident Response Team. 2016 15 3. シーサート(CSIRT)活動 ---------What's CSIRT? http://www.nca.gr.jp/imgs/CSIRT.pdf Copyright © Hitachi Incident Response Team. 2016 16 3. シーサート(CSIRT)活動 一般的に認識されているシーサートの役割 レディネス:事前対処 攻撃予告Xの 情報公開 攻撃予告Xによる 侵害活動が 発生した場合 攻撃予告Xによる 侵害活動の発生 脆弱性対策期間 公開された脆弱性Yを 脆弱性Yの 発見 悪用した侵害活動が 発生した場合 脆弱性Yの 情報公開 (再発)防止策の 検討と展開 Copyright © Hitachi Incident Response Team. 2016 侵害活動の沈静化 インシデント対応期間 脆弱性Yを悪用した 侵害活動の発生 脆弱性対策期間 ~シーサートの役割~ レスポンス:事後対処 被害の未然防止 脆弱性や攻撃予告に 関する情報の収集 分析と早期検知 侵害活動の沈静化 インシデント対応期間 発生 被害の極小化 適材適所への迅速な 情報伝達と技術支援 17 3. シーサート(CSIRT)活動 コンピュータセキュリティインシデント対応能力の組織化 インシデントレスポンス(事後対処)などの実践的な活動経験を 元に、インシデントレディネス(事前対処)を進めること 経験があるからこそ、「問題解決」に向けての想像力も働く。 経験ができないならば、他のインシデントレスポンス(事後対処)の 疑似体験を通して、 「問題解決」に向けての想像力を養う。 経験 ~シーサートの役割~ (再発)防止策の 検討と展開 Copyright © Hitachi Incident Response Team. 2016 被害の未然防止 脆弱性や攻撃予告に 関する情報の収集 分析と早期検知 被害の極小化 適材適所への迅速な 情報伝達と技術支援 18 3. シーサート(CSIRT)活動 コンピュータセキュリティインシデント対応能力の組織化 年代 特徴 被害の模式図 2000年 ~2001年 均一的かつ広範囲に渡る単発被害 Webサイトのページ書き換え 2000年 ~2005年 均一的かつ広範囲に渡る連鎖型被害 ウイルス添付型メールの流布 ネットワーク型ワームの流布 2005年~ 類似した局所的な被害 SQLインジェクションによるWebサイト侵害 Winny、Shareによる情報流出 フィッシング、スパイウェア、ボットなど すべてが異なる局所的な被害 標的型攻撃 攻撃組織基盤化 2006年~ 2009年~ 攻撃組織間連携 Copyright © Hitachi Incident Response Team. 2016 異なる組織のシーサート同士が つながり、手段を共有する ことで問題解決を図る 異なる組織のシーサート同士が つながり、侵害活動を鳥瞰する ことで問題解決を図る 19 4. 日立グループのシーサート活動:モデル化 シーサート活動体制のモデル化 脆弱性対策とインシデント対応活動を支える4つのIRT (2001年) 日立製品の脆弱性対策 顧客システムのセキュリティ確保 製品ベンダIRT SIベンダIRT 社外SI・サービス 提供部署 製品開発部署 日立グループ グループIRT組織間の 連携・調整 HIRTセンタ HIRT(Hitachi Incident Response Team) 情報セキュリティ早期警戒 パートナーシップ Copyright © Hitachi Incident Response Team. 2016 社内インフラのセキュリティ確保 社内ユーザIRT 社内インフラ 管理部署 グループ外コミュニティとの グローバルネットワークの構築 日本シーサート協議会 FIRST等の 社外シーサートコミュニティ 20 4. 日立グループのシーサート活動:実装 シーサート活動体制モデルの実装の歩み 設立1998年4月 日立としてのIRT(Incident Response Team)体制を整備するための プロジェクトとして活動を開始 第1ステップ:社内ユーザIRTの立上げ (1998年~2002年) 日立版IRTを試行するために、日立グループに横断的なバーチャルチームを 編成し、メーリングリストをベースに活動を開始。メンバ構成は主に社内 セキュリティ有識者及び社内インフラ提供部門を中心に編成 第2ステップ:製品ベンダIRTの立上げ (2002年~) 製品開発部門を中心に、社内セキュリティ有識者、社内インフラ提供部門、 製品開発部門、品質保証部門等と共に、日立版IRTとしての本格活動に向け、関 連事業所との体制整備を開始 第3ステップ:SIベンダIRTの立上げ (2004年~) SI/サービス提供部門と共にSIベンダIRTの立上げを開始。さらに、インター ネットコミュニティとの連携による迅速な脆弱性対策ならびにインシデント対応の実現 に向け、HIRTの対外窓口ならびに社内の各IRTとの調整業務を担う HIRT/CC(HIRT/Coordination Center=HIRTセンタ)の整備を開始 Copyright © Hitachi Incident Response Team. 2016 21 4. 日立グループのシーサート活動:実装 シーサート活動のための協力関係 システム&サービスビジネス 本社 制度面を牽引 IT統括本部 ITイノベーション本部 情報管理委員会 セキュリティ技術分科会 連携 制度面と技術面の 相互連携 HIRTセンタ 技術面を牽引 日立のIRT窓口 品質保証本部 品質保証本部 施策展開 全社各ビジネスユニット・グループ会社 IRT統括 (組織間の技術相互連携) 社外 IRT コミュニティ -IRTコミュニティー(FIRST.org、NCA.gr.jp(日)) -IRT機関(CERT/CC、CERT-UK、JPCERT/CCなど) -政府機関(内閣官房、経産省、総務省、警察庁) -ISP/セキュリティベンダ (NTT、IIJ、ラック、トレンドマイクロ)他 Copyright © Hitachi Incident Response Team. 2016 SIベンダIRT 技術面の連携 ・脆弱性対策支援 ・インシデント対応支援 ・情報提供 ・相談、協力 事業部・グループ会社IRT 事業部・グループ会社IRT 実行責任者 実行責任者 脆弱性関連情報 脆弱性関連情報 ハンドリング責任者 ハンドリング責任者 IRT連絡窓口担当者 IRT連絡窓口担当者 社内ユーザIRT 製品ベンダIRT 事業部・グループ会社IRT 事業部・グループ会社IRT 実行責任者 実行責任者 脆弱性関連情報 脆弱性関連情報 ハンドリング責任者 ハンドリング責任者 IRT連絡窓口担当者 IRT連絡窓口担当者 事業部・グループ会社IRT 事業部・グループ会社IRT 実行責任者 実行責任者 脆弱性関連情報 脆弱性関連情報 ハンドリング責任者 ハンドリング責任者 IRT連絡窓口担当者 IRT連絡窓口担当者 22 4. 日立グループのシーサート活動:コンセプト HIRT vs HIRTセンタ HIRT(Hitachi Incident Response Team) =広義のHIRT =HIRTセンタ+製品ベンダIRT+SIベンダIRT+社内ユーザIRT =日立グループ全体で推進するIRT活動 HIRTセンタ =狭義のHIRT =日立グループにおけるIRTの実行的な組織 Copyright © Hitachi Incident Response Team. 2016 23 4. 日立グループのシーサート活動:マイルストーン シーサート活動のマイルストーン ▼HIRTプロジェクト始動 ▼HIRTセンタ開設 1998-2003 2004-2009 2010-2015 脆弱性対策・インシデント対応 認知期 黎明期 定着期 均一的かつ広範囲に渡る単発被害 均一的かつ広範囲に渡る連鎖型被害 すべてが異なる局所的な被害 Webサイトのページ書き換え ウイルス添付型メールの流布 ネットワーク型ワームの流布 標的型攻撃 戦術型攻撃 OSの脆弱性 アプリケーションの脆弱性 ユーザの脆弱性 脆弱性対策・インシデント対応情 報発信を通したIRT活動モデルの 構築 4つのIRTをコンセプトとした仮想 組織体制の整備による情報セキュ リティ早期警戒パートナーシップへの 対応 海外IRT活動(FIRST、WARP)、 国内IRT活動(日本シーサート協 議会)参画を通した連携モデルの 構築 技術、コンテンツ、管理連携による、 ユーザエリア、製品・サービスエリアの 一体化と脆弱性対策・インシデント 対応に関する問題の低減 海外ならびに国内IRT連携活動を 通したトラストモデルの構築 Copyright © Hitachi Incident Response Team. 2016 24 4. 日立グループのシーサート活動:マイルストーン 日立グループのシーサート活動の向上 ・・・ 6ヵ年計画 フェーズ3 (2014年~2015年) バーチャルかつ横断的な対応体制(HIRTセンタ~IRT窓口~IRT連携支援メンバ)の整備 ⇒日立グループ全体で推進するインシデントオペレーション活動の定着化 全社各事業部・グループ会社 SIベンダIRT 事業部・グループ会社IRT 事業部・グループ会社IRT HIRT センタ 実行責任者 実行責任者 脆弱性関連情報 脆弱性関連情報 ハンドリング責任者 ハンドリング責任者 IRT連絡窓口担当者 IRT連絡窓口担当者 製品ベンダIRT 社内ユーザIRT フェーズ1 (2010~2011年) 事業部・グループ会社IRT窓口との連携強化 Copyright © Hitachi Incident Response Team. 2016 ・脆弱性対策支援 ・インシデント対応支援 ・セキュリティ情報提供 ・教育企画 支援対象部署 IRT連携支援メンバ フェーズ2 (2012年~2013年) IRT連携支援メンバとの連携強化 25 4. 日立グループのシーサート活動:マイルストーン 日立グループのシーサート活動の向上 ・・・ 6ヵ年計画 分類 具体的な施策 フェーズ1 事業部/グループ会社IRT窓口との連携強化 (2010年~2011年) 事業部/グループ会社IRTとHIRTセンタ連携による各種支援 活動の推進 HIRTオープンミーティングを活用した、IRT連携の運営体制、 技術ノウハウの展開体制の整備 セキュリティレビュー支援などから得られた課題の解決に向けた 対策展開 フェーズ2 IRT連携支援メンバとの連携強化 (2012年~2013年) IRT連携支援メンバ (事業部・グループ会社) 制度の試行 IRT連携支援メンバを起点としたIRT活動のボトムアップ フェーズ3 バーチャルかつ横断的な対応体制の整備 (2014年~2015年) HIRTセンタ~IRT窓口~IRT連携支援メンバによる各種支 援活動の推進 ユーザ連携モデル (フェーズ1,2) と組織連携モデル (フェーズ 3) 融合による広義のHIRT (バーチャル組織体制) の構築 Copyright © Hitachi Incident Response Team. 2016 26 4. 新たな取り組みに向けて シーサート活動のマイルストーン ▼HIRTプロジェクト始動 ▼HIRTセンタ開設 2004-2009 1998-2003 2010-2015 2016-2021 脆弱性対策・インシデント対応 認知期 黎明期 定着期 普及期 均一的かつ広範囲に渡る 単発被害 均一的かつ広範囲に渡る 連鎖型被害 すべてが異なる局所的な 被害 物理的な影響を伴う被害 Webサイトのページ書き換え ウイルス添付型メールの流布 ネットワーク型ワームの流布 標的型攻撃 戦術型攻撃 分野別攻撃 OSの脆弱性 アプリケーションの脆弱性 ユーザの脆弱性 社会システムの脆弱性 脆弱性対策・インシデント対 応情報発信を通したIRT活 動モデルの構築 4つのIRTをコンセプトとした 仮想組織体制の整備による 情報セキュリティ早期警戒 パートナーシップへの対応 海外IRT活動(FIRST、 WARP)、国内IRT活動(日 本シーサート協議会)参画を 通した連携モデルの構築 技術、コンテンツ、管理連携 による、ユーザエリア、製品・ サービスエリアの一体化と脆 弱性対策・インシデント対応 に関する問題の低減 海外ならびに国内IRT連携 活動を通したトラストモデルの 構築 分野毎にカスタマイズした 脆弱性対策・インシデント対 応による問題の低減 分野内ならびに分野間IRT 連携活動を通したトラストモ デルの構築 Copyright © Hitachi Incident Response Team. 2016 27 END セキュリティインシデントの動向と シーサート活動への取り組み HIRTの役割は、サイバーセキュリティ問題(インシデント)の発生 に際して、それを検知し、関連組織と連絡をとり、被害拡大を 防ぐ(レスポンス:事後対処)と共に、再発を防止するための原 因究明と改善(レディネス:事前対処)を行うことです。 『次の脅威をキャッチアップする過程の中で 早期に対策展開を図る』