O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

2

Compartilhar

ネットワークから見た脆弱性リスク可視化とその対策

Internet Week 2018のランチセミナーでお話しした内容です。

ネットワークから見た脆弱性リスク可視化とその対策

  1. 1. ネットワークから見た 脆弱性リスク可視化とその対策 2018年12月25日 株式会社テリロジー コンサルティング&ソリューション技術統括部 山内 洋征
  2. 2. お話しさせて頂く内容 2 • 当社のネットワークリスク分析サービスについて、 ご紹介させて頂きます • 脆弱性を持つホストについて、 ネットワークから見た観点でリスクを可視化します
  3. 3. 3 脆弱性とは
  4. 4. 脆弱性とは (総務省ホームページより抜粋) • コンピュータのOSやソフトウェアにおいて、プログラムの不具 合や設計上のミスが原因となって発生した情報セキュリティ上 の欠陥のこと • 脆弱性が残された状態でコンピュータを利用していると、不正 アクセスに利用されたり、ウイルスに感染したりする危険性が ある • 脆弱性は完全に対策を施すことが困難であり、次々と新たな脆 弱性が発見されている 4
  5. 5. 5 簡単に言うと プログラムのバグや設定などの不備の中で 悪用できるもの
  6. 6. 0 2000 4000 6000 8000 10000 12000 14000 16000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 LOW MEDIUM HIGH NIST NVD 脆弱性数推移 6 6,447 14,645 14,769 2017年の脆弱性発見数は14,645件となり2倍以上に増加 2018年は2018/12/25時点で14,769件 CVSS v2.0 Ratings Severity Base Score Range LOW 0.0-3.9 MEDIUM 4.0-6.9 HIGH 7.0-10.0 Distribution NIST NVD(National Vulnerability Database) CVSS Severity Distribution Over Time https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time 3,864 9,367 1,538 4,317 8,912 1,416 2,469 3,359 619
  7. 7. IPA 情報セキュリティ10大脅威 2018 7 IPA 情報セキュリティ10大脅威 2018 https://www.ipa.go.jp/security/vuln/10threats2018.html
  8. 8. 発見される脆弱性は増えている。 脆弱性への脅威も増している。 脅威への対応リソースは不足している。 8
  9. 9. 対策は簡単にできるのか? 9
  10. 10. 脆弱性への攻撃と対策 10 脆弱性 • 更新プログラムが提供される • 次々と新たな脆弱性が発見される • パッチング作業の遅れ 攻撃 完全な対策は難しい
  11. 11. お客様が抱える課題 • 脆弱性対策の必要性は高まっているが、対応リソースは限 られている • 発見した脆弱性にどう対応/対策してよいのか判断が難しい • 日々発見される新たな脆弱性への対応に手間がかかる • 潜在的に存在するリスク(不正なアクセス経路や想定外の 攻撃経路など)の対策にリソースを割けない 11
  12. 12. 12 お客様は脆弱性対策に 疲弊していないか。
  13. 13. 脆弱性診断とは 13
  14. 14. 14 「プログラムのバグの中で悪用が可能なもの」 「セキュリティ機能の不足」 (セキュリティレベルが向上する対策が実装されていない) これらを発見して適切な対策を行えるようにすることが 脆弱性診断
  15. 15. 中期計画の策定における対策レベル 情報:デロイトトーマツ レピュテーション モニタリング ソーシャル ポリシー策定 フォレンジック (初動対応) フォレンジック (詳細解析) エンタープライズ フォレンジック 脅威情報収集 脅威情報の活用 インテリジェンス の共有 教育 訓練 部門横断的な サイバー演習 他組織を含む サイバー演習 基本的対策 IPS、NGF導入 脆弱性診断 脆弱性管理 脆弱性 モニタリング 自動的な 脆弱性管理 窓口設置 ルール整備 インシデント対応 ログ管理 監視 CSIRT運用 外部組織との連携 対策レベル Level 1 Level 2 Level 3 Level 4 Level 5 都度対応 反復できる管理 標準化された管理 定量的な管理 自発的・最適化 現状 2020年 高度・効果的なセキュリティ対策 能 動 的 な セ キ ュ リ テ ィ 対 策 15
  16. 16. 脆弱性対応のパラダイムシフト 脆弱性診断 • 1・2回/年の実施 • 時点診断 • 時点分析 • 公開サーバ中心の診断 現状 2017-19 2020~ 脆弱性情報管理 • 週・月・四半期・適宜の実施 • 継続診断 • 経過分析 • 公開サーバ、内部サーバ、クラ イアント、ネットワーク機器な どの診断 • SIEMとの連動 脆弱性リスク管理 • 定期・適宜・リアルタイム • 継続監視 • ベースライン&リスク分析 • 公開サーバ、内部サーバ、クラ イアント、ネットワーク機器な どの診断 • GRC、SIEM、チケット管理と の連動 • CSIRT運用 16
  17. 17. 分類 適用範囲 ネットワーク脆弱性診断 ・ハードニング(ベストプラクティス) ・ポートスキャンによる応答、到達性評価 ・ネットワークのアクセス経路可視化 ・ネットワーク上のリスクの可視化 ・ACL/FWルール/クラウド環境のアクセスルール可視化 ・セキュリティポリシー評価 (※これらが実施できる診断は少ない) プラットフォーム脆弱性診断 ・ポートスキャンによる応答、到達性評価 ・OS、ミドルウェアのバージョンチェック ・OS、ミドルウェアのハードニング(ベストプラクティス) アプリケーション脆弱性診断 ・アプリケーションの脆弱性チェック ・OSコマンド/SQLインジェクション ・クロスサイトスクリプティング ・パラメータ改ざん ・パストラバーサル ・セッション・フィクセーション など ペネトレーションテスト ・攻撃演習(疑似攻撃) 脆弱性診断の分類 17 実施業者が最も多い ツール利用、手動、コード診断など 多岐にわたる 当社サービスのカバレッジ 当社対応可 当社対応可
  18. 18. 18 不正なアクセス経路を発見し、 ネットワークの視点からリスクの高い脆弱性の対策が可能 脆弱性への対策 ネットワーク 脆弱性診断 プラットフォーム 脆弱性診断
  19. 19. ネットワークリスク分析サービスご提供イメージ お客様環境 診断対象 サーバ群 弊社サービス提供範囲 弊社オペレータ 脆弱性診断システム コンフィグ/ルーティング /L2情報取得、脆弱性スキャン 診断対象 NWデバイス 脆弱性スキャン スキャン結果 情報取得 分析結果レポート 対策フォローアップ お客様 ご担当者 19 プラットフォーム 脆弱性診断 ネットワーク 脆弱性診断 対策実施
  20. 20. 20 ネットワーク構成の可視化 脅威ネットワークからのアクセスパス可視化 不正経路の確認 脆弱性を持つホストへの脅威分析 守るべきホストの優先順位付け 定期診断によりセキュリティを強化 踏み台攻撃によるリスクの可視化 対応リソースが限られている 脆弱性への対応/対策 日々発見される脆弱性への対応 潜在的なリスクへの対策 改善策を提示、対策のフォローアップ実施 お客様の課題 解決へのアプローチ お客様の課題と解決へのアプローチ
  21. 21. 21 ネットワーク構成の可視化 AWS環境 Internet DMZ コア 境界NW 社内NW 重要資産 Microsoft Azure VMWare NSX Cisco ACI NW機器/クラウド環境/仮想環境の設定情報からネットワーク構成を可視化
  22. 22. ネットワーク構成の可視化 • 期待できる効果 • ネットワーク機器のコンフィグファイルから物理デバイス/仮想ルータ 含めネットワーク構成を可視化 • クラウド/仮想化環境も管理コンソールなどから情報取得を行いネット ワーク構成を可視化 • 物理/仮想ネットワークとクラウド/仮想化環境を統合したネットワー ク構成図の作成とネットワーク構成の把握が可能 22
  23. 23. 脅威ネットワークからのアクセスパス可視化 23 脅威のあるネットワークからのアクセス経路を可視化 インターネットから社内NWへ 直接アクセス可能な 想定していないアクセス経路を発見 ルーティングテーブル/アクセスリスト/ファイアウォールルール/NATなどの設定を元に経路を分析
  24. 24. 脅威ネットワークからのアクセスパス可視化 • 期待できる効果 • 脅威ネットワークから実ネットワーク(物理デバイス/仮想ルータ)へ のアクセスパスの検証 • 脅威ネットワークからクラウド/仮想化環境へのアクセスパスの検証 • 脅威ネットワークから到達可能なネットワークの精査および、 外部 ネットワークとの通信ポリシー(あるべき姿)の確認 24
  25. 25. 不正経路の確認 25 右クリックでドリルダウン表示 Access fromを選択
  26. 26. 不正経路の確認 26 インターネットから社内NWへ 直接アクセス可能な 想定していないアクセス経路を発見
  27. 27. 不正経路の確認 27 対象の経路をクリック Access Detailを選択 経路の詳細を表示
  28. 28. 不正経路の確認 28 対象の経路を選択 Detailed Pathを選択
  29. 29. 不正経路の確認 29 対象間のネットワーク経路を表示 経路上のデバイスに設定されているACLやNAT設定の一覧
  30. 30. 不正経路の確認 30 不正経路を許可している設定
  31. 31. 不正経路の確認 31 選択状態で右クリック show in config fileを選択 Configファイル内の問題の箇所が表示される
  32. 32. 不正経路の確認 • 期待できる効果 • 実ネットワーク(物理デバイス/仮想ルータ)からクラウド/仮想化環 境へのアクセスパスの検証 • クラウド/仮想化環境から実ネットワーク(物理デバイス/仮想ルー タ)へのアクセスパスの検証 • 実ネットワークとクラウド/仮想化環境間で到達可能な通信の精査およ び、 通信ポリシー(あるべき姿)の確認 32
  33. 33. 脆弱性を持つホストへの脅威分析 33 脅威ネットワークから 直接攻撃可能な社内セグメント 矢印を選択 Vulnerabilities 攻撃可能なホストと脆弱性の情報を表示 ネットワークから見てアクセス可能な脆弱性を可視化 ※脆弱性情報は脆弱性スキャナから得た情報を利用
  34. 34. 脆弱性を持つホストへの脅威分析 • 期待できる効果 • 脅威ネットワークから攻撃可能な脆弱性を発見し、優先的に対応が必 要な脆弱性の洗い出しが可能 • コンフィグ情報から可視化したアクセス経路と脆弱性スキャナで発見 した脆弱性情報の紐づけを実施するため、漏れなく正確なリスクの分 析が可能 • 外部ネットワークから脆弱性スキャンを行わなくても可視化が可能 34
  35. 35. 踏み台攻撃によるリスクの可視化 35 脅威ネットワークから攻撃を受けた場合の内部ネットワークへのリスク可視化 重要資産 重要資産への踏み台攻撃を可視化
  36. 36. 踏み台攻撃によるリスクの可視化 • 期待できる効果 • 脅威ネットワークから直接攻撃可能な脆弱性について、内部ネット ワークへの踏み台攻撃の脅威を加味して対応優先順位付けが可能 • 内部ネットワークのリスクを可視化することで、アクセスコントロー ルなどの必要な対策が可能 • 通常の脆弱性診断では気付かなかった潜在リスクの可視化が可能 36
  37. 37. レベルⅢ(危険) CVSSスコア 7.0~10 ④パッチ適用や アクセスコントール などで回避 ② ① レベルⅡ(警告) CVSSスコア 4.0~6.9 対応しない ⑤ ③ レベルⅠ(注意) CVSSスコア 0.0~3.9 対応しない 対応しない 対応しない 脅威NWから到達不可 脅威NWから攻撃可能な脆弱性 脅威NWから攻撃可能な脆弱性 踏み台攻撃が可能なホスト 守るべきホストの優先順位付け 37 ①最優先対応 ②要対応 ③~⑤は対応検討 パッチ適用、アクセスコントロールでの回避や対応しないなど ネットワーク脅威 CVSSスコア 対応方針の例
  38. 38. 守るべきホストの優先順位付け • 期待できる効果 • 脅威ネットワークから直接攻撃可能な脆弱性、内部ネットワークへの 踏み台攻撃の可否で優先順位付けが可能 • 脆弱性スキャン結果とネットワーク機器などのコンフィグ情報から得 られた情報を元に分析が可能 • 公開されていないシステムへの対策については、内部ネットワークか らの脅威も分析した上で対策の判断が可能 38
  39. 39. 改善策の提示、対策のフォローアップ 39 サンプルレポート Untrustからの脅威パスや考察 Untrustから脆弱性を直接攻撃可能なアクセス経路 直接攻撃、踏み台攻撃リスクを考慮したレポート
  40. 40. 改善策の提示、対策のフォローアップ 40 サンプルレポート ネットワークデバイスの セキュリティ強度の低い設定を検出し、対策を提示 ベストプラクティスチェック結果サマリ ネットワークデバイスのベストプラクティスチェック
  41. 41. 改善策の提示、対策のフォローアップ 41 サンプルレポート 脅威ネットワークから攻撃可能なホストや踏み台攻撃リスクのあるホストの対策レポート 脅威ネットワークから直接攻撃が可能な脆弱性を持つホストを抽出し、 踏み台攻撃のリスクを加味した上で分析結果をレポート リスクスコアベースで優先度の高い脆弱性への対策も併せてご説明
  42. 42. 改善策の提示、対策のフォローアップ • 期待できる効果 • 脅威ネットワークから攻撃可能な脆弱性、踏み台攻撃の可視化と対策 を提示 • プラットフォーム脆弱性診断結果から、直接攻撃が可能なホストを抽 出し、踏み台攻撃のリスクを加味した上でお客様に最適な脆弱性対策 を提示 • 分析結果のレポート後、対策実施までのフォローアップを実施 42
  43. 43. 定期診断によりセキュリティを強化 43 ご提供内容 期待される効果 ・プラットフォーム脆弱性診断 - グローバル/ローカルIPスキャン、ハードニング ・ネットワーク脆弱性診断 - ネットワーク構成可視化 - 脅威NWからのアクセス経路可視化、踏み台攻撃リスク分析 - ベストプラクティスチェック - 重複IPアドレス精査、FWルールチェック ・分析結果レポート作成、ご報告会 ・脆弱性対策フォローアップ 【オプション】 ・クラウド/SDN環境を含めたNW診断、ペネトレーションテスト ・ネットワーク構成の棚卸 ・デバイスハードニング ・重複IPアドレスの対策 ・不要FWルールの確認 ・不正なアクセス経路の検出 ・踏み台攻撃によるリスクの可視化 ・脆弱性を持つホストへの脅威分析 ・守るべきホストの優先順位付け ・効率的な脆弱性対策の実施 初回限定のスタートアップと年間でのご契約の2種類を提供
  44. 44. 定期診断によりセキュリティを強化 • 期待できる効果 • 定期実施を行うことで新たな脆弱性に対応し、ネットワーク構成の変 更にも対応が可能 • お客様の希望する頻度でのリスク分析と対策実施が可能 • 前回分析結果との比較を行い、お客様環境の対策状況、改善状況の確 認が可能 44
  45. 45. まとめ 45 対応リソースが限られている 脆弱性への対応/対策 日々発見される脆弱性への対応潜在的なリスクへの対策 お客様の課題 ネットワークリスク分析サービスで解決
  46. 46. お問い合わせ E-mail:vrm-sol@terilogy.com テリロジー 「半公式」エンジニアブログ(仮) http://terilogy-tech.hatenablog.com 46
  • kazumakawahashi

    Jul. 26, 2020
  • Terilogy-CnSTech

    Dec. 26, 2018

Internet Week 2018のランチセミナーでお話しした内容です。

Vistos

Vistos totais

928

No Slideshare

0

De incorporações

0

Número de incorporações

367

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

2

×