20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
2 likes2,359 views
StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
- 1. 不正指令電磁的記録に関する罪と オンプレおよびクラウドにおけるWebネ ット型インシデントレスポンスについて Study Code #3 2018/04/26 @Typhon666_death
- 2. 自己紹介 • @Typhon666_death • 仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト/営業 • 業務:以前は多種企業向けMSS、今は自社サービスの運用保守 • 活動コミュニティ: • OWASP Japan Promotion Teamメンバー • AISECjp 運営メンバー • Security-JAWS 運営メンバー • X-Tech JAWS 運営メンバー • FinJAWS 運営メンバー • 全脳アーキテクチャ若手の会 運営メンバー https://www.slideshare.net/Typhon666_death
- 5. 「Macは感染しない」は神話 ウイルスの絶対数が少ないというだけ。 なお、Mac5台中1台は感染している話も。 他人の迷惑にならないためにも対策しておくべき。 パソコン遠隔操作事件も2012年とはいえ、 記憶に新しい。 Why do Windows laptops need antivirus but not Apple Macs? https://www.quora.com/Why-do-Windows-laptops-need-antivirus-but-not-Apple-Macs 1 in 5 Macs has malware on it. Does yours? https://nakedsecurity.sophos.com/2012/04/24/mac-malware-study/
- 8. マルウェア配置に気づいていないのは、プログラムにバグが存在して いてもわからなかったのと同じで、過失であり、ここで罪に問われる ようなことはないと想定。 感染拡大するも、当人が認識してない場合、過失であり、刑事罰とは ならなくも、民事訴訟、損害賠償請求は起こりえそう。 マルウェア配置 感染拡大 マルウェア認識 駆除せず t 正解は私には判らないので想像
- 14. 各NW機器、サーバ、アプリ等のログをログ 収集サーバに送る それらのログを相関的に分析し、インシデン トの発生を速やかに検知する必要がある インシデントの早期発見のために利用するの がSIEM(Security Infomation and Event Management) SOC(Security Operation Center)からSIEMを 使って監視を行う FW ログ収集Web WAF DB IPS 認証 DNS メール SIEM SOC端末 オンプレWebネットにおけるIR
- 16. とはいえ SIEM機器が高い → ウン千万円する機器を検討するか? SIEMのルール作成大変 → ログのフォーマットごとに相関分析できるルールをつくる必要が ある マンオペ大変 → トリアージの判断誤って被害拡大、解析する時間の猶予 人的リソースがない → 小さい会社でそこまで人さけるのか? クラウドではオンプレとは違った高度なIR、Security Automationの実現が可能 ▷ AWSを例に
- 19. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 VPC内は普遍的な Web+DBの構成 AWS WAFを利用 ログはS3 Bucketへ GuardDutyの Findingsで感染特定 接続元IPの自動遮断 Lambda 接続元IPの遮断 WAFシグネチャの更新等 フォレンジック
- 20. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック
- 22. Forensic as a Service Intezer Security Orchestration Demisto Phantom Security Tool for Cloud