IT Security -既知の脅威と未知の脅威-
東京オリンピック開催まで1ヵ月を切りました。
著者は当選したチケットをまだ持っているのですが、7/6の抽選結果発表が7/10に延期されました。
まだ見られるかどうかが分からずヤキモキしています。
Covid-19による影響は、1年以上経ってもまだ、我々の日常生活を狂わせてしまってます。
では本題のIT Securityの話に入らせていただきます。
■Hashについて
コンピュータ上の実行ファイル、テキストファイルの一意性を確認するためにHashが用いられる
Hashが同じだから必ず一意であることを証明できる訳ではないが、Hashの長さにより一定の一意性は確保できる
ご存じのかたには当たり前の内容であるが、既知の脅威と未知の脅威を説明するために理解いただく必要がある
私のデスクトップ上に VBA.txt というファイルがあるので、これを使って Hash を説明する
Windows 10 端末であれば PowerShell のget-filehash コマンドを使ってHash を求めることができる
PS C:\Users\niiven\Desktop> get-filehash .\VBA.txt
Algorithm Hash Path --------- ---- ---- SHA256 13DC1EA6AB2AA9096AA693BDC0B5E93B8A306FDD7508DF48A9C7D89117EAEADD C:\Users\niiven\Desktop\VBA.txt |
VBA.txt を copy して、VBB.txt を作り Hash を求める
PS C:\Users\niiven\Desktop> cp .\VBA.txt VBB.txt PS C:\Users\niiven\Desktop> get-filehash .\VBB.txt
Algorithm Hash Path --------- ---- ---- SHA256 13DC1EA6AB2AA9096AA693BDC0B5E93B8A306FDD7508DF48A9C7D89117EAEADD C:\Users\niiven\Desktop\VBb.txt |
ファイル名が変わってもファイルの中身が同じであれば、Hash は同じになる
次にVBA.txtにスペースを1文字追加して Hash を求める
PS C:\Users\niiven\Desktop> get-filehash .\VBA.txt
Algorithm Hash Path --------- ---- ---- SHA256 5349551B4E24DED5143C7AE5A851F8419BCEB4D94A84CDC4B1E9289810B47C4F C:\Users\niiven\Desktop\VBA.txt |
ファイルを1文字でも書き換えると Hash は異なるものになる
この Hash は昔からデジタル著名、メールの改竄防止、download したリソースが正しいことを判断するために用いられている。
またセキュリティ製品では、Anti virus製品やIDS、IPSでマルウェア等の検出に用いられる。
Hash による脅威をまとめたサイトはこちら
VirusTotal https://www.virustotal.com/
■既知の脅威
Hash の説明でお伝えしたいことは3つ
・Hash はAnti virus製品や IDS、IPS などで既知の脅威を検知・抑止するために使われている
・ファイル名を変えても Hash は変わらないので、脅威の検知に一定の有効性が認められる
・新たな脅威として認定されたファイルは Hash として広く公開され、再利用されている
しかしながら、ファイルに少しでも変更が加えられると Hash が変わり検知が出来なくなる
これは昨今用いられるスクリプトを使った攻撃では Hash での検知が役に立たないことを意味する
ただし、Hash が全く役に立たないということを意味していない
・IDPSは Hash だけを見ている訳ではない
・未知の攻撃と言われるものも、既知のツールと組み合わせて使うものがある
■未知の脅威への対応
既に Hash 技術だけで全ての脅威からIT資産を守ることができないことは今や誰もが理解されている
境界型セキュリティや既存のAnti Virus製品だけでは守れないことが分かっているので、攻撃を受けてしまったときに対処ができるよう備える必要がある
ここで出てくるのが、ゼロトラストセキュリティモデルである
全ての通信に認証と認可を与えつつ、同時に絶えず監視を行うことが必要となる
具体的なソリューションとしては大きく3つ
- EDR製品による未知の脅威の検出
攻撃の痕跡(IOC)を利用した端末の動作を監視する製品を利用して未知の脅威に対応する方法がある
・VMware Carbon Black Cloud Enterprise EDR (以下CBC EEDRと記載) での例
・ファイルの変更
・ネットワークアクセス
・Registoryの変更
・その他
・CBC EEDRは端末上で実行した全てのイベントを収集・アップロードするので、コンソールで IOC を検索することにより、Hash 登録されていないファイル=未知の脅威であっても検知が出来る
- NDR製品による未知の脅威の検出
ネットワーク上で脅威を検出する仕組み
全てのノードにEDRを組み込むことにハードルが伴うケースでは、ネットワークで脅威を検出することが手っ取り早い
NDRを唄う製品の多くはIDPSカテゴリに類する製品であるが、前出のシグネチャ以外にもネットワークプロトコルでの検知を行うため、EDR製品ではカバーできない領域の検知を行うことができる
また、検体をサンドボックスに上げて動作を見る製品もあり、より厳格な脅威の検知を行うことができる
ただし、ネットワーク上ではSSL/TLS, SSHなどの暗号化されたパケットの中身を見ることができないため、EDR製品とNDR製品の利用箇所、カバー領域を考えて、適切な利用に努めることが重要になってくる
- SIEM/SOARによるロギング、検知と対処
単一の製品でロギング、検知を行うことは出来る仕組みを持つが、複数製品を組み合わせた場合にはそれぞれの製品コンソールだけでは相関関係が分かりにくく、製品の数だけコンソールを見なければならない
2-3製品であれば出来なくもないが、それぞれの製品に過検知、誤検知があり得ることを考えると、運用者の負担が大きくなりすぎてくる
EDR, NDR 製品は標準設定において過検知をすることがあるので挿入直後において抑止設定を行うことは殆どない。このため検知のみでそのアラートを見ることがないようでは、製品導入した意味がなくなってしまう
これらの情報を1箇所に集め、総合的に判断を行うツールがSIEMであり、さらにその対処まで行うものがSOARと呼ばれる
- まとめ
・EDR, NDR, SIEM/SOAR を組み合わせることで、既知の脅威だけでなく、未知の脅威にも対処することができる
・各製品でできること、できないことを理解して、適切な個所に適切な製品を配置する
今日はここまでです。
最後まで読んでいただきありがとうございました。