サイバーセキュリティ技術やファイアウォールなどの装置の原理に関して
サイバー攻撃の経緯
1980年代:ウイルスやワームといった不正なプログラムの多くは愉快犯的や自己顕示の目的が多かった。
1980年代後半:トロイの木馬型のような悪意を持ったプログラムも出現し、データ削除など直接的な被害を引き起こした。また、世界初のワームとされる「モリスワーム」の出現や、ウイルス作成用キットが公開されるなど攻撃が徐々に拡大。
1990年代:インターネットの復旧に伴い、不正なプログラムの作成や配布が容易になり、攻撃対象や被害の規模が広がった。
攻撃方法は多様化したが、高い技術力を誇示するために無差別的に攻撃を行うなど、目的は大きく変わることは無かった。
2020年代:インターネットの爆発的な復旧によって、個人から組織までありとあらゆるユーザーが攻撃の対象に。
//※ワーム:自身を複製して他のシステムに拡散する性質を持ったマルウェア
対策の枠組み
サイバー攻撃の対策は企業の経営や国家の維持など、組織によって重要な課題になっている。
サーバーセキュリティフレームワーク:米国NISTがセキュリティ対策のベストプラクティス、運用可能な参考情報をまとめたもの。「特定」(自分が置かれている立場を考える)「防御」「検知」「対応」「復旧」の5つの機能で構成されている。
https://gyazo.com/81288199ac64e1b9764dfdc1af004835
サイバーキルチェーン:一般的なサイバー攻撃の段階を構造化したもの。ロッキードマーチン社(飛行機で有名な会社)が生み出した。
https://gyazo.com/78506b4e457ecc04aaa80402310aed1c
検知の誤り
集団の要素を正常、正常で分ける。
判断基準を厳しくすると正常を非正常と判断する。
これを「偽陽性」(False Positive)と呼ぶ。またはご検知と呼ぶこともある。
https://gyazo.com/4bd6fb31c24bbbaaf4d96f83f99f23e2
判断基準を緩くすると非正常を正常と判断する。怪しいものだけを捕まえるようにする。
これを「偽陰性」と呼ぶ。または「見逃し」と呼ぶこともある。
情報セキュリティでは偽陽性よりも偽陰性の方が増えるようにすべきと考えられている。
→もしマルウェアが検知された時に発見できない可能性もあるため。
https://gyazo.com/96c8f1e406a96bc87eefa919d4d73649
評価指標
https://gyazo.com/3cf08730973fa99989fc5c7318ae5bad
aとdが正解を表している。
偽陰性率=$ \frac{b}{a+b}
偽陽性率=$ \frac{c}{c+d}
上記の数は正確ではない確率なので、低い方が良い。
他にも色々ある。
https://gyazo.com/1788be18582f362a360a9e6d24af39b4
シグネチャ
検知対象となるデータ(マルウェア、攻撃パケットなど)の検出に使用する特徴的なパターン。正規表現などパターンマッチング技術を用いた検知も行える。
→シグネチャの品質が検知精度に直結する。
ファイアーウォール
◯要塞ホスト(ファイアーウォールのご先祖さま)
外部ネットワークからの攻撃に耐えるように特別に構成されたサーバ。
• 経験的に以下のような対策が取られる。
− できるだけ単純な構成にする。ー後からの失敗が少ない。
− 提供するサービスを限定する。(不要なポートを閉じる)ー単純な構成にする、不要なポートを閉じる。
− 特殊なセキュリティソフトを導入する。ーアンチウィルス、侵入検知システム。
− セキュリティパッチの適用などの運用レベルを高く維持する。
◯ファイアーウォール
ネットワークの境界でパケットの伝達を制限する装置。
•異なるセキュリティレベル(=セキュリティポリシ)を持つネットワークの境界でネットワークを制御する。
→異なるセキュリティポリシを持つものを調整する
•原則としてトランスポート層で制御を実施する。(IPアドレス+プロトコル+ポート番号)
• ネットワーク上最初に攻撃を受ける位置にあるため,絶対的な堅牢性が求められる。
→普通のシステムではウイルスを検知したり、ウイルス撃退を行うにも限界がある。
→しかし、ファイアーウォールの場合、能動的にウイルスそのものを撃退できるのが特徴。
• 技術の進展に伴い,今日では多様な機能が追加されている。
ファイアーウォールの仕事
基本的には以下の4つ
• 通信の中継
→外のセグメントと繋がっているので中継機能は必須で行っている。内側の通信を安全に行っている。
− アドレス変換(NAT,NAPT)
− サーキットレベルゲートウェイ(SOCKS)
→アプリケーションレベルゲートウェイ
• 通信の制御
→安全に通信ができるかをフィルタリングする
− ステートレスパケットフィルタリング
− ステートフルパケットフィルタリング
• 通信の監視
→危ないと思ったらアラートを出す。パケットフィルタリングに反するウイルスを検知したらポップアップを出すetc..
− アラート発報
• 通信の記録
→最近では通信の記録は全て取るのが主流になっているらしい...
ファイアーウォールの基本的な使い方
https://gyazo.com/51e700049f9ec8a7ca0b930b9209d3ba
「中から外への通信よりも外から中への通信は基本的に危険」というのがファイアーウォールの基本的な考え方。
https://gyazo.com/3ca08e721667eab1cf575c2df15a3869
しかし、外部との通信は仕事上行わざるを得ない場合が多い。そんな時には「DMZ」が間に入る。
DMZとは
外部ネットワークと内部ネットワークの間に設置されるセグメント。
• バリアセグメントとも呼ばれる。
→外部ネットワークにサービスを提供しつつ,外部ネットワークの脅威 から内部ネットワークを守る。
− DMZには要塞化したホストを配置する。
− DMZと外部ネットワークの間の通信は両方向可。
− 内部ネットワークからDMZへの通信は可。
− それ以外の通信は不可。
→ex.内部から外部への通信とか..
https://gyazo.com/b0ef14ae0011fb52244b4de7ffd21c83
DMZ経由でのバケツリレーでの通信は可能であるが、直接に通信するのはダメらしい..
IDS/IPS
IDS:システムやネットワークに関して外部からの不正なアクセス、あるいは不正アクセスの兆候が確認できた場合に管理者への通知を行う。
IPS;外部からの不正なアクセスの検知や機密情報の漏洩などの挙動を検知するが、検知後の動作に違いがありIDSは指定され通知などの動作を行うのに対し、IPSはトラフィック遮断などの防御装置を行う。
○検知の方法
シグネチャ:過去の攻撃と一致するパケットを検知する。既存の特定された攻撃に有効。未知の攻撃には弱く、シグネチャの更新が重要。
アノマリ:正常ではないパケットを検知する。通常のネットワークトラフィック量(インターネットやLANなどのコンピューターなどの通信回線において、一定時間内にネットワーク上で転送されるデータ量)などのしきい値(境目となる値)を設定したプロファイルを行い、これに違反した場合に異常とみなして検知を行う。未来の攻撃も感知することができる。
○ネットワークベースIDS/IPS
• ネットワーク上に設置する。
• 集中監視できる反面,トラフィックが集中する。
• ピアツーピアの暗号化がされていると監視できない。
<ーーIDS>
https://gyazo.com/d1a7f0118c87b93230370d655f8a2483
パケットをルーター、スイッチ、タップ等で分岐させる
<ーーIPS>
https://gyazo.com/cba1a88e95b3ebf93f22916460b4104bhttps://gyazo.com/3898e5c928af82a226d3fc29acc83f11
○ホストベースIDS/IPS
• 保護対象となるホスト上に設置する。
• サンドボックスなどの機能を利用できる。
→試しにサービスをサーバー上で動かすことができる
• ホストの資源を消費する。他のソフトと競合することがある。
⭐️サンドボックス
マルウェアなどの挙動を確認するための隔離された仮想 環境
• 動作を観察できるので未知の脅威に対抗できる。
• マルウェアの暗号化,難読化,変異に対抗できる。
• 一方でサンドボックス回避技術も発達している。
− 仮想環境の検知(最近で流行っているので回避する技術も上っている)
− 一定時間後に活動開始
− ファイルレス型マルウェア(自分自身ファイルを持たないので、サンドボックスにログされることもない)