標的型攻撃対策をまとめたIPA「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」
IPAで昨年11月に公開された、『新しいタイプの攻撃』の対策に向けた設計・運用ガイド 改定第2版を読んだ。
「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開:IPA 独立行政法人 情報処理推進機構
APT(Advanced Persistent Threat)攻撃などのいわゆる持続的標的型攻撃に関して、
それら脅威の分類と対策方法について分かりやすく解説されている。
また企業のどの役割のチームが何の対策を分担するべきかという指針や、
脅威対策の作業工程WBSまで付録されている。
このドキュメントが一般に広く読まれる事を願う。
以下内容についての自分用メモ。
従来はFWやIPSなどの“入り口”対策のみだったが、攻撃の巧妙化により完全な防御は不可能。
バックドア通信:HTTPや独自プロトコル、RATによる通信が行われる。
最悪攻撃者に侵入されても、
ウイルスと攻撃者のC&Cサーバ(Command & Control)との通信を遮断し
情報を盗み出される前に防御する“出口対策”が重要。
<対策>
- FWの外向き通信遮断ルール
FWとプロキシ二段構えにしたネットワーク設計での対応。
図4−5−1−1に内部プロキシと外部プロキシを設置しFWをかませる設計例がある。
- httpの通信パターン検知遮断
JavaScriptやMETAタグでリダイレクトさせてウイルスの通信応答できないようにする等の案。
クライアント端末側の対策は追加調査とのこと。
- RAT(Remote Administration Tool/Remote Access Trojan)の内部proxy通信の検知遮断
RAT:システムに侵入し遠隔から操作する潜伏活動。代表的なものにPoison iby, Gh0st RATなど。
独自プロトコルで、connectコマンドでHTTPプロキシ越え、Socks越えする。
対策は特徴的な挙動をルール化して遮断。
- 容量負荷監視による観戦動作の検出
サーバに対しSNMPで定期的に監視またはエージェントを常駐させる。
- ネットワークの分離設計
最重要部のセグメント分離、サーバの保護、P2P到達範囲の限定(不要なRPC通信を排除)など。
それぞれ設計指針が図解されているので詳しくはドキュメントを参照。
- 作者: 独立行政法人情報処理推進機構
- 出版社/メーカー: 独立行政法人 情報処理推進機構
- 発売日: 2011/06/06
- メディア: 単行本(ソフトカバー)
- 購入: 3人 クリック: 27回
- この商品を含むブログ (1件) を見る
