概要
ITMedia エンタープライズセキュリティセミナーに行ってきました。
今回はそのレポートです。
https://itmedia.smartseminar.jp/public/application/add/1542
所感
全体的にキーワードとしてはエンドポイント、threat hunting のように見受けられました。
piyokangoさんに会ってみたくて参加し、実際に話を聞けて良かったです。セキュリティリサーチャーズナイトはpodcast「セキュリティのアレ」そのままでpodcast を聞いている気分になりました(笑
以降メモです
流行に惑わされない!正しい次世代エンドポイントソリューションの選び方
- エンドポイントセキュリティの話
-
- 単一ではなく一連の振る舞いを記録し、攻撃のストーリーとして検知を行う手法
Threat Hunting とは
- 機械的・自動的に検出できず、システム内に隠れている高度な脅威をデータを積極的反復的に検索することで発見するアプローチ
CrowdStrike の話
- https://www.macnica.net/crowdstrike/
- サイバー攻撃に対する知見たくさんもっているよ!
- そんな会社がEndpointのソフトウェアを作った。センサーはクラウドへ送信するが、通信量は多くなく、負荷も高くないとのこと。
感想
Threat Hunting 成熟度が3段階だったけどこれはどこからの引用だろうか?概要説明のためなのか?- Sqrrl社の定義では5段階みたい http://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf
- まとめてくださっている「セキュリティコンサルタントの日誌から」
http://www.scientia-security.org/entry/2017/01/17/174123
ジャパンネット銀行流CSIRT運営 ~CSIRT運営から見えた効果的なサイバー攻撃対策~
- 株式会社ジャパンネット銀行 IT統括部サイバーセキュリティ対策室長 JNB-CSIRT 岩本 俊二 氏
金融ISAC
お客様全員にトークンを無料配布
- RSAから、薄いカード型に変更
- 更新系API連携もリリースしている
- 社員数300人ぐらい。
- JNB-CSIRT 立ち上げ。2012年から
- 経営会議に3回付議も・・・
- 他社CSIRT(富士通さん)による当社CSIRT機能の評価を実施
- 課題
- インシデント分析→Splunk導入
- CSIRTの中にSOCを含めている
- 300人ぐらいの人材だと別部隊でおけないので、Best effortでSOCもやっている
- Mission を定めている
- ミッションは書くメンバーの活動全てに優先される→開発部門の人も、忙しくてもミッションを達成することが優先される
- 個人のノウハウに依存しないための決めごと
- 情報共有範囲(TLP Traffic Light Protocol 定義
- 脆弱性対応基準。緊急度が高い場合にはCSIRT側から対応を勧告。5つの判断軸を作っていて、4つ合致したら必ずやるというルール
- セキュリティ意識向上のための啓蒙活動
- インシデントハンドリングに関する規定整備
- 標的型メール訓練
- 我々からすれば開封率をあけることを目標としている。いかに開かせるか。それでやばいと思って初動対応を覚えるんです
- 巧妙なメール開封は完璧に防御するのは不可能。確率の問題。不審通信を通知、初動対応の徹底が鍵。
- 役員にまず開かせるのが重要(笑
- 共同演習への参加
- セキュリティ人材育成
ログ分析(共助:信頼関係の醸成による有力なIndicator情報の早期入手
セキュリティ製品を使い倒す
- 新製品導入前に、既存製品での対応可否を確認する
ログ分析こんな風にしてます
- 何を目的に分析するか
- ログの概要把握
取得ログの選定
徐々に取得ログを増やしていったところいつの間にか社内SOCが誕生
- セキュリティ以外のところも活用し始めた
- レポートを毎日見る
- 毎日みていると異常に気づきやすくなる。1日30分ぐらい
- レポート、アラートを日々改善する
- ゴミアラートは排除
- 様々な観点の分析を検討
- 精度・鮮度の高いIndicator とぶつけること
- 他社で不正利用されたIP.UA等が、自社でも使われていないかを早期に知ることで被害抑止につながる
DDos 攻撃を受けた
- サイトダウンを経験
- 2006 SYN Flood . 1200IPアドレス。2~5万パケット/s
- 2011 TCP connection Flood 1IP, 1000connection/m
- ISP に聞いたが回線レベルだと全然問題なかった。1IP だし。
- 2014 Akamai への切り替え。ISPのサービス追加導入
- 2015 ヴォッシング(ボイスフィッシング)
- 500件試行されて成功率80% 。騙る入電は数十件
- ログインが成功して、お金がたくさんもってくるとわかると電話がかかってくる?
サイバー攻撃対策の最新トレンドと「脅威ハンティング」
- 脅威ハンティングとは
- 欧米では緩い意味で結構使われていて、SOCやCSIRTでやられるようなことも含まれている
サイバー攻撃者を積極的に監視し、追跡し、サイバー切るチェーンにおいてできるだけ早く排除する行為
Samuel Alonso Blog, Jan. 21, 2016
- 欧米では緩い意味で結構使われていて、SOCやCSIRTでやられるようなことも含まれている
- 脅威ハンティングがなぜ今注目されるのか
- 攻撃の進化と、過検知(どうしても攻撃が進化すると発生する)
- PETYA
- エンドポイント対策
- InfoTrace Mark II for Cyber
- 国産EDR
所感
スライド内容以外にも過去事例やこれまでの経緯や最近の事例を随所に含めて説明があったため、説明に納得性があるとともに、講演者のセキュリティに関する能力の高さがうかがい知れた
高度なサイバー攻撃への対処 ~ インテリジェンスを活用したインシデントレスポンス ~
www.reuters.com →講演ではこれではなかったが、こういった記事から始まる。むしろこの講演で初めて知った。
- Kaspersky 製品が米国からbun される・・・記事で弊社をしった方はどれぐらいいますか?
- 安心してご利用いただけます。
- 経営の透明性への取り組みを強化するため、Global Transparency Initiative を開始しました
- NSA の秘密情報をロシア政府が化スペルスk-製品を利用して入手したとされる事案に関する内部
- 安心してご利用いただけます。
We are heare to Save the World from IT threats.
Lazarus Group ~ 北の関与が疑われる巨大集団
- BlueNoroff ~ Lazarus グループの金融犯罪部門
- ATMitch ~ 見えない攻撃でATMを遠隔操作
- ファイルレスマルウェア
- ShadowPad ~ サーバ管理ツールからのサプライチェーン攻撃
攻撃の傾向と、企業の被害調査結果、インシデント対応能力、外部人材への依存
インシデントレスポンスフレームワーク
- 人材・スキル / テクノロジー / プロセス
セキュリティ人材に必要な「サイバーと現実」を意識したスキルを資格で視える化する
CompTIA日本支局
SIer A社スキル取得推進表
- 福利厚生で日本は資格は使われがち
- 会社のゴールとは別な形で資格取得が進められる可能性がある
→ 資格それぞれには役割があるのでそれを理解することが必要 - 論理的 →具体的の軸。専門的→汎用的の軸でかくと、CompTIAは具体的+汎用的
- 基本情報→Comptia → ベンダ資格→ 国家資格スペシャリスト
キャリアパスアセスメント
- 期待通り+非常に近いは Japan は19%。5カ国の中で最低レベル
- 個々人で能動的に考えることがない
企業がゴールを考えて、必要な能力に紐付ける形でキャリアパスを描いてあげればよいのではないか。
株式会社アシックス
- 海外売上比率がもう7割以上。
- 海外支社が40社以上
- 2017年から情報セキュリティ強化対策を進めた
- セキュリティ運用・セキュリティガバナンス・セキュリティテスト
- 国内外地域をカバーしつつ迅速にする組織
- ASICS-CSIRT
- セキュリティエンジニアに必要なスキルとは
- セキュリティ技術・管理(ISMC,GDRPとか)、企画・法令
- グローバルセキュリティ資格制度
- CISSP,SSCP SANSmISACA CompTIA
- 知識以外ンスキル
- コミュニケーションスキル、国際社会やビジネスの話
- SecureWokrs →アセス。パートナー
- TANIUM の導入
- SIEM はSplunk
セキュリティリサーチャーズナイト
piyokango 氏
- まとめているけど今年20件ぐらいしかかいてない。去年と比較すると半分ぐらいだ。
- 総務大臣からハンドルネームで表彰される
辻さんのBigイベント
- 今年の夏事件事故がありました。ソフトバンクテクノロジー
- 不正アクセス
- 検証用のサーバ。お客さんのデータ移行とかの検証。そこに使っていないアカウントがあった。消し忘れのようなアカウンと。パスワード脆弱。アクセス元も制約がなかった。テストデータではなくて実データを保存していた。
- 最終的には第三者機関に調査をしてもらって、幸い情報は漏れていなそう。となった
- 検証用サーバからOfficeのPCにマルウェア展開されて、仮想ツールマイニングがされていた
- どういった体制で望んだのか?
- システム担当、顧客担当(営業)、広報担当、第三者機関窓口担当
- 辻さんは経営層とその他との間でまるっと担当
- 土日がなくなる感じではあった
- インシデントが起きてその後の実際の対応
- サイバーセキュリティ経営ガイドライン、付録C
- インシデントが起きたときにどのような対応が必要なのか、細かく書いてある資料
- どんな情報を整理・集めればいいか?とか。を整理している。事前にみて、システムを考えたときに埋めることができるのか?も考えてほしい
- サイバーセキュリティ経営ガイドライン、付録C
影響範囲とかを把握するのがすごく大変だった
手元に怪しげなファイルが見つけたとき、どのように対応したのか?
- Mining となぜわかったのか→通信を見て判断
- 仮想Mining toolだけなのかもう一度再チェックをしている。
- 監視とかやっている解析部隊がチェックをした。
たいていの会社ならEndpoint で検索するのかなぁ。そして外に依頼するんだろうね
- 今回のCaseはEndpoint にソフトあったが検証環境ということで古いものがあって見つからないところがあった
影響範囲をきちんと特定するためにはマルウェアが何でどういう挙動なのか調べないといけないよね。
- Forensic をやっている機関に任せるしかないのではないか
- なぜ第三者機関といっているのか?セキュリティ会社だよね?
- Forensic 調査会社でよいんじゃないの?
- 自分たちで調べました という形ではしないようにしている
- 名前は出せないもの?
- 出さない方が統制上いいだろうという話
- 取材が第三者機関の名前を出してしまうとそっちにいってしまうと困る
- 窓口を一カ所にまとめるほうがよい
情報公開の話
不正アクセス概要の絵がなかった。
- よく読んでもわかりにくかった。
- 絵を使った報告であればわかりやすいんだが、他でもあまり図が入ったようなレポートがない
- 次からで(笑)
- 本当に時間がぎりぎりなので、報告でわかりやすさを細かく入れるのは難しい。入れようという発想はなかった
- 事件事故がおきると、よく報道では絵を起こされる。当事者から見るとちょっと違うな、という事がある。
- 絵は一人歩きする事がある。最終報告のときに入っていればよかったんじゃないかなぁ。
- 今回の絵は取材を受けるときに広報と一緒に作った
調べた内容で何を出す出さないという事を決めたのか?
- 基本的に出さないと言うことはなかった。
- 出さない方がいいんじゃないか?みたいな意見はなかった?
- 辻さんが外に色々講演とかしている。講演とかするときに話がしにくいような状況は避けろというのがTOPの判断
- 出さない方がいいんじゃないか?みたいな意見はなかった?
- 基本的に出さないと言うことはなかった。
- 情報の漏洩が0 ではない。
- 検証環境にもし顧客情報がなかったら?公開していなかった?
- 辻さんとしては出して、って言うかな。こういう攻撃があるっていうのは世の中にはしってほしい。
- File 名とかFile hash とか。今回出している。そういった情報を共有したい
- 情報の漏洩が確実だったら、あまりこういう場では喋れないのでは?
- あまりそれは関係ない。漏洩したことは謝る必要はあるが
- 漏れていた、漏れていない関係なくリリースは出すんだ!という判断があった
- 漏れたのを確定してから出すのは遅い。
- 場合によっては影響を確定してから出したい、というのは会社によってはあるよね
- もし本当に影響がなければ知らせる必要ないかもしれないしね。
- 攻撃に関わる情報をつまびらかにすると攻撃者にメリットがあるので内容によっては伏せるという話しがある
- あまり伏せたいという考えはなかった。どちらかというと公開したほうがいいと考えた
- 共有して、経営層がうちは大丈夫か!?というところで調査がされた方が攻撃者よりも同業者にメリットがあると考える
- 大多数の攻撃は広く知られている攻撃手法のことが多いので、