ホログラフィック回折イメージングの実験的実証のための5 めるスリットの先端が鋭く加工されていることが 分かる。 5 まとめ HERALDOの実験的実証のためのナノメートルサ
パリのテロ事件で遭遇した実際のサイバー攻撃から...
-
Upload
kazutaka-goto -
Category
Technology
-
view
1.294 -
download
0
Transcript of パリのテロ事件で遭遇した実際のサイバー攻撃から...
Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー
パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための
3つの実装ポイントアイレット株式会社
後藤 和貴
2016.3.10
後藤 和貴@kaz_goto
執行役員 / エバンジェリスト
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ…
☁ バックグラウンド • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
認証・セキュリティの取り組み
+セキュリティルーム
ICMS-PCI0162/PCI DSS
ICMS-PCI0162/PCI DSS
PCI DSSICMS-PCIxxxx
PCI DSS監査証明マーク PCI DSSロゴマーク
PCI DSSICMS-PCIxxxx
※写真はイメージです
• 米国公認会計士協会(AICPA)が定める、財務報告目的以外の受託サービスに関する内部統制の保証報告書
• 監査法人や公認会計士が独立した第三者の立場から、客観的に検証した結果を記載したもの
• AWS上でのSOC2受領は日本初!
SOC2レポート受領
• NTTドコモ社のクラウド導入・構築・運用管理ノウハウやツールをパッケージ化
• セキュリティデザインパータンやテンプレートを提供
• 準拠したSIをcloudpackで実施可能
ドコモ・クラウド パッケージ
一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日~2015年12月31日]
https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf
ウェブサイト改ざんの傾向改ざんされた Web サイトを確認したところ、埋め込まれる不正なコードには、body タグの直後に cookie を送信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘導先の攻撃サイトでは、マルウエアに感染させるために、Internet Explorer や Adobe Flash Player の脆弱性が使用されていました。
上記のような改ざんが行われた Web サイトでは、WordPress を使用しているという共通点が見られました。WordPress のような CMS を使用している Web サイトは、CMS やそのプラグインのバージョンが古い場合、脆弱性をつかれて改ざんされてしまう恐れがあります。Web サイトの管理者は、CMS を常に最新のバージョンに維持し、不要なプラグインを削除するなどの対策を取ることが重要です。
自社サイトの改ざん被害のみならず、不正なマルウエアを感染させることになり
被害拡大の支援をすることになる
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/
同 インシデント報告対応レポート より
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
改ざん検知からサイト再開まで
1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため)
3. 原因・影響度の調査 4. ウェブサイト復旧
(最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開
サイト停止から復旧までが長いとビジネス的なインパクトが多い
DDoS攻撃に関する統計
☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ
イヤー3および4)に対する攻撃が168.82%増加
• 平均攻撃時間が49.03%減少:14.95時間対29.33時間
• 100Gbpsを超える攻撃数が44.44%減少:5件対9件
出典: Akamaihttps://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp
https://ja.wikipedia.org/wiki/パリ同時多発テロ事件
☁ 未知の攻撃のを含む可能性を考慮して、随時NACLに登録(運用負荷高い)
☁ IPコロコロ替わってイタチごっこ(40近く)
☁ ”195.154.0.0/16”と登録したかったが、数が微妙だった(最終的には登録した)
☁ 直前の送信元IPアドレスがCloudFrontなので、X-Forwarded-Forに記録されたIPをNACLに登録しても遮断ができない。
☁ 当時はAWS WAFが出たばかりで、テスト無しでの本番投入はハードルが高かった。
http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep_Security_9.6_SP1_Admin_Guide_JP.pdf
Deep Security検知ログを作成
Deep Security MangerからAWS WAFへ連携
http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe
チューニングのポイント
☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す(検知ベー
ス) ☁ 検知傾向を知る(どんな通信を検知するか) ☁ サービスで使用している通信か否か
• URI, POST, XML, SQL, CSS, HTML, SSL…
異常に気づいてから 復旧まで1週間
もともとはOCN経由で自社データセンター運用(推測)
↓ 攻撃負荷が高く調査も難航、一旦停止せざるを得ない状態
http://d.hatena.ne.jp/Kango/20160116/1452985392
ハイレベルなセキュリティ基準☁ AWSで国内初のPCI-DSS Level1環境の構築の実績
• PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5
社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグローバルセキュリティ基準。
• プレスリリース(http://www.cloudpack.jp/press/20130308.html)
世界のクレジットカード会社が求める セキュリティ実装のスタンダード
実践的セキュリティ対策
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化
サーバー
ストレージ
ネットワーク
☁ ユーザー責任範囲 • 権限設定、ネットワーク設定
• ソフトウェアのアップデート
• セキュリティログの収集・管理
• データの暗号化
• ウイルス対策 etc…
☁ AWS責任範囲
改ざんから復旧までのメカニズム
Firewall
LOG
・・・・・・・・・・・・・・・・・・・・・・
ファイル改ざん
改ざん検知
ログに記録
自動リカバリー開始
削除命令
リカバリー命令
オリジナルファイルでリカバリー
Auto-Healingプログラム
Deep Security Agent
攻撃者
Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。
コンテンツ・アプリのソースコードなどの変更履歴を記録・追跡・保存するための分散型バージョン管理システム。 コンテンツのオリジナルデータ先として利用。git(ギット)
Deep Security Agent
バッドロボットからのリクエストを自動的に対処
• 人間ではアクセスしないリンクを仕込む
• API Gateway→Lambda→WAFという連携でブロック制御
http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou
☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール
☁ 設定変更 1万円~ • 作業内容により応相談
☁ ルール追加その他応相談 • Deep Security連携など
【初公開】CDN専用プラン WAFオプション
AWS WAF
• 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化 が求められる
• ツール・サービスも高度な連携が可能な時代にDSとAWS WAFの連携でProactiveな対策を
• 最適なルールの適用が最大の防御=ツール任せではなく人による運用が大切
まとめ