セキュリティインシデント対応#1

セキュリティインシデントへの対応について、
いつも自分が気を付けているフレームワークをお話いたします。

インシデントレスポンスの流れについて

インシデントが発生する原因としては、
・古いソフトウェアを使い続ける
・脆弱性をほったらかしにしておく
・従業員の教育不足
などなどあります。

セキュリティインシデント発生時には、
基本的には以下のアプローチを意識しています。

話が長くなるので、「準備」「識別」についてお話いたします。

1. 準備

まずありきたりですが、社内のセキュリティポリシーがどうなっているのか？、知る必要があります。もし、セキュリティインシデントに対しての対応手順があれば、それを使います。
（不審なメールを開いてしまった、PCなど端末を紛失してしまった、際に誰々に連絡しましょう、インターネットへの接続を切断しましょうなど。）

そして次に技術面へ目を移していきます。
どんなログが取れていて、どれぐらいの期間のログが保存されているのかを予め確認しております。IR（インシデントレスポンス）チームと会話を行い、必要なログが取れているかどうか確認し、ギャップを埋めることも大事です。

もし余力があれば、DR計画（災害復旧計画）も策定するのも大事です。
Ex. ルートキット根絶をするためにはシステムの再構築をする。そのためには日ごろからバックアップを取っておきましょう。など。

2. 識別

インシデントを発見するための情報を意識しましょう。
・NW機器（FWログ、IPS/IDSなどの脅威ログ）
・ホストログ（システムログ、アプリケーションログ）
・従業員からの報告
・脅威情報（OSINT）
・第三者からの通知

往々にして誤検知/過検知の場合が多いので、
本当にインシデントなのか確認しましょう。
インシデントの確認において私が初めにすることは、
アプリケーションログの確認です。
以下のように、どんなイベントが発生したのか確認します。

次に、スコーピング（被害範囲の特定）を実施します。
例えば、FWの内側まで侵入してそうな場合は、
攻撃は横展開してそうだなということを予想し、情報を整理します。
そして、被害対象のNWに属する端末に対して、IOCスキャンを実施します。
（IOCスキャンはEDR製品の多くに搭載されています。）

参考：Velociraptor

IR（インシデントレスポンス）チームでインシデント調査する際のツールもご紹介します。
私の会社では、Velociraptorのエージェントを端末に配布しインシデントを解析しています。Velociraptorとは、端末データの収集とそのデータの解析のためのソフトです。こちらを使うことで端末の可視性を高めるのはもちろんのこと、ログ解析もできるため、インシデント対応ツールとして使用しています。

（参考）
ようこそ :: ヴェロキラプトル - より深く掘り下げる! (velociraptor.app)

インシデント対応の続きはまた次回お話しします！