Interopで聞いてきたことの続きです。
次にNICTのブースでお話を聞いてきました。
以下、メモになります。
IoTデバイスが攻撃元になっている
ダークネット、マルウェア
->NICTER(サイバー攻撃観測・分析・対策システム)
->DAEDALUS(対サイバー攻撃アラートシステム)
ライブネット、標的型
->NIRVANA(リアルトラフィック可視化ツール)
->NIRVANA改(サイバー攻撃統合分析プラットフォーム)
NICTER、DAEDALUS、NIRVANA
http://nict.go.jp/nsri/cyber/research.html
NIRVANA改
http://www.nict.go.jp/press/2015/06/08-2.html
SIGMON
ACTIVE
http://www.active.go.jp/
SiteVisor
http://sitevisor.jp/service.html
なぜ止められない?標的型攻撃
単一のセキュリティ機器だけでは検出困難
->複数機器を連携させる統合分析プラットフォーム
ネットワーク内部での攻撃に境界防御は無力
->組織の末端までセンサを設置し、リアルタイム分析
ネットワーク系とエンドホスト系対策の断絶
->ネットワークからエンドホストへシームレスに没入
防御策実施までのタイムラグ
->相関分析結果に基づく防御策の自動展開
Interopの資料ではないですが、関連する資料が見つかりましたので、一緒に書いておきます。
サイバー攻撃の動向とサイバーセキュリティの最前線
http://www.agent.cyber.niigata.jp/pdf/attack/02_1.pdf
Interopで聞いてきたことの続きです。
次にJPRSのブースでドメインハイジャックについて聞いてきました。
以下、メモになります。
ドメインハイジャック
事例として、2014/11に.comが別サイトに誘導されていた
ドメイン名ハイジャック
-ドメイン名の管理権限を第3者に奪われること
->webサイトを偽サイトへ誘導
->フィッシング、マルウェア配布
->電子メールの盗聴、盗難
DNSの不正書き換え
ドメイン登録の流れ
登録者 -> レジストラ -> レジストリ
※ネームサーバ、登録者情報など
レジストリが権威DNSサーバにNSレコードを設定
その際に不正な権威DNSサーバを指定する
著名なドメインが狙われる
->成功時のインパクトが大きい
->クレームから発覚することが多い
手口は様々で、脆弱性やソーシャルエンジニアリングなど
示威行為
全ての関係者が標的となりうる
->登録者からレジストラにデータを送るとき
->レジストラのデータベースを攻撃
->レジストラからレジストリにデータを送るとき
->レジストリのデータベースを攻撃
一度やられたところが再度やられるケースが多い
DNSSECでは防ぐことができない
->リクエストの内容が改ざんされているわけではない
不正書き換えを隠ぺい
->1~2日で元に戻すや一部のみを書き換えることで発覚しにくくしている
対策
->アカウント管理の適正化
->登録情報の定期的な確認
->事業者の緊急連絡先、連絡方法を事前に確認
->ドメインが書き換えられていてメールが使えない可能性がある
->登録者に対する啓発
->認証手段や仕組みの提供
->脆弱性対策
->レジストリロックのサービスを提供
レジストリロックサービス
http://jprs.jp/about/dom-rule/registry-lock/
次にJPRSのブースでドメインハイジャックについて聞いてきました。
以下、メモになります。
ドメインハイジャック
事例として、2014/11に.comが別サイトに誘導されていた
ドメイン名ハイジャック
-ドメイン名の管理権限を第3者に奪われること
->webサイトを偽サイトへ誘導
->フィッシング、マルウェア配布
->電子メールの盗聴、盗難
DNSの不正書き換え
ドメイン登録の流れ
登録者 -> レジストラ -> レジストリ
※ネームサーバ、登録者情報など
レジストリが権威DNSサーバにNSレコードを設定
その際に不正な権威DNSサーバを指定する
著名なドメインが狙われる
->成功時のインパクトが大きい
->クレームから発覚することが多い
手口は様々で、脆弱性やソーシャルエンジニアリングなど
示威行為
全ての関係者が標的となりうる
->登録者からレジストラにデータを送るとき
->レジストラのデータベースを攻撃
->レジストラからレジストリにデータを送るとき
->レジストリのデータベースを攻撃
一度やられたところが再度やられるケースが多い
DNSSECでは防ぐことができない
->リクエストの内容が改ざんされているわけではない
不正書き換えを隠ぺい
->1~2日で元に戻すや一部のみを書き換えることで発覚しにくくしている
対策
->アカウント管理の適正化
->登録情報の定期的な確認
->事業者の緊急連絡先、連絡方法を事前に確認
->ドメインが書き換えられていてメールが使えない可能性がある
->登録者に対する啓発
->認証手段や仕組みの提供
->脆弱性対策
->レジストリロックのサービスを提供
レジストリロックサービス
http://jprs.jp/about/dom-rule/registry-lock/
先日、Interopに行ってきました。
Interopで聞いてきたことを数回に分けて書きます。
最初に展示会場内セミナーを受講しましたので、その内容についてまとめておきます。
セキュリティだけじゃ守れない! ~Webサイトを守るために不可欠な総合力とは
https://reg.f2ff.jp/public/session/view/3162
以下、メモになります。
・標的型攻撃の訓練は抜き打ちでしないほうがいい
-> きちんと目的を説明して、理解をさせる必要がある
-> 開封率が1%も20%も変わらない
・セキュリティツールを知ってもらう
・エスカレーション率を向上させる
セキュリティインシデント
・どこで止めるか
・いつ報告をあげるか
・どうやって見つけるか
攻撃者
↓
被害PC -> 他のPC -> 管理PC -> APサーバ
攻撃者から社内向けの通信は対策されていることが多いが、被害を受けた場合に横の対策(社内の対策)が行われていないために被害が大きくなってしまう。被害PCから社内への2次災害を止める仕組みが必要となる。
・パソコン同士の通信を禁止する(ファイル共有など)
・windowsのパーソナルファイアウォールでチェックする
・重要なネットワークを切り離す
-> 例えば、クラウドに持っていく。オンプレミスで置いておくよりはクラウドの方が安全
・ADサーバのMS14-068のパッチが当たっているか確認する
・ADサーバのタスクスケジューラを確認する
Microsoft Security Bulletin MS14-068 - Critical
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
SOCとCSIRT
SOC:局所的・システムのみを担当
CSIRT:全体的なマネージメント
Interopで聞いてきたことを数回に分けて書きます。
最初に展示会場内セミナーを受講しましたので、その内容についてまとめておきます。
セキュリティだけじゃ守れない! ~Webサイトを守るために不可欠な総合力とは
https://reg.f2ff.jp/public/session/view/3162
以下、メモになります。
・標的型攻撃の訓練は抜き打ちでしないほうがいい
-> きちんと目的を説明して、理解をさせる必要がある
-> 開封率が1%も20%も変わらない
・セキュリティツールを知ってもらう
・エスカレーション率を向上させる
セキュリティインシデント
・どこで止めるか
・いつ報告をあげるか
・どうやって見つけるか
攻撃者
↓
被害PC -> 他のPC -> 管理PC -> APサーバ
攻撃者から社内向けの通信は対策されていることが多いが、被害を受けた場合に横の対策(社内の対策)が行われていないために被害が大きくなってしまう。被害PCから社内への2次災害を止める仕組みが必要となる。
・パソコン同士の通信を禁止する(ファイル共有など)
・windowsのパーソナルファイアウォールでチェックする
・重要なネットワークを切り離す
-> 例えば、クラウドに持っていく。オンプレミスで置いておくよりはクラウドの方が安全
・ADサーバのMS14-068のパッチが当たっているか確認する
・ADサーバのタスクスケジューラを確認する
Microsoft Security Bulletin MS14-068 - Critical
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
SOCとCSIRT
SOC:局所的・システムのみを担当
CSIRT:全体的なマネージメント