Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azureのセキュリティインシデントで学ぶセキュリティ

2019/10/31 Azure Tech Lab #5で発表した内容です。
セキュリティ対策、インシデント、Azure Security Centerのお話
https://azure-tech-love.connpass.com/

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

Azureのセキュリティインシデントで学ぶセキュリティ

  1. 1. Azureでのインシデントに学ぶセキュリティ Azure Tech Lab #5 2019.10.31
  2. 2. 1 名前:飯島 憂 @Rikunchuu 所属:神戸デジタル・ラボ セキュリティ事業部 DFIRチーム(&KDL-SIRT) AWS:インシデントがあったら触る Azure:インシデントがあったら触る GCP:インシデントがあったら触る やってること: マウスが勝手に動くよ~ >< というインシデント?から数千台の端末がマルウェアに感染し てしまったインシデントまで日々いろいろな事件と戦ってます。 自己紹介
  3. 3. 2
  4. 4. 3 強そう!!!1
  5. 5. 4 ゴール: セキュリティ面白いやんけやってみよ!と思ってもらう。 内容: 実際のインシデント対応で見てきた攻撃の内容の紹介と、 Azureのサービスを使った検知方法やセキュリティ対策の考え方を 共有します できれば後で、私はこれ知ってます!あれはどう?みたいなことを 情報交換できれば、僕もAzureはまだまだなのでうれしいです 今日のお話
  6. 6. 5 • セキュリティ対策とインシデント • インシデント事例と対策 • 質疑 アジェンダ
  7. 7. 6 • セキュリティ対策とインシデント • インシデント事例と対策 • 質疑 アジェンダ
  8. 8. 7 情報セキュリティとは、情報の「機密性」「可用性」「完全性」を維持すること。 情報セキュリティが脅かされるリスクを分析し、対策を講じ、状態をモニタリングする、 一連のプロセスを繰り返すこと、それを行う体制を運用する。 情報セキュリティ 情報資産 機密性 可用性完全性 リスクの 把握・特定 リスクの 分析・評価 対策の実施 対応 回復 インシデント 発生 許可された人だけが情報にアクセスできる 必要な時に情報にアクセスできる 情報が正しい状態で維持・処理される
  9. 9. 8 NIST SP800-30の概念 リスクとは、発生しうる状況または事象によって対象(組織、情報など)が脅かされる度合 リスク = 事象(脆弱性 * 脅威)が発生した際の負の影響(被害) × 可能性 リスク・脅威・脆弱性 脅威 脆弱性 負の影響 負の影響を発生させる状況 または事象 脅威によって利用されるシス テム、組織に存在する弱点 脅威によって発生した、情 報の破壊、漏洩、可用性の 喪失等による被害の大きさ • 脆弱性を狙った攻撃 • マルスパム • 総当たり攻撃 • 情報搾取 • データの改ざん • システムの故障 • プログラムのバグ • システム設計の欠陥 • 委託先のミス • 特定の通信業者への依存 • 業務プロセスの欠陥 • 金銭的な損失 • ブランドイメージの低下 • 業務の停止、遅延 • インシデント対応におけ るリソース消費
  10. 10. 9 セキュリティリスクの発生確率および被害を低減させるために行う。 NISTのサイバーセキュリティフレームワーク セキュリティ対策 守るべき情報と、その状態を正確に把握、管理する 特定 リスクとなる事象の発生確率を抑える 防御 リスクとなる事象の発生を検知する 検知 リスクによる被害を低減する 対応 リスクによって影響を受けたシステムの復旧と再発防止 復旧
  11. 11. 10 セキュリティ対策 NIST 重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版 IPA翻訳 p23 https://www.ipa.go.jp/files/000071204.pdf
  12. 12. 11 セキュリティ対策 NIST 重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版 IPA翻訳 p23 https://www.ipa.go.jp/files/000071204.pdf
  13. 13. 12 CIS(Center for Internet Security) Controlsは組織がシステムやネットワークを効果的に保護 するために必要な20のセキュリティコントロールを定義したものです。 CIS Controls コミュニティとして、優先的活動の決定や相互サポートを目指して一致団結し、急速に変 化する問題と、無数とも言えるその対応策に臨む必要がありますが、それにあたって持つ べき知識やテクノロジーを最新に保ち続けていくには、一体どうしたらよいでしょうか? 取り組むべき最も重要な領域とは何なのでしょうか。企業はリスク管理プログラムの充実 に向けた第一歩をどう踏み出したらよいでしょうか。新たに起こる例外的脅威をすべて追 跡するのでも、基本事項を怠るのでもなく、むしろ基本事項のロードマップに沿って、評 価と改善の指針を得るにはどうしたらよいでしょうか。最も効果的な防御対策とはどのよ うなものでしょうか。 このような課題に対応することを目的とし、本 CIS Controls は開発され、現在推進されて います。 CIS Controls Version Japanes Translationより引用 https://learn.cisecurity.org/control-download
  14. 14. 13 CIS Control 1:ハードウェア資産のインベントリとコントロール CIS Control 2:ソフトウェア資産のインベントリとコントロール CIS Control 3:継続的な脆弱性管理 CIS Control 4:管理権限のコントロールされた使用 CIS Control 5:モバイルデバイス、ラップトップ、ワークステーションおよび サーバに関するハードウェアおよび ソフトウェアのセキュアな設定 CIS Control 6:監査ログの保守、監視および分析 CIS Control 7:電子メールと Web ブラウザの保護 CIS Control 8:マルウェア対策 CIS Control 9:ネットワークポート、プロトコル、およびサービスの制限および コントロール CIS Control 10:データ復旧能力 CIS Control 11:ファイアウォール、ルータ、スイッチなどの ネットワーク機器のセキュアな設定 CIS Control 12:境界防御 CIS Control 13:データ保護 CIS Control 14:Need‐to‐Know に基づいたアクセスコントロール CIS Control 15:無線アクセスコントロール CIS Control 16:アカウントの監視およびコントロール CIS Control 17:セキュリティ意識向上トレーニングプログラムを実施する CIS Control 18:アプリケーションソフトウェアセキュリティ CIS Control 19:インシデントレスポンスと管理 CIS Control 20:ペネトレーションテストおよびレッドチームの訓練 CIS Controls
  15. 15. 14 Azure CIS
  16. 16. 15 よくサイバーセキュリティは攻撃者が有利といいます ただし、攻撃に気づくことはそこまで難しいことではありません 攻撃者は、製品のバイパスには熱心ですが、めちゃくちゃ足跡を残しています なぜ管理が大事なのか
  17. 17. 16 攻撃者の行動は怪しい JPCERT/CC攻撃者が悪用するWindowsコマンド(2015-12-02) https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html
  18. 18. 17 攻撃者の行動は一般ユーザーと比べると異常 作業すっぞ~ ログインしてっと… あれ、俺のアカウントなんだっけ? こんな時は、whoamiだ!
  19. 19. 18 攻撃者の行動は一般ユーザーと比べると異常 作業すっぞ~ ログインしてっと… あれ、俺のアカウントなんだっけ? こんな時は、whoamiだ! こんな人いない ※もしいたらごめんなさい
  20. 20. 19 攻撃者の行動は一般ユーザーと比べると異常 攻撃者はアンチウィルスソフトに検知されないように、Powershellによるファイルレス攻撃 など(Powershellで攻撃コードをダウンロードしてメモリ上にのみ展開する)をよく利用し ます。 ログを見ればあからさまに怪しいです。
  21. 21. 20 攻撃者の行動は一般ユーザーと比べると異常 ガチャ ガチャ Password Passw@rd 123456 zsedc abcdefg zwert qazse Azure315 … ガチャ ガチャ
  22. 22. 21 セキュリティ is 怖くない • まずはシステム/ネットワークのアセット・コンポーネントをしっかり把握する • 攻撃者の活動は、システムの運用で発生するはずがない痕跡を残す • システムは僕らの城です、攻撃者をあぶりだそう ディフェンス側も有利な点は多い! と、言われても… • ログをずっと監視できないんですけど? • 確かに怪しいけど、他にも怪しい動きをどうやって気づく? • ログの監視基盤をそんなすぐ作れるわけないだろ、いい加減にしろ! と思うじゃん?
  23. 23. 22 みんな大好きAzure! 早速、やっていきましょう
  24. 24. 23 • セキュリティ対策とインシデント • インシデント事例と対策 • 質疑 アジェンダ
  25. 25. 24 ここからは、インシデントの事例をもとにAzureでどのようにイン シデントを検知できるかを紹介します! 検知にはAzure Security Centerを利用します。 https://docs.microsoft.com/ja-jp/azure/security-center/security-center-intro 事例と対策
  26. 26. 25 とある企業 フロアネットワーク 内部サーバネットワーク DMZ 組織内 Web サーバ メール サーバ 人事給与 サーバ Active Directory ファイル サーバ DB サーバ 社員用 端末 社用タブレット 会社貸与携帯 プライベート 携帯 社内無線 LAN インターネット 別拠点 リバース プロキシ VPN サーバ DNS サーバ プリンタ ファイア ウォール 社内 サーバ 社内 サーバ 別拠点 インシデントの舞台 いくつか国内に拠点があり、それぞれを VPNで接続している
  27. 27. 26 とある企業 フロアネットワーク 内部サーバネットワーク DMZ クラウド環境(Azure) 組織内 Web サーバ メール サーバ 人事給与 サーバ Active Directory ファイル サーバ DB サーバ 社員用 端末 社用タブレット 会社貸与携帯 プライベート 携帯 社内無線 LAN アプリサーバ インターネット 別拠点 リバース プロキシ VPN サーバ DNS サーバ プリンタ ファイア ウォール 社内 サーバ 社内 サーバ 別拠点 インターネット サポート 会社 メンテナンス 構築作業 ある日、新しいシステムを導入すること になり、Azureの環境に構築することに なった。
  28. 28. 27 悲劇の始まり 社内の端末に異変が
  29. 29. 28 SORRY…
  30. 30. 29 とある企業 フロアネットワーク 内部サーバネットワーク DMZ クラウド環境(Azure) 組織内 Web サーバ メール サーバ 人事給与 サーバ Active Directory ファイル サーバ DB サーバ 社員用 端末 社用タブレット 会社貸与携帯 プライベート 携帯 社内無線 LAN アプリサーバ インターネット 別拠点 リバース プロキシ VPN サーバ DNS サーバ プリンタ ファイア ウォール 社内 サーバ 社内 サーバ 別拠点 インターネット この企業は、今まで社内はトラストゾーンとして考えており、 拠点間やセグメント間でアクセス制御をしておらず… サポート 会社 メンテナンス 構築作業
  31. 31. 30 大惨事 フロアネットワーク 内部サーバネットワーク DMZ クラウド環境(Azure) サポート 会社 組織内 Web サーバ メール サーバ 人事給与 サーバ Active Directory NASDB サーバ 社員用 端末 社用タブレット 会社貸与携帯 プライベート 携帯 社内無線 LAN アプリサーバ メンテナンス 構築作業 インターネット 別拠点 リバース プロキシ VPN サーバ DNS サーバ プリンタ ファイア ウォール 社内 サーバ 社内 サーバ 別拠点 インターネット
  32. 32. 31 大惨事 フロアネットワーク 内部サーバネットワーク DMZ クラウド環境(Azure) サポート 会社 組織内 Web サーバ メール サーバ 人事給与 サーバ Active Directory NASDB サーバ 社員用 端末 社用タブレット 会社貸与携帯 プライベート 携帯 社内無線 LAN アプリサーバ メンテナンス 構築作業 インターネット 別拠点 リバース プロキシ VPN サーバ DNS サーバ プリンタ ファイア ウォール 社内 サーバ 社内 サーバ 別拠点 インターネット 全端末 ランサムウェア 感染
  33. 33. 32 暗号化されてしまったいくつかの端末を調査したところ、全端末にAzureのサーバからログ オンされた痕跡が見つかりました。 被害が広まってしまった原因 • 推測しやすいパスワードが設定されていた • Azure上のサーバでRDPをアクセス制御なしでインターネットに公開してしまっていた • Azure上のサーバから社内ネットワークへのアクセス制御をしていなかった • 各端末のホストFWは無効になっていた 攻撃の流れ • RDPの総当たり攻撃によって侵入される • より強い権限を奪取するためにサーバに潜伏し、定期的にパスワード奪取を試みる • 奪取した特権アカウントを使ってネットワークを探索し、ターゲットを選定する • 一気に暗号化を行い大ダメージを与える これらの攻撃を再現してみました インシデントの内容
  34. 34. 33 RDP総当たり パスワードの総当たり攻撃
  35. 35. 34 Powershell実行 Powershellでmimikatzの実行
  36. 36. 35 別の端末へネットワーク越しにPAEXEC
  37. 37. 36 Security Centerの脅威一覧 もちろんSecurityCenterで検知していました
  38. 38. 37 総当たり攻撃の検知
  39. 39. 38 Powershellの検知 Base64でエンコードされている、実際に実行されたスクリプトを表示してくれている
  40. 40. 39 Powershellの検知 信頼度というセクションがあり、このイベントを疑わしいと判断した観点が記載される • 24時間以内にMalwareが検出されており、その後にこのイベントが発生した • このサブスクリプション内の複数のマシンで同様のイベントを検出した
  41. 41. 40 PAEXEC(リモート端末上でコマンドを実行するツール) PSEXEC、WIMEXECは検出しなかった 別の端末へネットワーク越しにPAEXEC
  42. 42. 41 SecurityCenterのプラン Free Stasndard 総当たりやPowershellのアクティビティは 「SecurityDetection」として保存されており、 Standardプランのスキームにのみ存在しています
  43. 43. 42 他にも攻撃者のアクティビティを検知したい • 侵害された端末からの探索行為 • Azure環境以外への(物理マシンなど)攻撃 更なる検知
  44. 44. 43 Azure Log Analytics 任意のEventLogを収取でき、Splunkのようなクエリ言語で様々なルールを設定できる インストーラーがあるので、Azure上のVM以外も収集可能!SIMEのような使い方ができる ちょっと収集するログのフィルターが弱い
  45. 45. 44 Microsoft Threat Modeling Tool まさにAzure on SIEM!今年の9/24に一般公開
  46. 46. 45 Azure Sentinel Windows EventLogやsyslogはもちろん、サードパーティサービスもいくつか選択可能
  47. 47. 46 Azure Sentinel Threat Huntingのクエリがデフォルトで多く存在しており、攻撃者のどういったアクティビ ティを探すクエリなのかも記載がありかなりイケているのでは(流行りのAtt&ck)
  48. 48. 47 そもそも今回のインシデントは、予防も容易ではないでしょうか 被害が広まってしまった原因 • 推測しやすいパスワードが設定されていた • 強固なパスワードの仕様 • 重要なサーバに関してはMFAの仕様 • Azure上のサーバでRDPをアクセス制御なしでインターネットに公開してしまっていた • 今回のケースで言えば、アクセス元の制御をすればOK • Azure上のサーバから社内ネットワークへのアクセス制御をしていなかった • OutBoundはあまり注目されませんが、セキュリティグループでアウトバウンドを絞る • 侵害されたとしても、影響範囲を軽減 • 各端末のホストFWは無効になっていた • 有効にして 検知にフォーカスしていましたが、、、 皆さんが当たり前にしている(であろう)運用がとても大事 基本的な管理がセキュリティの基盤を作ります! そのうえで、SecurityCenterのような検知のツールを使えば、 被害が広がる前に攻撃者の普通ではない行動をとらえられます
  49. 49. 48 各システムやネットワークによって、脅威は異なります。 事前に自分たちのシステムに、どういった脅威の影響を受けるかを検討しておくことで、 よりセキュリティ対策の品質を上げることができます。 Microsoft社が公開してくれている、Microsoft Threat Modeling Tool を使えば、アセットと データフローを設定すると自動的に脅威をリストしてくれます。 Azureのアセットにももちろん対応! 少しでも、セキュリティに前向きになってもらえたら幸いです。 補足:脅威分析
  50. 50. 49 脅威分析 Microsoft Threat Modeling Tool https://docs.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-releases-71509112

    Be the first to comment

  • satonaoki

    Jul. 18, 2020

2019/10/31 Azure Tech Lab #5で発表した内容です。 セキュリティ対策、インシデント、Azure Security Centerのお話 https://azure-tech-love.connpass.com/

Views

Total views

477

On Slideshare

0

From embeds

0

Number of embeds

10

Actions

Downloads

5

Shares

0

Comments

0

Likes

1

×