Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サイバーレジリエンス~情報収集どうしてる?~ / Cyber Resilience

hiro
June 29, 2018

サイバーレジリエンス~情報収集どうしてる?~ / Cyber Resilience

hiro

June 29, 2018
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. 9 Be prepared (備えよ常に) 引用:IT担当者の85%が「復旧に自信がない」 ITの復旧力に関するレポートで本音    http://techtarget.itmedia.co.jp/tt/news/1806/01/news09.html ▪『The 2018 State of

    Resilience』(2018年度の復旧力の状況) ・障害後の目標復旧時間を達成していたのは半数 ・IT担当者の85%が復旧計画を立ておらず、復旧に自信がない ・データ損失を被った企業のIT担当者に、最も重大なインシデント  で失われたデータの量を聞いたところ、28%が数時間分、31%  が1日以上と答えた。 ・バックアップコピーが古かった  (取得頻度が少ない) ・特定のデータをバックアップしないように  構成されていた ・バックアップエラーが放置されていた ▪データ損失の原因の多くが「バックアップの品質が低いこと」
  2. CSIRTの活動 11 ▪事前対応型の活動(Proactive Service) ・脆弱性情報、脅威情報、攻撃予測情報などを収集/調査/提供 ・情報資産のメンテナンス ・直接的にインシデント発生の抑制を図る  (有害なURLやIPアドレスをフィルタリング)    ▪事後対応型の活動(Reactive

    Service) ・インシデント報告や不正検知システムなどの情報による活動  -アラート、警告等の確認/対応(外部からの通報にも対応) ・インシデントハンドリング(インシデント分析、インシデント対応) ▪セキュリティ品質管理に関する活動 ・セキュリティ教育・トレーニング・啓発  (間接的なインシデント発生の抑制) ・リスク分析 引用:企業における情報セキュリティ緊急対応体制~組織内 CSIRT の必要性~    https://www.jpcert.or.jp/present/2015/expo20150513-csirt.pdf
  3. なぜ、脆弱性情報、脅威情報(IoC)が重要なのか ▪最近は、脆弱性情報の公開 ⇒ 即、攻撃開始! 対象 CVE CVSS v3 脆弱性 脆弱性公開

    PoC公開 攻撃開始 WordPress CVE-2017-5611 9.8 権限昇格 2017.01.26 (2017.02.01) 2017.02.02 2017.02.04 Apache Struts2 CVE-2017-5638 9.8 リモート コード実行 2017.03.06 2017.03.07 15:21 2017.03.07 17時頃 Oracle WebLogic CVE-2017-10271 7.5 リモート コード実行 2017.10.19 2017.12.24 2017.12.25 ▪コインマイナーが脆弱なサーバに仕込まれる理由 ・24時間365日稼働(パソコンだとシャットダウンしたら終わり) ・実行できてしまえば見つかりにくい(不十分な管理)  ⇒タスクスケジューラで調べようとすると鳴りを潜めるものも 参考:Oracle WebLogic の修正済み脆弱性を狙うトラフィックを確認、   サーバを侵害し仮想通貨を発掘 - トレンドマイクロ    http://blog.trendmicro.co.jp/archives/17421 13
  4. 14 平時から情報収集を(有事になってからでは遅い) 14 WHY なぜ(動機)  サイバーリスクから自社のシステムを守るため  顧客にセキュリティ情報を提供するため  自己のセキュリティスキル向上のため WHAT 何を(対象)

     脆弱性情報(Apache Struts、WordPress、BIND、Adobe Flashなど)  サイバー攻撃情報(WannaCry、NotPetya等の大規模サイバー攻撃)  IoC情報(C2サーバ、攻撃元IPアドレス、検体のハッシュ値など)  攻撃の予告(攻撃リスト、OpKillingBayなどの攻撃キャンペーン) HOW どのように (ツール・手法)  SNS(Twitter、TweetDeck、Yahoo! リアルタイム検索)  RSSリーダー(Feedly、Inoreader、Google Alert、Queryfeed)  キュレーションサイト(Togetter、NAVERまとめ)  キュレーションメディア(Yahoo!ニュース、Google News、SmartNews)  チェッカー(代理アクセス:aguse.jp、urlquery.net、urlscan.io、censys.io         疎通確認:check-host.net         ダウンディテクター:downdetector.com)  その他(Googleアプリ、Chromeのおすすめ) WHERE どこから (入手元)  OSINT(オープンソースインテリジェンス:公開情報)  ⇒ベンダーのブログ、Twitter、VirusTotal、Hybrid-Analysis  お金があればセキュリティベンダーからThreat Intelligence 購入
  5. 16 情報収集どうしてる?(特に不審メール) ▪ばらまきメールウォッチャーのツール変遷 ツール 手法 タイム ラグ 得られる 情報 2016~

    2017年 迷惑メール 関連ブログ 半日 ~1日後 件名 送信元 添付ファイル 本文 ハッシュ値 2017年 2月頃 Twitter リアルタイム検索 (手動検索) 1~2時間 件名 送信元 (添付ファイル) (本文) (ハッシュ値) 2017年 5月頃 QueryFeed Feedly (RSS購読) 30分 ~2時間 件名 送信元 (添付ファイル) (本文) (ハッシュ値) 2018年 2月頃 ポストブログ Feedly 数十分 ~1時間 件名 送信元 添付ファイル 本文 2018年 5月頃 ポストブログ Inoreader 数分 ~1時間 件名 送信元 添付ファイル 本文