web-dev-qa-db-ja.com

標的型攻撃から最もよく防御するには?

この攻撃方法が高度な永続的脅威の一部として成長するのを見てきました(Googleに対するオーロラ作戦または G20フランス財務省の攻撃 頭に浮かびます)。小規模な攻撃でさえこの手法を採用していることは間違いありません。得るものがたくさんある場合。私たちのケースは、組織内の価値の高い個人が、正当に見えるように特別に細工された悪意のあるメッセージ(PDFや悪意のあるコードが埋め込まれたその他のドキュメントなど)を受け取ることです。さらに、私たちは通常、意図しないメッセージを分析することはもちろんのこと、意図していないメッセージを検出するのが難しい専門家以下のユーザーについて話している。

これは、組織内の多くのセキュリティ領域に影響を与えるテーマであり、多層的なアプローチが必要になると思います:ユーザー認識トレーニング、検出技術、緩和策(DLP)の導入など。

いずれにしても、ユーザーの認識とデータ漏えい対策は包括的なセキュリティプログラムの一部であると考えると、組織は標的型攻撃の検出問題にどのように対処する必要がありますか?

対処する必要があるいくつかの質問:

  1. これらのフィルターを設定する必要があります。通常、これは実際の攻撃が行われた後の多くの場合に発生する可能性があります。 ( APTの扱いに関する以前の質問 がありましたが、これはより広く使用できますか?)

  2. 社内または外注の検出および分析機能が必要です。そのようなサービスを提供している会社はありますか?

  3. スキャンプロセスに開示された攻撃パターンを(自動的に)統合できる電子メールフィルタリングツールが必要です。

  4. 傍受されたメッセージをどうするか?標的型攻撃をキャッチしようとすると、多くの誤検知が発生し、削除が困難になる可能性があります。それらを「検疫」システムで送信するのがおそらくより適切ですが、(ユーザーに決定を任せた場合)結局、悪意のある電子メールにアクセスして感染することがないという保証はありません…

  5. 重要なデータを扱う人々のための完全なシステム分離はどうですか:私は「階層化された」アプローチを考えています。つまり、自分自身でメールを受信するのではなく、秘書やその他の「安全な」仲介者を通じてです。

あなたの考え/提案/解決策/方向性?

attacksattack-preventioncorporate-policy
20
George

標的型攻撃に対する防御は、防御機能に観測能力を高めることを強います。

防御的なギャップを強化することは素晴らしいです(たとえば、パッチの展開を加速し、エンドユーザーが実行できるアプリをホワイトリストに登録し、使い捨ての仮想マシンを提供し、クライアント側アプリのセキュリティ強化を強化します)。したがって、やる気のある敵の標的となった場合は、監視機能を拡張して、攻撃者が制御を得たり、情報を盗んだりするために利用できるすべての経路を観察できるようにすることが不可欠です。検出は、才能のある敵に対する主要なコンポーネントです。

内部ポータルをセットアップすることはかなり洗練されているかもしれません。それにより、エンドユーザーは追加のセキュリティ(他の人がここで言及したもの)を使用して設計された特別な仮想マシンをダウンロードできますが、特に追加の監視が必要です。たとえば、CFOのMarcが銀行振込をいくつか実行し、機密性の高いメールを送信する必要があるとします。 Marcは、デスクトップのリンクをダブルクリックして、アプリまたはVM(VMwareのユニティモードのように透過的にも)を監視するように事前構成されています)を起動できます。ブラウザは、ルーティングするように事前構成されています。 Marcなどの特別な内部Webプロキシセットアップを介したトラフィック。追加の監視機能と検出機能が必要です。OSを強化し、最適化されたHIDSセットアップで事前構成し、フルパケットキャプチャまたはネットフローを一定期間記録して保存し、すべてのイングレス/ egressファイル転送(たとえば、PDF HTTPS経由でダウンロードした後の表示)は、オフラインのマルウェア識別ツールを介してパイプ処理できます。Marcがタスクを完了した後、スクリプトを実行して、彼のアクティビティを要約し、すべてをバンドルできます事前設定した一連のセキュリティツールによって生成されたアラート.

必要に応じて一時的に重度のモニタリングを行うと、勝つチャンスがあると思います。常にすべてを完全に監視するという現実は私にとって失敗です。このような頻繁な監視によって生成される一連のアラートをフルタイムで徹底的に分析するためのリソースを持っている人はほとんどいません。

Joanna Rutkowskaの「 私のデジタルライフをセキュリティドメインに分割する 」に歩調を合わせ、それぞれ「高価値の個人」を維持できると思いますか彼女のようなワークステーション?あなたはそれで素晴らしいでしょう!

12
Tate Hansen

私見それは、標的を絞った攻撃や「APT」に対してさえあなたに最高の防御を提供するであろう非セクシーなことを一貫して行っています。

私が 書いた RSAが高度な攻撃の詳細を提供したときに学んだ教訓は次のとおりです。

  • マルウェア配布メカニズムとしてのメールは死んでいません。それらのユーザー認識プレゼンテーションを掘り下げ、スピアフィッシングとジャンクフィルターの信頼に関するトレーニングをもう少し追加します
  • インターネットアクセスは贅沢であり、デフォルトの権利ではありません。明確なビジネス上の利益のために必要でない場合は、提供しないでください
  • ユーザーの役割に基づいてアクセスする必要のあるWebサイトをホワイトリストに登録することを検討します。参照URLをGoogleであるとチェックするルールのように賢くすると、セキュリティを大幅に改善しながら、反発と生産性の損失を防ぐことができます
  • すべてのデスクトップおよびラップトップのゴールドビルドの一部として、Flash、Adobeリーダー、Office、ブラウザ拡張などのソフトウェアのビジネス上の理由を再評価します。代替案が存在し、特定のビジネス上の理由を持つユーザーはそれを要求できます-攻撃対象を削減します
  • IDSを使用して検出し、理想的にはIPS=エンドポイントから疑わしいサイトへの接続を防止する
  • デスクトップファイアウォールとホストベースのIDSを構成して、承認なしに新しい送信接続をブロックする
  • IDS/IPSからのアラートを監視-明確でリハーサルされた手順でこれらのアラートに反応するように訓練されたチームを持っている
  • 内部システムへの管理者アクセスのために2要素認証を実装します。
  • 重要なシステムへの永続的な特権アクセスから離れ、承認された変更とサポートチケット以外のログインを監視する
  • DLPのツール、人、プロセスを使用して、セキュリティ管理を最も貴重なデータに近づけます。監視戦略では、暗号化されたファイルを検討する必要があります。暗号化されたバージョンを分析するか、新しい暗号化転送にフラグを立てます。ストレージ内のデータを暗号化して、盗まれた場合でも保護の層をさらに追加することも良いアイデアです。
  • ネットワークのセグメンテーション-内部ネットワーク内でもクラウンジュエルの安全なネットワークゾーンを作成し、これらへのアクセスを制御および監視します
  • シンまたはゼロのクライアントエンドポイントについて考える

何よりもリスク評価を行い、脅威モデルを作成してツリーを攻撃します。理想的にはセキュリティだけでなく、少なくともブレインストーミングだけでなく、部屋に何人かの賢い人を招きます。

  • 価値-あなたの最も重要な情報は何ですか?保護する価値があるだけのセキュリティが必要です
  • 脅威-問題を引き起こすインセンティブと能力を持つ人はいますか?
  • 弱点-システム、人、プロセスの弱点は何ですか?これらはどれほど深刻ですか?
  • リスク-これらすべてに基づいて、実際のリスクは何ですか?本当の露出は何ですか?
  • コントロール-これまでにセキュリティに費やしてきたすべてのことは、このリスクをどのように減らすのに役立ちますか?コントロールを取り除くと、リスクが大幅に増加しますか?新しいテクノロジー、人、プロセスに投資する価値はありますか?

あなたが見つけるものは最もセクシーなものではないかもしれません、それはおそらくあなたがとにかくやっていなければならないものであるかもしれません。パッチソニー、別名ソニーですが、1日の終わりには、APTに対してさえも防御するための最良の費用便益をもたらすでしょう。

18
Rakkhi

標的型攻撃を防御する最良の方法は、他のすべての攻撃を防御する最良の方法と同じです。ユーザビリティとセキュリティのバランスを取り、それに応じて行動します。

この質問の答えが難しいのは、それが実際に標的型攻撃である場合、攻撃者が目標を持っているためです。彼らは、ほとんどの攻撃プロセスで、実在する他のすべての攻撃と同じリソースを使用します。唯一の本当の変化は、この標的型攻撃がはるかに高い回復力を持ち、はるかに指示されることです。彼らがスキルを持っていて、十分に決心している場合、彼らはあなたのシステムに入り込んでいます(実際に利用する接続がある場合)。

あなたのほとんどの質問は自分で答えているようです。

もっと良い方法があればいいのにと思っていますが、ATMの唯一の本当の答えは、コンテンツとROIのバランスがとれるまでレイヤーを追加し続けることです。

4
Ormis

一部の重要な役所では、従業員にイントラネットへのアクセス権があり、ディスクやUSBソケットが利用できない1台のコンピュータと、通常のインターネットアクセスが可能な通常のデスクトップがすべての場所にあるのが通例です。メールが読まれます。通常、一方から他方にデータを転送する必要はほとんどありません

2
lurscher

あなたの状況を聞いてすみません。検討できる提案はいくつかありますが、私はこのような状況に対処する個人的な経験がないため、自分で評価する必要があります。

  • 価値の高いユーザーに、自動更新やその他の保護機能が事前に有効化された、事前設定された特別に設定されたラップトップを提供します。

  • 彼らにマックをあげなさい。現時点では、ターゲットユーザーがMacを使用している場合、多くの標的型攻撃は失敗します。

  • Windowsを使用している場合は、メールクライアントの交換を検討してください。標的型電子メール攻撃が機能する主な理由の1つは、Outlookやその他の主要な電子メールクライアントのセキュリティが十分に設計されていないためです。 (添付ファイルをクリックすると、マシン全体に感染する可能性がありますか?ナッツ。これはユーザーフレンドリーではありません。)おそらく、VMで実行される電子メールクライアントを提供し、隔離された使い捨てですべての添付ファイルを開くVM。

  • PolarisSandboxie 、および同様のシステムを検討することを検討してください。

  • コンピュータ上のすべてのソフトウェアが最新であることを確認するためのツールを検討することを検討してください。 Secunia PSIは個人での使用には非常に優れています。同等の企業があるかどうかはわかりません。

  • 「アンチウイルスクラウド」の使用を検討してください。古い電子メールを定期的にスキャンするようにメールサーバーにウイルス対策を設定することを検討してください。攻撃が通過してもすぐに検出されない場合でも、少し後で検出される可能性があります。

  • 高価値のユーザーが必要とするのがメールとWebアクセスだけである場合は、GoogleにGoogleを付与することを検討してください。Chrome OS Netbook。セキュリティ上の利点があります。ただし、 Excelまたは他のビジネスツールを実行します。

  • 価値の高いユーザーに第2要素の認証デバイスを提供し、他のシステムへのアクセスにはそのデバイスが必要であることを検討してください。

  • 一般的な攻撃が失敗する可能性を高めるために、多様性の使用を検討してください。たとえば、Adobe PDFリーダーをあまり知られていないものに置き換えて、Adobeリーダーを標的とした悪意のあるPDFファイルを防ぐために、 Macはこれの別のバージョンです。)

  • 天国のために、Windowsマシンを提供する場合は、IE6を提供しないでください。 Chrome、Firefox、IE9の最新バージョンに置き換えてください。 IE6を必要とする、またはIE固有の社内システムをすべて削除します。 IE固有のシステムが残っている場合は、重要なユーザーが管理アシスタントにアクセスできるようにして、残りのレガシー内部企業システムに代わって対処します。

2
D.W.