2018-09-13 Security Online Day 2018
最近、ゼロトラストネットワークからのつながりで Security Online Day 2018 で伺った話につながることが多いので、過去のメモを公開してみました。
●イベント概要
本年度の年次カンファレンス『Security Online Day 2018』では、「企業・組織のサイバーセキュリティ戦略~次なるセキュリティ対策 人・組織、運用、技術の最適解~」と題して、アナリストや法曹界、専門家、先進ユーザー企業などを講師にお迎えし、来場者の皆さまに最新のセキュリティ対策に関する情報とアドバイスをご提供していきます。
■サイバー空間の“実際の脅威”と自らの対処能力を直視することで得られる“適切な”サイバーセキュリティ対策
名和 利男さん [サイバーディフェンス研究所]
●机上演習(Table Top Exercise:TTX)
・現場プレイヤー、CSIRT のロール
・亜種 なら 原種 があるはず
過去の情報と、持っているログから調査しよう
・キーロガーならパスワード変更 とか、対応をマッピングしておこう
・「全員のPCパスワード変更」って意外と発想できないことがある
・ログ解析
ローテートされた分: 数時間以内
アーカイブされたもの: 期間を区切って、それぞれに期限を儲けていく
・危機管理の基本
安全な場所を確保する
影響を見定める
・初動対処のポリシー/プロシージャで 戦略を決定or選択 するプロセスが必要
●CSIRT(シーサート)
・Gh0st RAT(ゴーストラット)
画面がリアルタイムで盗聴されていた
-> 探すのは単位時間内で最もセッションを張っていた相手
port 53 にコールバック NGの場合は gmail にハードコーディングした情報でアクセスしていた
-> まずは隔離
・サイバーキルチェーン を考える
偵察 -> 感染させた -> 水平展開 どこのプロセスなのか、を判断
●狙われるのは、従業員のスマホ
入って監視だけしていれば、誰にどんな攻撃をすれば良いか細く見えてくる
・Fast Forensics
侵入経路などの把握のために、最低限のデータをコピーして解析
・EDR(Endpoint Detection and Response)
エンドポイントでの検出と対応
●OSINT(Open Source INTelligence/オシント)ツール
調べてみよう
■NISTも重視するファームウェア攻撃からの復旧と最新ハードウェアセキュリティ
阿部 敬則さん [日本ヒューレット・パッカード]
●狙うなら、対策されていない、攻撃コストが少ない、見つかりにくい場所
・ファームウェアレベルの驚異が急増している
・OSやアンチウイルスソフトでは検出できない
●PDoS (Permanent Denial of Service)
・サーバの文鎮化
OSを起動できなくなる > ハードの入れ替えしかない
●NIST 800-193
・ファームウェアの保護、検知、復旧が必要
・サイバーセキュリティ経営ガイドライン にも検知、復旧が組み込まれた
●iLO 5
・内部で正しいファームウェアを保存して、オンデマンドで比較を実行
・取ってあるから戻せる、そこから最新版へのverupもできる
・改ざんの検出には、正解が必要
●事業継続 には、サプライチェーンを含めた「保護 > 検知 > 復旧」の仕組みが必要
・ビジネスを止めないためには、改ざんがあっても起動できる仕組みが必要
・調査用にファームウェアを隔離してとっておく & ログを残す
・行政 + 行政に関わる民間企業 が狙われる可能性が高い
■脆弱性管理 成功への道 ~構成管理の最適解~
曽根 禎行さん [ゾーホージャパン]
●目指すべきところ
既知になった脆弱性に短時間で、少ない工数で対処
●現状
・悪用された脆弱性の 99.9% がCVEなどに上がってから1年以上経過しているもの
・Windows以外のOSが 11%
Microsoft以外の脆弱性 88%
攻撃に使用されるOS/AppのMS以外のもの 45%
・WSUS(MSのみ対応してくれる)、資産管理ソフト
・モバイル端末は増え続けている
●課題
・WSUSのみ -> Mac, Linuxの対応が必要
・Javaなどを使ってシステムを使っている -> Appの対策が必要
・資産管理ソフトで配布している -> 自動化で短時間で対応が必要
セキュリティリスクの構成要素
脅威 x 脆弱性 x 資産
・重要サーバにパッチ自動配布のagentインストールできる?
-> 手動で構成管理も必要
NIST SP 800-40: 11のプロセス
まずはシステムインベントリを作る
・手動の構成管理情報は最新、一元管理、即時にアクセスできる事が必要
-> プロセス整備が必要
・LANに増加するモバイル端末 -> PCと同様の対策が必要
●対策
・パッチ
PC: agent
モバイル: MDM
・agent配布非対象はプロセスが大切
■中部電力グループが取り組むサイバーセキュリティ~社会インフラ防護のためのセキュリティ施策~
澤井 志彦さん [中部電力] / 永野 憲次郎さん [中電シーティーアイ]
●知ってますか?
・2016年にウクライナで停電させられた
・アメリカで警報システムがハッキングされた
・ぬいぐるみのボイスメッセージをハッキング
子供の声が再現されてしまうことも
●サイバー攻撃の質が変化してきた
・個人的 -> 組織的
・技術力の顕示 -> 金銭目的、主張の顕示
・大きなイベントが対象に
●対策の全体像
・経営層を含めた体制構築
・現状評価
・設備対策
・セキュリティ事故への対応整備
攻撃発生を想定した訓練
●制御系も対応が必要になった
・全ての部門、全ての人が対応が必要
・専門家と会社の代表担当が連携 > 全社展開
●発電〜送電の制御系システムは 24/365 止められない
・リスクアセスメント -> 対策検討
・変電所は無人なことが多い -> 侵入されて操作端末を使われてしまうかも
●サイバーキルチェーン
・偵察 > 武器化 > 配送 > 攻撃 > インストール > 遠隔操作 > 実行
・プロトコルがわからなくても
パケット観測で特徴的なパケットがわかれば攻撃されることも
●サイバー攻撃への対応
・前提
セキュリティ事故は起こる(トップの理解)
極力既存の体制・運用に織り込む
通常の運用の中でSOC/CSIRTが連携できるように盛り込む
・ポイント
IT環境の理解(どこを監視する?)
「異常を検出したらどうするの?」から
「対象」を決めて「監視」する
連絡体制の構築
訓練の実施
サイバー攻撃の訓練で、組織を越えた関係が作れた
セキュリティ観点でもGameDayが必要ですね!
●企業グループ内だけでなく、外部と連携
・行政、業界、海外、地域、最先端の知見
・社会インフラは相互依存 > コミュニティ型BCMが必要
・1社が攻撃を受けることは避けられない
> 情報共有でSecond Targetは防ぐ!
・県警と連携して合同訓練
効果が高いシナリオを考えるところからはじめて、半年くらい準備
県警は横の情報共有が広いから、それを活かしたいね
サイバーセキュリティ対策をしてくれているのは警備総務課の人たち
> 怖くない
ソーシャルエンジニアリングを避けるためにも、警察の顔を知っておく
・大学と共同研究
研究開発に一気にお金をかけるとか無理
大学にノウハウはあるけど、実務を行っている企業と連携したい
実データを提供したりできる!
■安全にモバイルを活用するために - セキュリティ侵害デモとその対策方法
山中 幸代さん[MobileIron] / 奥山 剛央さん[Zimperium]
●攻撃を受けたことありますか?
・20% の企業がモバイルセキュリティ侵害を経験
・48% の企業はモバイルセキュリティ事故があったかどうか分からない
●iOSもAndroidも脆弱性は増え続けている
・深刻度の高い脆弱性が増え続けている
・攻撃する側から見て、モバイル端末が魅力的になってきた
・潜在的な脆弱性が、実際に攻撃されるようになって、顕在化してきた
●DNA(Device/Network/App)攻撃に対する防御が必要
・ネットワーク攻撃
・モバイル設定の改ざん
・サイレントデバイス攻撃
●シチュエーション
・海外旅行やホテルでFreeWifi
LanScan
bettercap
proxyしてやりくりしたら見れてしまう
・会社のアプリとの親和性でアップデートできない
zFearClient.py
様々な操作ができてしまう
スマートフォンの外側から見て、何も挙動はない
侵入からデータの抽出まで数十秒
●これからの対策
・インストールを簡単にする
・まずは可視化
・そこから対応を練る
・モバイル脅威検知はスピードが重要
エッジでスキャン > 検出 > 回復まで完了させなければ
情報が抜き取られるまでに間に合わない
■ネットワークトラフィックへの着眼がセキュリティ施策で重要な理由とは~「検証」「防御」「制御」の三つの視点から考えるネットワークセキュリティ~
小圷 義之さん[キーサイト・テクノロジー]
●ネットワーク環境の変化
・トラフィック量は増加の一途
・2016年からサイバー攻撃の通信が一気に増加
●リスクを軽減するには?
・検証 - 防御 - 制御 サイクル
●検証
・自社組織に合うセキュリティ要件の確認
・定期的なネットワーク評価: 最新の攻撃に備える
・セキュリティリテラシーの向上: 攻撃・侵入シナリオを理解する演習実施
・セキュリティ検証に必要な条件
正常/不正を混ぜた通信
実アプリと完全一致するプロトコル
大量のトラフィック
●防御
・アメリカで大手企業向けに調査
平均アラート数: 17,000/週
その中で調査された割合: 30%
セキュリティ侵害を検出する平均日数: 170日
・多すぎるので、IPフィルタリングで母数を削る
・wan -> FW / IPS <- クライアント
●制御
・トラフィックの取得漏れをなくす
・セキュリティ装置の負担をへらす
・上下1Gずつ流れているなら
1Gのポートで監視装置に流しても漏れることがある
・上り、下り両方共1Gポートで繋がないとね
・クラウド上でも経路をブローカーを用意すれば制御できる
■惑わされない本当のセキュリティ人材育成をやってみよう
猪俣 敦夫さん[東京電機大学]
●セキュリティの最適解は0円なはず
●プロとしては
・有事が欲しくなってくる
・いざ起きてみると家に帰れない
・疲弊
・人材を増やして
・ループ
●情報のTTL(Time To Live)
・いつまでかかる?
・いつやるの?
・どのくらい?
●人材育成は投資?
・事件が起きてから対応では、ブランディングに傷がつく
●mod
・アナログ時計のようなイメージ
27時 = 3時
-> ということは、X進数を作る考え方
・この単純な発見が暗号化の世界を大きく変えた
●RSA
・鍵長を伸ばすだけで、3,40年持つ
2017年 SHA-1が衝突した
-> 20年以上古いものをそのまま使っていることが脅威
●守るべきところを決めて、投資しよう
・その価値を上位の人に口うるさく伝えられる人が大切
●まとめ
・情報セキュリティは、少し学べばすぐできる
・みんなで情報共有しよう
・対面は楽しい、コミュニケーションが大切
・活躍する人たちを捕まえて話そう
・セキュリティ人材を評価できる土壌をつくろう
■高度化するサイバー攻撃への備え ~防御型対策から侵入を前提とした対策へのシフト~
増田 幸美さん[サイバーリーズン・ジャパン] / 有田 昇さん [SCSK]
●NSA、CIAのハッキングツールがGitHub公開されてしまった
・network上にある
・実行の仕掛けができている
-> in memoryで動かせてしまう
-> ファイルレスマルウェア: シャットダウンで証拠が消えてしまう
●標的型でSSLを使うから、多層防御が一気に破られてしまう
・脅威の侵入・感染は避けられない。。。
●Cybereasonでエンドポイント対策(EDR)
・端末にセンサーを入れて、感染後の攻撃の進行具合を可視化
・ネットワーク隔離、ファイルの隔離、ネットワーク隔離の解除も
管理コンソールで!
●デモで登場したコマンド
・empire
・shell arp -a
・shell systeminfo
・bypassuac
・psinject http {PID}
■感想
机上演習(TTX)、OSINTツール、サイバーキルチェーン、サプライチェーン・サイバー・セキュリティ、ハードウェアセキュリティ、パッチ適用が遅れて多くのインシデントが発生している実情、スマートフォンへの侵入・データ抽出までのスピード感、EDR、Fast Forensics、NSA・CIAのハッキングツールが盗まれて公開された、脅威の侵入・感染は避けられない、侵入を前提とした対策
など「はっ」とする事実と「なるほど!」と思える考え方を沢山いただけました。
・システムアーキテクチャの要素全てで対策が必要
・セキュリティ観点のGameDay
・組織を越境して訓練、研究する文化
など「文化」づくりも同時に進めていかなかればなりませんね!
いつも応援していただいている皆さん支えられています。