$30 off During Our Annual Pro Sale. View Details »

(Forkwell Library #48)『詳解 インシデントレスポンス』で学び倒すブルーチ...

scientia
April 10, 2024

(Forkwell Library #48)『詳解 インシデントレスポンス』で学び倒すブルーチーム技術

Forkwell Library #48の講演資料です。
https://forkwell.connpass.com/event/313793/

----------
仕事柄様々な書籍に目を通していますが、「サイバーセキュリティ防御技術を学ぶ上で最初の一冊は何がいい?」と聞かれて真っ先にお勧めするのが、本書『詳解 インシデントレスポンス』です。
本セッションでは、これからフォレンジック技術、セキュリティ防御技術を学びたい人を対象として、『詳解 インシデントレスポンス』の内容を概説し、本書のポイント・活用方法をご説明します。その後、①本書で学んだ内容をもとに、さらに実践的なフォレンジック分析技術を学ぶ方法、②本書発売以降に発表された最先端の技術動向を学ぶ方法、③本書に関連するブルーチーム技術を学ぶ方法などを解説していき、ブルーチーム人材(セキュリティ防御の専門人材)としてさらに技術力を向上する方法についてご紹介します。

scientia

April 10, 2024
Tweet

Other Decks in Science

Transcript

  1. Copyright © Tomohisa Ishikawa All rights reserved. 本日お伝えしたいこと 1 これからフォレンジック技術、セキュリティ防御技術を学びたい人を対象として、

    『詳解 インシデントレスポンス』の内容を概説し、本書のポイント・活用方法 を解説します。 • 以下の2部構成でお話をさせていただきます。 – Part I :『詳解 インシデントレスポンス』の概説 • 『詳解 インシデントレスポンス』の概略を事例を通しながら解説し、学ぶべきポイントを紹介します。 – Part II :更なるブルーチーム技術の向上方法 • Part IIでは、ブルーチーム技術を概観した後、更にブルーチーム技術を向上する方法を紹介します。 – ①さらに実践的なフォレンジック分析技術を学ぶ方法(=技術を磨く) – ②本書発売以降に発表された最先端の技術動向を学ぶ方法(=技術をアップデートする) – ③本書に関連するブルーチーム技術を学ぶ方法(=関連技術を学ぶ)
  2. Copyright © Tomohisa Ishikawa All rights reserved. 自己紹介:石川 朝久(いしかわ ともひさ)

    2 • 所属 : • Lead Cyber Security Architect @ 東京海上ホールディングス • 資格 : • 博士(工学), CISSP, CISSP-ISSMP, CSSLP, CCSP, CISA, CISM, CDPSE, CFE, PMP, 情報処理安全確保支援士 etc. • 経歴 : • セキュリティ専門会社にて、侵入テスト・インシデント対応・脆弱性管理・教育に従事した後、2019年度より現職。 • 現在は、Global Fusion Center(GFC)企画立案と構築、セキュリティアーキテクチャ検討、グローバルセキュリティ戦略・国内外の グループ企業のセキュリティ支援・TMHD-CSIRT運用・脅威インテリジェンス分析などに従事。 • 対外活動(抜粋): – 講演・講師: • DEFCON 24 SE Village Speaker (2016) • Internet Week Speaker (2018-2020, 2022) • FIRSTCON23 Speaker(2023) • セキュリティ・キャンプ 全国大会講師(2023) • Global Security Camp 2024 Instructor(2024) – 委員会活動: • 総務省 サイバーセキュリティエキスパート(2024~) • IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) • IPA 「10大脅威執筆者会」メンバー(2010~2014, 2019~) – 執筆・翻訳・監訳: • 複数の本を執筆・翻訳・監訳しています。 – 調査・研究: • 情報処理学会・電子情報通信学会で研究発表をしています。
  3. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 4

    • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動
  4. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 5

    • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 概要・準備パート 脅威動向とインシデント対応の「準備」に ついて紹介 トリアージパート 保全する端末・サーバを選択するための トリアージ技術の紹介 保全パート 詳細な解析を行うため、メモリ・ディスクを 保全する技術の紹介 解析パート 保全したメモリ・ログ・ディスクなどの解析を 行う技術の紹介 改善パート 実施した対策の検証方法と、脅威ハンティング 技術の紹介
  5. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:ランサムウェア事案を題材に... 6 <状況>

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 ランサムウェア事案を事例研究として、本書の 各パートがどのように役立つか見ていきます。
  6. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:概要・準備パート 9 •

    インシデント対応を成功に導くためには、「備え」が重要! Process People Technology • インシデント対応プロセス • インシデント対応計画・手順書 • 指揮命令系統の整理 • ハードスキル • ソフトスキル • トレーニング・サイバー演習 • 基本的なセキュリティ管理 • ベースラインの把握 • ツールの検証 • 十分な可視化(Full-Spectrum Visibility) • インシデント対応用の装備 • 事業継続と災害復旧 (参考)https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/ (参考)https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf <インシデント発生時の指揮命令系統の例> <NIST Incident Response Life Cycle>
  7. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:概要・準備パート 10 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 概要・準備パート 脅威動向とインシデント対応の「準備」に ついて紹介
  8. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:トリアージパート 12 <状況>

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 <次のアクション> • 被害端末3台については、詳細調査が必要であること は明白! • 目に見える被害はないが、同じセグメントにいるなど 技術的・論理的に考えて被害を受けた可能性を否定を できない疑義端末・疑義サーバをどう取り扱うか? → スコーピングの問題 • 詳細調査に回すかどうかを判断する必要あり! – 詳細調査に回すのであれば、時々刻々と変化する端末・ サーバ群をできるだけ「保全」したい。 – 一方で、企業としては調査と同時に現在の事業継続を行 いたく、影響がない端末・サーバは稼働し続けたい。 – 詳細調査を行うと数週間かかるケースも多く、また外部 のセキュリティベンダーを利用すると$$$もかかる。 トリアージ技法
  9. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:トリアージパート 13 •

    トリアージとは? – 災害発生時など多数の傷病者が発生した場合に、傷病の緊急度や重症度に応じて治療優先度を決めること – 転じて、サイバーセキュリティの世界では、インシデントの範囲を特定し、詳細調査に回す端末・サーバ を特定する技術・プロセスを指す。 (参考)https://www.nli-research.co.jp/report/detail/id=53548?pno=5&site=nli (参考)https://www.hokeniryo.metro.tokyo.lg.jp/iryo/kyuukyuu/saigai/triage.html <トリアージ・タグ> <トリアージの分類>
  10. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:トリアージパート 14 •

    トリアージ技法: – ローカル vs. リモート – WMIC、PowerShell、サードパーティ製品を利用して 調査する。 – 疑義端末上に不審な接続、プロセス、ポート、サービス、アカウント、ファイル etc.がないか確認する。 <トリアージの実例(書籍:p.56より掲載)>
  11. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:トリアージパート 16 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 トリアージパート 保全する端末・サーバを選択するための トリアージ技術の紹介
  12. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:保全パート 18 <状況>

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 <次のアクション> • 被害端末3台(赤) + トリアージで発見された3台 (青)を詳細調査に回すため、「保全」作業を行う。 • ロカールの交換原理 • 保全対象 – 揮発性(volatile) • メモリの保全 – 不揮発性(nonvolatile) • ディスクイメージング • 状況に応じ、適切な保存手法を選択する必要がある • 例)大量のメモリを搭載し、稼働し続けるサーバ – 5.4 ライブメモリ解析 – PCと同様のメモリダンプの取得は適切でないかも? – メモリの最初のページをコピーしてから最後のページがコピーさ れるまで、メモリは絶え間なく変化するため、取得したメモリ データの破損につながり、効率的な解析ができない可能性がある。 – メモリダンプを取得する代わりに、調査対象システムが稼働して いる状態で、ライブ解析を行う方が有効かも…
  13. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:保全パート 19 •

    ロカールの交換原理(Locard’s exchange principle) – 法医学(Forensic Science)の概念で、「人が犯罪現場で活動すれば、人は犯罪現場に何かを 残し、また犯罪現場から何か持ち出す」という概念(本書:p.110) – 法執行機関は、犯罪現場周辺を封鎖し、犯罪現場に立ち入る人間の出入りを詳細に記録し、 保護具を着用しているのは、当該原則で環境を汚染しないため
  14. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:保全パート 20 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 保全パート 詳細な解析を行うため、メモリ・ディスクを 保全する技術の紹介
  15. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:解析パート 22 <状況>

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 <次のアクション> • 保全したデータを解析し、攻撃者の振る舞いを時系列 解析して、「影響範囲」と「根本原因」を分析する。 • 07章 ネットワークセキュリティ監視 – ログ、パケットなどを分析してネットワーク上で何が起 きたか分析する技術(例:C2通信の分析) • 08章 イベントログ分析 – イベントログを分析し、端末で何が起きたかを明らかに にする分析(例:プロセスやPowerShellの実行 etc.) • 09章 メモリ解析 – 端末上のメモリを分析し、実行されたプロセス、サービ ス、ネットワークを分析する。保全時点で実行されたプ ロセス、ファイルレスマルウェアの挙動を分析可能 • 10章 マルウェア解析 – 端末上に残存していたマルウェアの挙動を解析し、マル ウェアがどのような挙動をしていたか分析する。 • 11章 ディスクフォレンジック – ディスク上のファイルシステムやアーティファクトを分 析し、侵害の時系列を分析する。 • 12章 横断的侵害の分析 – 攻撃者がよく使う端末間の移動(=横断的侵害)を分析 する技術 ABC社 青字:ネットワーク・端末間の分析 赤字:端末・端末のアーティファクト分析
  16. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:解析パート 25 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 解析パート 保全したメモリ・ログ・ディスクなどの解析を 行う技術の紹介
  17. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究:改善パート 27 <状況>

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 <次のアクション> • 解析パートにて、影響範囲と根本原因が判明したため、 後続のアクションとして、対策を行う。 • 実装した対策が適切に機能しているか、更なる改善の 余地がないか、敵対的エミュレーション技術を使って 対策の有効性を検証する。 – 例)MITRE ATT&CK – 例)Red Canary • また、将来において、侵害をリアクティブ(受動的) に対応するのではなく、プロアクティブ(能動的)に 「未知の脅威」を検出するために、脅威ハンティング を実施する。 ABC社
  18. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 28

    • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 改善パート 実施した対策の検証方法と、脅威ハンティング 技術の紹介
  19. Copyright © Tomohisa Ishikawa All rights reserved. 更なるブルーチーム技術の向上方法 30 本書を読んだ後、更にブルーチーム技術を向上させる手法として、以下の3種類について紹介します。

    • ①さらに実践的なフォレンジック分析技術を学ぶ方法(=技術を磨く) • ②本書発売以降に発表された最先端の技術動向を学ぶ方法(=技術をアップデートする) • ③本書に関連するブルーチーム技術を学ぶ方法(=関連技術を学ぶ) 参考)ブルーチームとは? Red Team Blue Team • 組織のサイバーセキュリティを強化する目的 で、攻撃者のTTPを実際に模擬し攻撃を行う チーム • 組織の情報システムにおけるセキュリティを 確保し、模擬あるいは実際のサイバー攻撃か ら情報システムを守る役割を担うチーム (参考)https://www.sompocybersecurity.com/column/glossary/red-team (参考)https://www.sompocybersecurity.com/column/glossary/blue-team
  20. Copyright © Tomohisa Ishikawa All rights reserved. ①さらに実践的なフォレンジック分析技術を学ぶ方法(=技術を磨く) 31 •

    ①学習向けイメージを使って分析練習 or ②ラボ環境を構築し、攻撃 → 分析を行ってみる。 – 例)フォレンジック学習向けのイメージデータ • https://soji256.hatenablog.jp/entry/2019/06/12/073049 – 例)Applied Incident Response → ラボ構築用スクリプトが用意されている • https://www.appliedincidentresponse.com/resources – 例)Atomic Red Teaming(Red Canary) • https://github.com/redcanaryco/atomic-red-team • https://atomicredteam.io/ • 攻撃者が利用するテクニックを、簡単にテストするスクリプトをまとめたプロジェクト – 例)Adversary Emulation Library(CTID:Center for Threat-Informed Defense) • https://github.com/center-for-threat-informed-defense/adversary_emulation_library • CTIDが作成したAdversary Emulationスクリプト。MITRE Engenuityが実施しているEnterprise Evaluation(商用製品の検知能 力評価プロジェクト)を円滑に行うために作成されたスクリプトが公開されている。 – https://attackevals.mitre-engenuity.org/enterprise/ • Micro Emulation Planと呼ばれるAtomic Red Teamのようなスクリプト等も用意されている。 – https://github.com/center-for-threat-informed-defense/adversary_emulation_library/releases
  21. Copyright © Tomohisa Ishikawa All rights reserved. ②本書発売以降に発表された最先端の技術動向を学ぶ方法(=技術をアップデート) 34 •

    フォレンジック技術は、OSの更新等とともに新しい技術が登場する。最新のテクニックを収集するため、 カンファレンス・ブログなどの情報をリサーチしていく必要がある。 → $$$に余裕がある場合は、有償トレーニングを受講するのも一つの手段! – SANS DFIR Summit 2024 • https://www.sans.org/cyber-security-training-events/digital-forensics-summit-2024/ • 過去動画は、YouTubeで閲覧することが可能(例:SANS DFIR Summit & Training 2023) – JSAC : JPCERTが主催するカンファレンス • https://www.youtube.com/@jpcert_cc – SANS Digital Forensics Poster • https://www.sans.org/posters/ – SANS Blog • 例)https://www.sans.org/blog/google-chrome-platform-notification-analysis/ – デジタル・フォレンジック研究会 • https://digitalforensic.jp/ – Yamato Security • https://yamatosecurity.connpass.com/event/
  22. Copyright © Tomohisa Ishikawa All rights reserved. ③本書に関連するブルーチーム技術を学ぶ方法(=関連技術を学ぶ) 38 •

    本書は良書だが、ブルーチーム技術をさらに深めるためには… 別プラットフォーム 関連技術を深めたい Linux OS モバイル・フォレンジック クラウド フォレンジック macOS ネットワーク解析 (第7章) メモリ解析 (第9章) マルウェア解析 (第10章) 脅威ハンティング (第13 & 14章)
  23. Copyright © Tomohisa Ishikawa All rights reserved. Wrap-Up 40 •

    本日は、フォレンジック技術、セキュリティ防御技術を学びたい人を対象として、 『詳解 インシデントレスポンス』の内容を概説し、本書の活用方法を解説させていただきました。 • Part I :『詳解 インシデントレスポンス』の概説 – 書籍の構成をお話した後、事例と突き合わせながら、本書の活用ポイントをお話いたしました。 • Part II :更なるブルーチーム技術の向上方法 – 本書を読破いただいた後、更なる技術習得技法についてお話されていただきました。 • ①さらに実践的なフォレンジック分析技術を学ぶ方法(=技術を磨く) • ②本書発売以降に発表された最先端の技術動向を学ぶ方法(=技術をアップデートする) • ③本書に関連するブルーチーム技術を学ぶ方法(=関連技術を学ぶ)