表題の内容を「富士通フォーラム」で聞いてきたので、メモメモ
1.サイバー攻撃事例
・事例1.Java脆弱性を利用した標的型攻撃
2013年2月 Facebook,Apple,Microsoft
Javaサンドボックスをバイパス可能な
ドライブバイダウンロード攻撃
想定される攻撃シナリオ
1.事前プロファイリングで、
アクセスする可能性の高いWebサイト調べる
2.サンドボックスバイパスする0day exploit不正Jarファイル配置
3.開発者にJarファイルを落とさせる
4.マルウェアインストールさせる
→水のみ場攻撃
分析・評価
入り口対策をバイパス
従来:メール
Javaに対する0day
事前プロファイル
・進入手口が以前にも増して巧妙化
・もはや内部進入を前提とした対策は必要不可欠
・事例2.ショッピングサイト決済ページ改ざん
2013年3月14日、大手めがねチェーン
セキュリティコードを含むすべての決済情報転送
2059人のクレジットカード情報、7人悪用
PCIDSSめざす
想定される攻撃シナリオ
Apacheを改ざん
情報転送
→サーバーに格納した情報ではない:PCIDSSに対応してもX
分析評価
SQLインジェクションでは入手困難なセキュリティコードを含む
すべての決済情報を盗まれる
ビジネスへの打撃
・進入手口は不明ながら、残存する脆弱性への対処は必須
・早期に発見し、事業への影響最小化
・事例3:韓国同時多発サイバー攻撃
2013年3月20日
想定される攻撃シナリオ
水のみ場と理解するのが主流
組織内集中管理→不正プログラム
分析ポイント
MBR書き換えは1990年代
集中管理型の盲点
攻撃者が本気になれば、このような攻撃はいくつも考えられる
攻撃者の真の狙いは?本来、もっと深刻になりえた
・気づかないうちに深く進入されていた
・情報漏えいだけでなく、システム破壊、データ破壊の脅威が現実に
・標的型サーバー攻撃は、経営リスク
企業の存続にかかわる経営リスク
組織の存続に直結する
危機管理の視点で
2.サイバー攻撃対策の理解
・セキュリティ脅威の変化
区別して考える:いまどういう脅威
脅威
これまで:怪獣来襲モデル:撃退すればハッピーエンド
これから:悪の秘密結社モデル:ミッションが終わるまでやってくる
対策
これまで:水際防御(ぺりメーター防御)
これから:多層防御(総力戦)
・よくあるサイバー攻撃の流れ
静かに気づかれないように侵入して情報を盗む
・これまでの違い
巧妙に偽装された標的型メールは見つけにくい
やりとりして
→攻撃者がコストかけられる
ターゲット絞込み、事前にわなをしかける
・もし、初期侵入をゆるしてしまうと
内部サーバーの脆弱性
クローズドでもUSBメモリ
シーメンス社のPLC
ノートPCのマルウェア感染
7ヶ月も侵入
・時間をかけて見つからないように
・感染に気づけない
・サイバー攻撃の脅威に対応するために
考え方を変える(リスクを正しく認識する)
まずは想定できる脅威に対応する
危機管理能力を高め、有事に備える
3.有事に備えるCSIRT
・現代に求められる緊急対応組織とは
重要なのは、誰が意思決定を行うのか?
必要な情報をいかにそろえるか?
従来のセキュリティ部門の責務
+
これからのCSIRTに求められる責務
経営レベルで支援できる
・CSIERTの役割
OODAモデル+レディネス(事前準備)
O 監視
O 情勢判断
D 意思決定
A 行動
+事前準備
・CSIRT設置のメリット
高度な脅威に対応する
・CSIRT構築運営のプロセス
チケット管理
富士通クラウドCERT
・【ご参考】
JPSERT CSIRT構築マテリアル RFCベース
・緊急系業務と定常系業務
・情報セキュリティ運用・緊急対応業務
・情報セキュリティマネジメント業務
4.富士通のソリューションのご紹介
・サイバー攻撃時代の危機管理
・SystemWalker Desktop Patrol/Keeper
・ShieldMailChecker 標的型メール対策
・UTM IPCOM EX
・マルウェア検知・対処支援サービス
1.サイバー攻撃事例
・事例1.Java脆弱性を利用した標的型攻撃
2013年2月 Facebook,Apple,Microsoft
Javaサンドボックスをバイパス可能な
ドライブバイダウンロード攻撃
想定される攻撃シナリオ
1.事前プロファイリングで、
アクセスする可能性の高いWebサイト調べる
2.サンドボックスバイパスする0day exploit不正Jarファイル配置
3.開発者にJarファイルを落とさせる
4.マルウェアインストールさせる
→水のみ場攻撃
分析・評価
入り口対策をバイパス
従来:メール
Javaに対する0day
事前プロファイル
・進入手口が以前にも増して巧妙化
・もはや内部進入を前提とした対策は必要不可欠
・事例2.ショッピングサイト決済ページ改ざん
2013年3月14日、大手めがねチェーン
セキュリティコードを含むすべての決済情報転送
2059人のクレジットカード情報、7人悪用
PCIDSSめざす
想定される攻撃シナリオ
Apacheを改ざん
情報転送
→サーバーに格納した情報ではない:PCIDSSに対応してもX
分析評価
SQLインジェクションでは入手困難なセキュリティコードを含む
すべての決済情報を盗まれる
ビジネスへの打撃
・進入手口は不明ながら、残存する脆弱性への対処は必須
・早期に発見し、事業への影響最小化
・事例3:韓国同時多発サイバー攻撃
2013年3月20日
想定される攻撃シナリオ
水のみ場と理解するのが主流
組織内集中管理→不正プログラム
分析ポイント
MBR書き換えは1990年代
集中管理型の盲点
攻撃者が本気になれば、このような攻撃はいくつも考えられる
攻撃者の真の狙いは?本来、もっと深刻になりえた
・気づかないうちに深く進入されていた
・情報漏えいだけでなく、システム破壊、データ破壊の脅威が現実に
・標的型サーバー攻撃は、経営リスク
企業の存続にかかわる経営リスク
組織の存続に直結する
危機管理の視点で
2.サイバー攻撃対策の理解
・セキュリティ脅威の変化
区別して考える:いまどういう脅威
脅威
これまで:怪獣来襲モデル:撃退すればハッピーエンド
これから:悪の秘密結社モデル:ミッションが終わるまでやってくる
対策
これまで:水際防御(ぺりメーター防御)
これから:多層防御(総力戦)
・よくあるサイバー攻撃の流れ
静かに気づかれないように侵入して情報を盗む
・これまでの違い
巧妙に偽装された標的型メールは見つけにくい
やりとりして
→攻撃者がコストかけられる
ターゲット絞込み、事前にわなをしかける
・もし、初期侵入をゆるしてしまうと
内部サーバーの脆弱性
クローズドでもUSBメモリ
シーメンス社のPLC
ノートPCのマルウェア感染
7ヶ月も侵入
・時間をかけて見つからないように
・感染に気づけない
・サイバー攻撃の脅威に対応するために
考え方を変える(リスクを正しく認識する)
まずは想定できる脅威に対応する
危機管理能力を高め、有事に備える
3.有事に備えるCSIRT
・現代に求められる緊急対応組織とは
重要なのは、誰が意思決定を行うのか?
必要な情報をいかにそろえるか?
従来のセキュリティ部門の責務
+
これからのCSIRTに求められる責務
経営レベルで支援できる
・CSIERTの役割
OODAモデル+レディネス(事前準備)
O 監視
O 情勢判断
D 意思決定
A 行動
+事前準備
・CSIRT設置のメリット
高度な脅威に対応する
・CSIRT構築運営のプロセス
チケット管理
富士通クラウドCERT
・【ご参考】
JPSERT CSIRT構築マテリアル RFCベース
・緊急系業務と定常系業務
・情報セキュリティ運用・緊急対応業務
・情報セキュリティマネジメント業務
4.富士通のソリューションのご紹介
・サイバー攻撃時代の危機管理
・SystemWalker Desktop Patrol/Keeper
・ShieldMailChecker 標的型メール対策
・UTM IPCOM EX
・マルウェア検知・対処支援サービス
アクセス
トータル
ランキング
