インシデント対応
インシデント発生検知から対応の流れまでを学習する。
第1章 インシデントハンドリングの前に
- PSIRT(Product Security Incident Response Team) 自社製品やサービスのセキュリティレベル向上やインシデント対応を行う組織
- 「情報セキュリティ10大脅威 2020」を公開。対応しなくてはならない脅威は組織によって異なる。
- 脅威とは「本来行われるべきではない行為によって、組織に負の影響をもたらすこと」
- 脅威は外部からだけでなく、内部からも発生する。
- インシデントマネジメントとは、インシデントに対してCSIRTが行う一連の業務の総称。
- セキュリティインシデントとは
- 組織のセキュリティポリシーやコンピュータ利用規定に反するもの
- イベントによって検知されることがある
- 組織によって「セキュリティインシデントとは何か」は異なる
- CSIRT ガイド
第2章 インシデントハンドリングの実務
- インシデントハンドリングの流れ(準備>検知分析>封じ込め(根絶 復旧)>事後の対応)
- NIST コンピュータセキュリティインシデント処理ガイド
- 準備フェーズで行うこと
- インシデント処理に必要なツール、リソースの準備
- 起こった事象を分析する為のツール
- 起こった事象を根絶、復旧させる為のツール
- インシデント処理の関係者へのエスカレするための設備
- 発生した事象を分析する為の各種情報
- リスクアセスメントやリスクベースのセキュリティ対策などの予防
- 対応計画や体制
- ホストセキュリティ
- ネットワークセキュリティ
- マルウェア対策
- ユーザの意識向上とトレーニング
- 構成情報管理
- 情報収集体制の整備、外部連携の土台作り
- 検知・分析フェーズで行うこと
- インシデントの前兆・兆候を検知
- インシデントの分析
- インシデントの文書化
- インシデントハンドリングの優先順位付け
- 関係者への通知
- [手掛かり]→[IOCの作成]→[IOCの配備]→[被疑箇所特定]→[書庫集め]→[データ分析]→[IOCの作成へ戻る]
- IOC(Indicator of Compromise)侵害指標や痕跡情報(セキュリティ侵害インジケーターと呼ばれることも)。サイバー攻撃の痕跡を記録しデータベース化して技術仕様として活用する。
- 「アラート」や「ログ」といった客観的なデータが重要であり、「人」からの情報など主観が混じるものは排除する
- 封じ込め・根絶・復旧フェーズで行うこと
- 封じ込め戦略の選択
- 証拠の収集と処理
- 攻撃者の特定
- 根絶と復旧
- 封じ込めと根絶、復旧のアクションを開始するタイミングが重要な理由
- 早すぎると被害状況把握が不十分な可能性がある。
- 遅すぎると攻撃者がツールや戦術を変更してくる可能性がある。
- 事後の対応フェーズ
- 教訓の取りまとめ
- 集めた情報の利用
- 証拠の保管
第3章 組織内外との連携
- 製品へのセキュリティインシデントのハンドリング
- IoTなどの普及に伴い、製品のインシデントハンドリング体制であるPSIRTの設置が進んでいる。
- 『PSIRT Services Framework』
- 脆弱性対
- 社外との連携
- コミュニティへの参画
- 信頼関係
- 信頼の輪
- PSIRTとCSIRTの違い
- 活動の中心が自社製品のセキュリティ
- 連携先に「上流」と「下流」の概念が存在
- 上流は自社製品のための部品やソフトウェアの調達先となる組織や個人。
- 下流は自社のアウトプットを自らの背品の一部として利用する組織や個人。
- 他社のPSIRTだけでなく他社のCSIRTとも連携
- 脆弱性情報の取り扱いが重要になる
- 幅広くリリースされた自社製品が対象であることより、脆弱性情報の受付と対応が重要となる。
コメント
コメントを投稿