避けられないインシデント 切り札としてのエンドポイントセキュリティ

避けられないインシデント
切り札としてのエンドポイントセキュリティ
株式会社ソリトンシステムズ
マーケティング部
エバンジェリスト 荒木粧子
公認情報セキュリティマネージャー(CISM)
Agenda
サイバー攻撃の現状
 サイバー攻撃への対策

 切り札としてのエンドポイントセキュリティ

まとめ
2
犯罪ビジネス(サイバークライム)の台頭
1. サイバー攻撃の現状
3
ハッカーからスパイへ、兵器へ
国家のスパイ活動
サイバー兵器
リ
ス
ク
個人の利益
嫌がらせ
気晴らし
腕試し・実験
~1990年代
犯罪組織による
サイバークライムビジネス
金銭目的
2000年
2005年
2010年
単純な攻撃
高度な攻撃
産業スパイ
(クラッカー)
(ハッカー)
(インサイダー)
2015年
国家による攻撃
サイバークライム
●BrainBoot/Morrisワーム ●Concept Macro Virus ●Anna Kournikova
●SQL Slammer ●MyDoom ●Storm botnet ●Aurora
●WikiLeaks ●SpyEye/Zeus ●Crimeware as a Service
●ポリモルフィックウィルス ●Melissa
●Sircam
●Blaster
●Netsky
●Koobface
●Mariposa ●Anonimous ●Duqu
●Ransomware as a Service
●Michelangelo
●I love you
●Code Red and Nimda ●ISobig
●Sasser
●Conflicker
●Stuxnet ●LutsSec
●Flame
(Locky, Cryptesra, Cerver…)
【参考】
ISACA「Responding to Targeted Cyberattacks」2013年
4
を元に、ソリトンにて追記
攻撃の種類ごとの件数推移
ハッキング(DoS、SQL-I)
マルウェア(ウイルス、RAT等)
ソーシャル(フィッシング等)
誤操作(設定ミス、紛失)
誤用(内部者の権限悪用、違反)
物理(盗難、物理的侵入)
環境(災害、停電、浸水等)
ハッキング、マルウェア、
ソーシャルエンジニアリングの増加
↓
戦場・ビジネス基盤としての成熟
Verizon'€
s 2016 Data Breach Investigations Report
€
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
5
第5の戦場・犯罪ビジネス基盤
• 国家間のサイバー戦争(第5の戦場)
• コストかけずに致命的なダメージを与えることが可能
(重要インフラへの攻撃、機密情報窃取など)
• 物理攻撃 x サイバー攻撃の組み合わせ
•
•
•
•
サイバークライム
匿名性の高い電子取引基盤の整備(Bitcoin等)
ローリスク・ハイリターン
無差別~ターゲット(病院等)
6
Crimeware as a Service(例)

分業制で効率アップ・儲かるビジネスとして成立
犯罪組織等
マネーロンダリ
ングチーム
攻撃代行サービス
(フォーラム)
マルウェア・スパム
配信業者
マーケティング
チーム
オペレーター
チーム
マルウェア添付 フィッシング 改竄された 悪用された
Webサイト Web広告
メール
メール
Exploit Kit
チーム
使い捨てられる出し子
(主婦パート・アルバイト)
ランサムウェア
チーム
BOT端末
暗号鍵のやりとり
支払
7
ランサムウェアにより
人質となったファイル
高度な攻撃・より収益アップを目指す
Exploit Kit
チーム
ランサムウェア
チーム
最新のゼロデイ攻撃
複合化が困難な暗号方式
検知されにくいC2通信
阻止するのが困難な
感染手法
高度化
ランサム
ウェア感染
BOT端末
一石四鳥
(DDoS兵)
認証情報
窃取
情報漏えい
8
参考:攻撃表層の拡大(例)
攻撃者
Attack Surface
関連企業
取引先
事業拡大による
システム追加
DMZ
Internet
接続環境
内部
クラウド
サービス
従業員の
SNSなど
開発環境
モバイルワーク
テレワーク
Lateral Movement(攻撃の横展開)によりCritical Assetsが狙われる
9
参考:ビジネスに即したリスク特定
昨今の攻撃シナリオを理解する
 自組織に当てはめてシミュレーションしてみる

 重要資産(Critical
Assets)は何か?
 どのように検知・把握するか?
 どこまで縮退できるか?
関連企業
取引先
事業拡大による
システム追加
DMZ
Internet
接続環境
内部
10
クラウド
サービス
従業員の
SNSなど
開発環境
モバイルワーク
テレワーク
切り札としてのエンドポイントセキュリティ
2.
サイバー攻撃への対策
11
サイバー攻撃の流れ(Cyber Kill Chain)
企業・組織の
ホームページ
ソーシャル
エンジニアリング
での標的型メール
調査・攻撃準備
CKC:Reconnaissance
ファイル投下
Weaponization
脆弱性攻撃、
スクリプト、
実行ファイル等で侵入
環境整備
侵入(感染)
Delivery
C&Cから
RATドロップ
Exploitation
12
Installation
サーバーを攻略し機密情報を搾取する
アカウント情報を窃盗し
長期にわたり諜報活動などを行う
内部活動
目的達成(情報持出等)
Command & Control
Actions on Objectives
サイバー攻撃対策
Sandbox
防御してほしい
対応能力高めたい
企業・組織の
ホームページ
証拠能力が欲しい
ソーシャル
パターンファイル
エンジニアリング
での標的型メール
検知能力高めたい
調査・攻撃準備
CKC:Reconnaissance
ファイル投下
Weaponization
脆弱性攻撃、
スクリプト、
実行ファイル等で侵入
環境整備
侵入(感染)
Delivery
C&Cから
RATドロップ
Exploitation
13
Installation
サーバーを攻略し機密情報を搾取する
アカウント情報を窃盗し
長期にわたり諜報活動などを行う
内部活動
目的達成(情報持出等)
Command & Control
Actions on Objectives
エンドポイントでの検知・対応
検知
・Sandbox製品等での境界防衛は、未知の攻撃を検知するが
防御はエンドポイントで実施しないと間に合わない
・従来型エンドポイント製品では未知の脅威に対抗できない
対応
・Sandbox製品等での境界防衛で、脅威検知した後は、
エンドポイントでの対応が必須
・大規模・多拠点にわたる環境では対応が困難
記録分析
・ステークホルダーへの説明責任の必要性増加
・フォレンジック困難な環境の増加( SSD、仮想環境など)
に伴う、フォレンジックを見据えた環境整備が急務
エンドポイントでの脅威検知・インシデント対応をするツール
EDR(Endpoint Detection and Response)
14
サイバー攻撃対策
EDR(Endpoint Detection and Reponse)
企業・組織の
ホームページ
①検知
②対応
③記録分析
15
①検知

事後:感染を前提
 IOC(Indicator



of Compromise)
ファイルハッシュ、レジストリ、プロセス、Mutex、C2等
感染状況の把握
事前:出来るだけ事前対処
 IOA(Indicator

of Attack)
侵害されているかもしれない挙動を検知
※IOAの構成要素として、TTP(Tactics, Techniques and Procedures)と表現されることもある
16
①検知の手法
タイムラグは?
収集したログから
管理サーバーやクラウドで
分析して検知
どのようにIOC/IOAを受信するのか?
False Positive(過検知)対策は?
IOCを受信して検知
あらかじめ実装された
エンジンで検知 ※
IOAを受信して検知
※NGAV(Next Generation AntiVirus)ではこの設計思想の製品が多い。
NGAV機能を持つ製品がEDRに入るかどうかは、その他の対応・記録機能の有無による。
17
②対応

端末隔離(通信制御)
 管理用通信のみ残してブロック
 ユーザー側にはメッセージ

プロセスやアプリの禁止・終了
 稼働しているプロセスは終了、
未稼働であれば実行禁止

どこまで自動化するか?
18
③記録分析

想定される状況
 ステークホルダーへの説明責任を果たす



外部から指摘を受けた場合こちらが多い
既に業務停止・制限してしまっている状況
内部不正の対応もこちらに近いが、より長期間の通常オペ
レーションのログ解析も必要となる場合もある
 リアルタイムのインシデント調査に活用

業務継続が優先される場合、証拠保全を諦めざるをえない
ケースもある
19
③記録の種類と取扱い
どれぐらい保存可能か?
オンプレミス・クラウドの
どのタイプを選択するか?
(センシティブな情報を含む
ログが含まれる可能性あり)
誰が分析するのか?
ダンプファイルの保存先・送付は?
PCへの影響・負荷は?
メモリ・ディスク・
パケット等の各種ダンプ
PCセキュリティログ
(ユーザーレベル、カーネルレベル)
※上記では表現できていませんが、サイバー攻撃対策だけではなく、内部不正にも対応する製品では、より継続的・
長期のPCセキュリティログ取得・分析に重点を置き、オンプレミス構成となる傾向にあります。内部不正も視野に入
れて対策を検討する際には、この点の考慮も必要です。
20
③記録 - 証拠保全

証拠保全

事故や不正行為、犯罪といったインシデントに関わる
デジタル機器に残されたデータの中から、電磁的証拠と
なり得るものを、確実に、そのまま(As-is)で、
収集(Collection)・取得(Acquisition)し、
保全(Preservation)しておくこと
フォレンジックでは、原則、
コピーである保全データを調査する
直接調査しない
ディスク、メモリ状態などを
完全にコピー(署名付き)
※訴訟に利用する証拠保全は、専門家に依頼なさることをお勧めします
21
様々なEDR
内容
検知
対応
記録分析
感染を前提とした事後対策
初期EDR
予防重視タイプ
○
○
出来る限りの事前対策
○
端末隔離
○
○
プロセス・アプリ制御
○
○
全容解明
○
リアルタイムの調査
○
※上記はあくまで典型例であり、特定の製品を示しているものではありません。
22
考慮すべきポイントは?
3. まとめ
23
EDRで実現できるようになること
検知
感染を前提に、端末を特定
Sandboxをすり抜ける未知脅威を検知
対応
感染端末の隔離
マルウェアの起動禁止・ブロック
記録分析
ステークホルダーへの説明
リアルタイムなインシデント調査
しかし、100%検知は無い。過検知(False Positive)もある。
どのような運用が発生するのかを踏まえておくべき
24
事前・事後の対応の違い
企業・組織の
ホームページ
調査・攻撃準備
CKC:Reconnaissance
攻撃前
ファイル投下
Weaponization
環境整備
侵入(感染)
Delivery
Exploitation
Installation
内部活動
目的達成(情報持出等)
Command & Control
Actions on Objectives
侵入前
侵入後
過検知対応
インシデント対応
(False Positive)
25
EDR選択時に考慮すべきこと
内容
検知
対応
記録分析
検知時の
対応
感染を前提とした事後対策
予防重視タイプ
○
○
出来る限りの事前対策
○
端末隔離
○
○
プロセス・アプリ制御
○
○
全容解明
○
リアルタイムの調査
検知イベントの正誤を判断す
る情報
上記を支援するサービス
インシデント調査
次の一手
初期EDR
(専門家によるフォレンジック)
eDiscovery
○
?
?
?
?
?
?
?
?
※上記はあくまで典型例であり、特定の製品を示しているものではありません。
26
まとめ

サイバー攻撃の現状
 犯罪組織が背景のケースが増加
 インシデントを避けられない時代となった

サイバー攻撃対策
 エンドポイントセキュリティ対策(EDR)で
これまでの課題を解決する機能は提供可能
 運用面、EDRで何を実現するのか?が鍵となる
27
参考:ソリトンシステムズのご提案
for Cyber
内容
検知
検知
対応
記録分析
運用支援サービス
ヘルプデスク
記録分析
脅威判定支援
フォレンジック関連サービス
インシデント調査
検知時の対応
eDiscovery
トレーニング
製品関連
対応
次の一手
フォレンジック
28
Mark II
感染を前提とした事後対策
○
出来る限りの事前対策
○
端末隔離
○
プロセス・アプリ制御
○
全容解明
○
リアルタイムの調査
○
検知イベントの正誤を判断す
る情報
○
上記を支援するサービス
○
インシデント調査(専門家に
よるフォレンジック)
○
eDiscovery
○
参考:フォレンジック事業の強化
電子証拠開示
保守サービス
法律事務所・法務・知財部
デジタル鑑識
運用サービス
法執行機関・警察・検察・海保
サイバーセキュリティ
ITセキュリティ
製品開発
官庁・大企業
調査サービス
(旧Ji2)
フォレンジック関連トレーニング
教育サービス
【グローバル専門職の技術者集団】
(旧Ji2)
不正検査
鑑識/調査
分析/解析
フォレンジック現場の知見を製品開発に生かす
セキュリティ
フォレンジック専門企業であるJi2を
システム監査
2014年6月に子会社化、
2016年10月に吸収合併し、事業強化
 サイバー攻撃のインシデント調査から
内部不正事案のeDiscoveryまで、サービス・トレーニング提供

29
株式会社ソリトンシステムズ
http://www.soliton.co.jp/
〒160-0022 東京都新宿区新宿2-4-3 TEL 03-5360-3811 [email protected]
大阪営業所06-6821-6777 福岡営業所092-263-0400 名古屋営業所052-217-9091
東北営業所022-716-0766 札幌営業所011-242-6111
※本資料に記載の商品・サービス名は、各社の商標または登録商標です。
30