標的型攻撃への対策は、社内からインターネットへのネットワークの出口対策といっている記事が多いが、これで止まるものではない。何か、いままでとアピールするのに違う言葉をみつけたセキュリティ専門家が、連呼しているような。もちろん、効果はあるが、期待値を大きくしてはいけないということである。
出口対策は、問題がおきているかどうかを気づくためのものであり、情報漏えい自体は、狙われているのはサーバ内のデータということを頭においたときに、サーバの多重防衛や前に特権ID管理などをおいてアクセスさせるなどのサーバ防御をいかに重視することかと思っている。
出口対策というのは、具体的には、FireWall、Proxy、Routerという基本ネットワーク機器のほかにIDS/IPSなどがある。他にデータを取得のためのパケットキャプチャの製品などがある。この中でもそれぞれの機器が取得しているログは、発生したあとで解析するには、非常に重要である。
今回の標的型攻撃は、乗っ取られた利用者のPCが外へアクセスしているときに平行して、悪意あるサイトと外部通信が行われたり、暗号化されていて、時間軸や内容から、すぐにわかるものもでない。もちろん、HTTPやHTTPsなどの一般的なネットワーク上のポートを使わない通信ならば、そのポート情報から、遮断は可能であるが、実際は、一般的なポートが多く使われており、絶対的な効果は少ない可能性がある。
しかも、海外と、そもそも通信の多い企業(巨大企業が多いう)ほど、狙われており、通信先で都度、リアルタイムに確認は非常に難しい状態である。
では、社内ネットワークの発信元であるが、そもそも普通のクライアントが乗っ取られて、その対象となっているが、サーバなどから持ってかれる場合も、本来、外との通信を行っているそれらのクライアントを経由などしているものがあり、本来のデータの発信先の特定は難しい。もちろん、サーバから直接発信されるようなおバカな通信は、遮断できるが。
データの中身も取得しておくことは、解析には動き含めて、問題がおきたあとで、実は役に立つ。ただ、残念なことに暗号化されている通信の中身はみることができないので、何が実際に流出したかがわからないというのが現実である。これがわかっていれば、今回の大騒ぎも、キャプチャを行っていた企業または、そのサービスを他へ依頼していた企業は、何が流出したのか、わかっていたともいえる。
出口対策で、一番有効なものは、従来と異なる動きをしたときの気づきだと思っている。
通常と異なるデータの動き(通信)をいかに可視化するシステムを、築いて、ログを見て更においかけていくタイミングということであり、それができるその会社の文化である。これには、実は、ネットワークを使った業務の可視化(実は、Webサイトの社員の利用を制限しているとやりやすい)により、通常の状況を把握できるようにしておかないとならない。さらに重要なのは、それら気づきを気がつく人員の養成!
システムだけでは不可能。システムは動きを解析されて真似されてしまう。それを乗り越えるのは、人の力でしょう。
本来重要なサーバの対策と出口対策で気がついたあとでは、長くなったので、また。
