第一回 名古屋情報セキュリティ勉強会

7/30名古屋で開催されました。
#nagoyasecのtogetter −> http://togetter.com/li/168347
まとめるのが面倒なのでメモをそのまま貼っ付けてみる。
一応簡単にまとめておくと

  • 某グループ企業向け提案書から考えるありがちな提案とウソ
よくあるセキュリティの提案では守ることばかりだがそれでは不十分。
侵入される前提でリスクを回避する設計をしておかないといけない。
  • APT(Advanced Presistent Thread)攻撃っておいしいの?
ネットワークから隔離されていてもUSBメモリやデジカメなどメモリをもった製品と接続する機会があるイントラには危険がある。
また、既存のAV対策はされていることが多い。
よって侵入される可能性は十分にあることを認識した上で最悪の結果にならないよう設計レベルでリスク管理しないといけない。

具体的な内容を除いてピックアップしたら結局同じような内容に。
まぁ守りきるセキュリティなんてのは無理だから入られてもリスクが最小限になるよう、設計の段階から考えないといけないってことなんですね。
言葉にすると当たり前なよう出来てないし難しいことかと。
当日とったメモを張り付けました。

某グループ企業向け提案書から考えるありがちな提案とウソ

当日の講演以降ならOKみたいなんですがメモをそのままはりつけるとすごい量になりそうだしどうしよう・・・

外部からの主要な攻撃?
 外からハッカーがサーバを狙ってサーバからイントラを狙う
  サーバアプリ、ソフトの脆弱性
  DDos
 標的型メール等直接的なmの
  ー> 全部危ないと言われても対応できない

最近あったDDos
 ホワイトハウスは40GBps
 twitterへの攻撃はDataCenterが落ちた

DDos対策
 ネットワークの元(ドカン)で調べないと分からない
 IPアドレス分布は重要
  ー> 中国の記念日とかなら中国止めればいい
  anonymousみたいな一様分布のほうがつらい
 対策機器とか効果ないよね ー> 昔のDos時代のもの
 脆弱性をついてる場合は量飲みの問題じゃない
  IPSが効果的?? 通信の途中に入ってくる時点で全体が遅くなるのでIPSが原因で落ちることも考えられる
  IDSの方が有効?
 IPS業者等の対策サービスはそれなりのものだけどanonymous規模になるとやっぱり対策できない
 相応のコスト(かなり高い)がかかる
 なまじ対策だとやってもやらなくても同じ
 専門業者最強(DDOS対策専門?)
  世界中において分散させるしかない ー> 日本の業者にはできない、コストかかる
  業者にも松竹梅がある
 DDOS検知にはIDS/IPSだとあまり意味がない

対策の視点の網羅性
 基本的に防御に主眼が置かれる
  何に対してどのくらい有効なのか言ってくれない
 脆弱性に関する情報
  昔はオープンだった
  今は? ー> 隠匿する方向
 よって実際に自分でやってみて大丈夫か確認しないといけない

 被害に遭うことを前提とする
  被害を受けたことを検知する
   昔の検出ソフトベンダーのソフトがひどかった
    ー> 監視センターは誤検知を探す仕事
  ○やられることを前提として設計を行う
   被害範囲をできるだけ迅速かつ正確に特定する
    ー> 訓練が必要

 全長を検知する

侵入行為への対策
 脆弱性を作らない開発
  努力はいいことだけど脆弱性はなくなった?
   ー> 穴があるという前提の脆弱性対策が欠落する事がよくある
  徹底と持続の問題
   一回言ったから、ペーパー渡して終わりとかが多い

 脆弱性検査
  現時点でのある程度の成功率が分かる
   ー> 網羅されてるわけではなく、やられたら保証するわけではない
  何故素の事象がおきたのか
   検査結果言われたものだけを直して、他にあるのかという視点が抜ける

 WAFまたはIPS
  脆弱性があることを前提としている必要がある
  現状では完璧なWAFができるかは結論が出ていない
   どちらにしろ使いこなす必要がある ー> 入れたから完璧じゃない
   チューニングが必要(アメリカとかのものは特にそう)
    アメリカではユーザ側にスペシャリストがいて使いこなすから
    日本ではそういった人はいない

 開発における脆弱性対策
  セキュアコーディングとか以前に要件定義の時点でどれだけ入れられるかが問題
  要件、設計、開発、テストすべてのフェースでセキュリティ監査は実施する必要がある
   開発チームは開発に精一杯なのでその中でセキュリティ監査をやれというのは無理じゃないか(体制の問題)
    ー> 全体工程からみてすべてのステップにおいて独立した視点を持った組織が必要なのでは?
  そもそもいきなりコーディングにはるような事が多いWEBアプリとかの開発では無理じゃないか
   ー> 開発と運用の連携
      開発時点でここが弱いとか運用にいってあげるなど

 古いサーバへの対策
  パッチは即時適用できるのか?
   落ちるとまずいので無理というのが現実(現状早めに当ててるとこでも3ヶ月に1度くらい)
  脆弱性を前提とした対策をしないといけない
  そこでWAFとかIPSを活用する
   ー> それでも守りきれない

 イントラの対策
  ゼロデイ攻撃は絶対防げない
   ー> 入ってくるし感染することが前提とする対策
      何が起こったのかを把握する
       ー> パケットキャプチャをとっていおいて分析するのがよいのでは
  標的型メールは訓練で対策できるか?
   最近では会話までするようなBOTもあるから無理

被害の検知、範囲の特定
 未知のものなのでパケットキャプチャを活用しないとけない
  INPUTよりも戻りのデータが必要(どのようなデータが流れたか確認できる)
 やられて困るのはDB
  DBのログをとる(普通の用途ではあまりやらないコマンドを検出するとか)
   ー> 本当にそれで対策になっているのか設計されているのか確認しないといけない
 ログの保護
 ファイルの変更検知
  バックドアの作成などのたいさく
  運用を絡めないと悲しいことに

予兆の検知
 簡易的なアクセス
  バージョンの取得とかSQLコマンドの送り込みを試行しているとか
 IDS
 経験と訓練
  最後は勘がものを言う

グループ企業で対策が難しいのは
 今更セキュリティのガバナンスはとれない
 コストをかけられる会社とかけられない会社がある
  やらなければいけない会社ほどお金がないからできない
 対策レベルの把握が困難
 本気でやらない
  ネットは一つの手段である(主産業は製造とか)
  ネットが中心の会社は自社社員がやるのでがんばる
  それ以外では下請けに丸投げ
   要件が適当、運用の一部としか考えられていない、やられるという前提がない
 持ち株会社のにはITの人材が不足している
 Pマーク???
 各社がかってにやれといって放置
 グループ外車のIT部門へのガバナンスの担当部門がない
 とりあえず組織を作ってみたとか(CISO等) ー> 意味がない
 伏魔殿

数値化
 規模*重要度=危険性
  顧客情報や機微情報などの保有数、保有状態を数値化する
 防御、検知、調査を行う体制について対策レベルを数値化する。
  それぞれにかけてるコストも数値化しておく。
   ー> いままで検知はやってなかったけどやろうとするとコストが**かかると言われて経営者は分かる。

GSOC(Global Security Operation Center)
 統合したデータセンターでセキュリティが分かる専門の人がしっかり管理する
  ー> 移動コストとかかかるし現状難しい
     でもそのうち上記の方向性へいくだろう
 セキュリティ情報センターは本来セキュリティに関する業務を行うところ
  監視のみじゃないよ

ハッカーからの攻撃は防ぎきることはできないだろう
システムの構築二巻してはセキュリティと構築・運用を分離させる
 ただし協調関係が重要
セキュリティ技術はノウハウの蓄積
1台を守る方法と数百数千を守る方法葉違う
 よく1台を守ることばかり議論されるけど違うよ
コストをいかに抑えるか
 安く即効性のある対策を提案できるようなことが重要?

APT(Advanced Presistent Thread)攻撃っておいしいの?

イントラネットに関するセキュリティの話
IPA脅威と対策研究会
 新しい攻撃 ー> それじゃわからん
 とりあえず適当に
 A:先進的な
 P:執拗な
 T:???
APTとは?
 隔離されているはずのディバイスを対象とした攻撃
 表層から(インターネットから見える)階層的に侵食していく。
 表層(前線基地)がスキャンした結果を用いて段階的に別のマルウェアを送りつけていく。
 ネットワークがなくてもUSBを利用するなどでさらに拡大していく。
 
攻撃の第一波
 ・メール
  業務に関連するメールを装う
  業務用メールアドレスだけじゃなくても個人メールアドレス宛にも送る
 ・USB
  国際会議等で配布
  stuxnetの感染
 ・SNS
  FacebookでソーシャルハックしてUSBメモリを送りつける
 使用するマルウェアはAV対策されている事が多い
  VirusTotalでスキャンしてみる等
 感染後は情報収集
  ネットワーク構成
  盗聴
   ID,Passwd
   メール
 収集した情報はHTTPベースのプロトコルで投げられる事が多い
  たまに独自プロトコル
ターゲットの一歩手前まで
 各種脆弱性を利用(既知・未知)
 感染PCを前線基地化
  ネットワーク、USBなどあらゆる手を使って到達する
  複数の中継基地、基地を使って現地種々のものを送り現地組み立てする
   ー> IDS、AV、ApplicationFW対策
 準備期間は数週間から数ヶ月かかる
 ターゲットに取り付くまでは隠密行動をする
  バレないようにすべて細切れの部品にしてターゲット上(次期の基地)で組み立て
 前の基地は伝令役へ
 このような時間のかかる攻撃をPersistentと言う
  ー> これって ”忍者じゃね?” ー> 忍者型攻撃!?
     海外の人は忍者最強なので忍者はまずいw
 ほとんどのPCはWebアクセスが可能(httpプロトコル)
  ー> マルウェアはWebアクセスを監視して通信に上乗せする
  正しい通信のはずなのにプロトコルを守っていないものが多いのでおかしなプロトコルを判別しきれない。
   Microsoftとかとかとか・・・
  不自然な例
   HTTPヘッダではjpegって言ってるけどIDSはexeって言ってる。
   見ればわかるけど数百とかいっぱいあるアクセスの中では分からない。

APTにおける内部と外部
 ネットワーク的に切られていてもUSBなどの物理経路が存在する限り安心できない
 日本人特有の誰々のPCだから大丈夫なんてことはないよ

APTっておいしいの?
 得られる情報はオイシイ
  最新鋭戦闘機の設計情報とか
  某国の核開発防止とか
  反体制勢力の情報とか
 今のところ国家レベルの情報が多いが徐々に一般可することが想定される
  今は手作業で構築しているもののパッケージ化
  デジタル家電とか増えてるし

どうすればいいの?
 セキュリティ製品のリプレースは?
 最新、最上位なら・・・
  すごいかもしれないけど毎秒1万件とかアラートでたりする。これを目視運用。
 得手不得手を把握してセキュリティ製品を選択する
 導入する場合は
  導入担当、運用担当、納入業者は違う人けど意思疎通がとれてないと・・・
  適当にいいやつ ー> ほんとうにてきとうなものを持ってくる

 第一波の到達は不可避であることを前提としてネットワークを設計する
  どこまで侵入を許すか
  ただし過剰防衛はしないように
 通信レベルで遮断するのはFWとかプロキシに多大な負荷がかかる
 攻撃リスクの軽減
  すべてを想定することはできない
   絵を書いてシナリオを検討し、クリティカルな箇所を検討する
  proxyを介した通信など
  APTを前提としたネットワークを設計する

8/1にIPAの脅威と対策研究会からガイドラインを発表
 ー> どういった形でもいいからFeedbackカモン

IPAから公開されたガイドラインは以下のアドレスです。
http://www.ipa.go.jp/about/press/20110801.html