2021年11月27日(土曜日)
インフラセキュリティな関する勉強会を開催しました。
■概要
インフラセキュリティについて、
サイバー攻撃の種類から対策、ログやAWSなど、幅広く説明
■サイバー攻撃の傾向
以前は脆弱性を突いたり不正利用が多かったが、
最近はランサムウェアなどの感染・乗っ取り系が増えている
テレワークなどのニューノーマルな働き方で、
VLANを狙った攻撃もある
傾向を掴んで対策していくことが大事!
■攻撃の種類
特定のターゲットを狙った攻撃(標的型攻撃)・・・キーロガーなど
不特定多数のターゲットを狙った攻撃・・・フィッシング詐欺など
負荷をかける攻撃・・・DoS攻撃、F5アタックなど
パスワード関連のサイバー攻撃・・・リスト攻撃など
★DNSキャッシュポイズニング
ネームサーバーの情報を不正なものにして、
自分がアクセスしているはずのページと
違うところに行ってしまったり、
メールが変なところへ飛んでしまったりする
★ポートスキャン攻撃
サーバーの調査、攻撃の事前準備
フリーツールのNmapが使われる
■セキュアコーディング、セキュアな運用
★セキュアコーディング
脆弱性のないソフトウェアを用意することが重要だが、バグのないプログムはない
★セキュアな運用
・ソフトウェアを常に最新化
・不要なアプリケーションの除外、不要な設定やサービスの無効化
→余計なものが立ち上がっていない状態にする必要がある(Nmapでチェック可能)
・デフォルト(標準状態)のアカウントやパスの変更、無効化
*IPA(独立行政法人 情報処理推進機構)・・・重要なセキュリティの情報があるのでチェック
■対策(ソフトウェア、アプライアンス等)
・SSLとTLS
SSL:暗号化通信(https)を実現しているもの
TLS:SSLの次世代規格
スニファー:通信経路を傍受するソフトウェア、httpだと丸わかり
・IPS
不法侵入防止システム
ネットワークやサーバーを監視し、不正なアクセスを検知して通信を遮断するもの
・IDS
不正侵入検知システム
不正な通信を検知しても通信自体は許可する
・ファイアウォール(Fw)
信頼できない外部ネットワークの攻撃から内部ネットワークを保護するシステム
主に外部ネットワークと内部ネットワークの中継地点に設置され、
必要な通信は通過させ、不要な通信を遮断する
ソフトウェアや専用機器など様々なタイプがある
・ゲートウェイ型アンチウィルス
ネットワークゲートウェイで遮断する
個別にアンチウィルスソフトなどを入れなくても良いので効率的
・コンテンツフィルタリング
プロキシサーバーの機能のひとつ
危険なサイトなどを閲覧できないようにする設定
*対策を組み合わせて多層防御を敷くことが重要
*クラウド(SaaS/PaaS)を活用すると、コスパが良い
■運用(セキュリティログ分析)
★ログに記録すべきこと
「いつ:日時
誰が:ユーザーID
何処から:IPアドレス
何を用いて:ユーザーエージェント
何をして:リクエストURL
どうなった:結果
利用者の導線:Referer
一連の操作:セッションID」
■ログ解析基盤
「Kibana」
・Elasticsearch、Elastic Stackのユーザーインターフェース
・ダッシュボードがありアクセス状態をグラフ化
・Elasticsearchを使って特定のログを検索、そのログを集計してグラフ化
・アラートを飛ばす
解析にKibanaを使うことが増えているが、他ツールや
Pythonなどでログ解析ツールを書いてしまうパターンもよくある
*オンプレミスだとFluentd、AWSだとKinesisを使うパターンが多い
・Fluentd→Elasticsearch→Kibana
・CloudWatch→Kinesis→S3→ファイル(他ツールや自前で解析)
・CloudWatch→Kinesis→Elasticsearch→Kibana
■AWSセキュリティ
★AWSセキュリティ基礎
https://www.youtube.com/watch?v=nUDCR6GZhkE&list=PLCRz5JqTKzfnGpAKqwXlLMWwAAZW2xs43&index=2
★AWS環境における脅威検知と対応 AWS Summit Tokyo 2019
https://www.youtube.com/watch?v=e_Cf-aPBLtM
■概要
インフラセキュリティについて、
サイバー攻撃の種類から対策、ログやAWSなど、幅広く説明
■サイバー攻撃の傾向
以前は脆弱性を突いたり不正利用が多かったが、
最近はランサムウェアなどの感染・乗っ取り系が増えている
テレワークなどのニューノーマルな働き方で、
VLANを狙った攻撃もある
傾向を掴んで対策していくことが大事!
■攻撃の種類
特定のターゲットを狙った攻撃(標的型攻撃)・・・キーロガーなど
不特定多数のターゲットを狙った攻撃・・・フィッシング詐欺など
負荷をかける攻撃・・・DoS攻撃、F5アタックなど
パスワード関連のサイバー攻撃・・・リスト攻撃など
★DNSキャッシュポイズニング
ネームサーバーの情報を不正なものにして、
自分がアクセスしているはずのページと
違うところに行ってしまったり、
メールが変なところへ飛んでしまったりする
★ポートスキャン攻撃
サーバーの調査、攻撃の事前準備
フリーツールのNmapが使われる
■セキュアコーディング、セキュアな運用
★セキュアコーディング
脆弱性のないソフトウェアを用意することが重要だが、バグのないプログムはない
★セキュアな運用
・ソフトウェアを常に最新化
・不要なアプリケーションの除外、不要な設定やサービスの無効化
→余計なものが立ち上がっていない状態にする必要がある(Nmapでチェック可能)
・デフォルト(標準状態)のアカウントやパスの変更、無効化
*IPA(独立行政法人 情報処理推進機構)・・・重要なセキュリティの情報があるのでチェック
■対策(ソフトウェア、アプライアンス等)
・SSLとTLS
SSL:暗号化通信(https)を実現しているもの
TLS:SSLの次世代規格
スニファー:通信経路を傍受するソフトウェア、httpだと丸わかり
・IPS
不法侵入防止システム
ネットワークやサーバーを監視し、不正なアクセスを検知して通信を遮断するもの
・IDS
不正侵入検知システム
不正な通信を検知しても通信自体は許可する
・ファイアウォール(Fw)
信頼できない外部ネットワークの攻撃から内部ネットワークを保護するシステム
主に外部ネットワークと内部ネットワークの中継地点に設置され、
必要な通信は通過させ、不要な通信を遮断する
ソフトウェアや専用機器など様々なタイプがある
・ゲートウェイ型アンチウィルス
ネットワークゲートウェイで遮断する
個別にアンチウィルスソフトなどを入れなくても良いので効率的
・コンテンツフィルタリング
プロキシサーバーの機能のひとつ
危険なサイトなどを閲覧できないようにする設定
*対策を組み合わせて多層防御を敷くことが重要
*クラウド(SaaS/PaaS)を活用すると、コスパが良い
■運用(セキュリティログ分析)
★ログに記録すべきこと
「いつ:日時
誰が:ユーザーID
何処から:IPアドレス
何を用いて:ユーザーエージェント
何をして:リクエストURL
どうなった:結果
利用者の導線:Referer
一連の操作:セッションID」
■ログ解析基盤
「Kibana」
・Elasticsearch、Elastic Stackのユーザーインターフェース
・ダッシュボードがありアクセス状態をグラフ化
・Elasticsearchを使って特定のログを検索、そのログを集計してグラフ化
・アラートを飛ばす
解析にKibanaを使うことが増えているが、他ツールや
Pythonなどでログ解析ツールを書いてしまうパターンもよくある
*オンプレミスだとFluentd、AWSだとKinesisを使うパターンが多い
・Fluentd→Elasticsearch→Kibana
・CloudWatch→Kinesis→S3→ファイル(他ツールや自前で解析)
・CloudWatch→Kinesis→Elasticsearch→Kibana
■AWSセキュリティ
★AWSセキュリティ基礎
https://www.youtube.com/watch?v=nUDCR6GZhkE&list=PLCRz5JqTKzfnGpAKqwXlLMWwAAZW2xs43&index=2
★AWS環境における脅威検知と対応 AWS Summit Tokyo 2019
https://www.youtube.com/watch?v=e_Cf-aPBLtM
