deepsecurityでシステムを守る運用を幾つか
TRANSCRIPT
Who am I ?吉田 ひろかず (hirokazu yoshida)
Suport Engineer at cloudpack
http://qiita.com/fnifni
and more ?
・2013年7月にcloudpackにJOIN ・吉田姓ってパッとしないコンプ ・好きなサービス
キッカケは?
http://www.slideshare.net/YoshidaShingo/20130622-jawsug-aws
大阪になんかスゴい人がいる!(間違い)
しかも吉田姓! ↑ココ大事↑
一緒にクラウドの仕事すれば 吉田姓の社会的地位向上に!?
そんなこんなで
クラウド界隈に入ったキッカケの
JAWS-UG大阪で
セキュリティ関連の話を することになりました
Today’s ODAIMOKU
0. 攻撃の傾向
1. 侵入防御 ~防御モードで安全に守る運用
2. セキュリティログ監視 ~気配を察する運用
3. 変更監視 ~変化を知る運用
Not ODAIMOKU
・ 製品紹介
・ マルチテナント環境の運用
・ アーキテクチャに係る部分
・ 攻撃の解析手法
0 Attack Trend
実際、どれくらい攻撃が来るの?
2,535
とある企業の侵入防御レポート(抜粋)
2015/1/1~2/28
実例1
某日23:00
多数の管理サーバに対してPHPの脆弱性を狙った攻撃が同時多発。 検知件数およそ200件。 検出モードであったため、全台調査の結果、影響なしと判定。
実例2
2014年11月某日 19:28:46~20:12:08の間、”URIパスの深さが超過”イベントを2227件検知。
DeepSecurityにて全てリセットされており、サイトオープンも良好。
防御モード最高
モードって何?
モードとは、侵入防御機能における コンピュータ(サーバ)単位で設定する動作モード
仮想パッチって?
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1096610.aspx
ネットワーク経由の攻撃に有効
1 The distance to Prevent mode
いきなり防御モードじゃ だめなの?
正常通信を誤(過)検知した場合、 通信をリセット(防御)してしまう恐れが!
実例1.
ユーザー名に日本語文字を含むアプリ通信に対して DeepSecurityが日本語をデコードできない理由で
検知 (URIに使用できない文字) ⇓
”検出モード”で慣熟運行中であったため 影響なし
DS9.5sp1(DSaaS含む)では デフォルトOFF
実例2.
新しくリリースされた仮想パッチの不備でmysqlへの通常通信が攻撃としてアラート検知
⇓ アップデートしたルールを検出モード適用
していたため、影響なし
運用開始後の慣熟期間と 追加・更新ルールの
検出モード適用がオススメ
慣熟期間中どこを見たらいいの?
1. 侵入防御イベント不正な走査 ・・・HTMLの書き方が正しくない → /../aaa/bbb
SQLインジェクション、XSS関連ルール
・・・XML通信?(閾値調整)
・・・PHPでのデータベース操作?(.htaccess)
etc…
2. ファイアウォールイベント
TCP最大接続数
・・・大繁盛?WebSocket張りっぱなし? メモリ不足、メモリ割り当ての失敗 ・・・インスタンス小さすぎる?大繁盛? ・・・特定通信で引っかかってる? …etc
ケアした後には安全な運行が!><
防御モードにしたら、 DSにお任せでいい…よね?
だがちょっと待ってほしい! AA自粛
追加・更新ルールは 「手動適用」で「検出モード適用」
「自動適用」では「検出モード適用」が できないのです。。。
ちなコレ
手動適用と自動適用の比較
メリット デメリット
手動適用 ・検出のみ適用ができる・手間がかかる
・実行するまで適用されない
自動適用 ・新しい脅威に迅速に対応・更新/追加ルールがいきなり防御モード(誤検知の恐れ) ・自動適用されない物もある
最終的には運用してみてからの 匙加減><
X Now Back to the Story ...
4,196
結局、どれ使ったらいいの?
推奨設定の検索を使いましょう
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx
推奨以外のルールもあります
1000608 - Generic SQL Injection Prevention 1000552 - Generic Cross Site Scripting(XSS) Prevention etc..
特殊用途・調整が難しいものが多いので ご利用は計画的に…
2 Omen Detection
セキュリティログ監視って
DeepSecurity9.5 SP1 管理者ガイド http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Admin_Guide_JP.pdf
攻撃成功までには予兆があります
3,256
とある企業のセキュリティログ監視レポート(抜粋)
2015/1/1~2/28
状況を知ることができれば 落ち着いて対処できます。
これも推奨設定の検索で いい感じにやってくれるの?
1. 推奨をそのまま使うと…予期せぬ無風状態 ・・・見当違いの場所を監視してた 予期せぬ大量アラート ・・・レスポンスコード4xxとか5xxとか
・・・正規のsyslog形式(size)ではないとか
2. 環境に応じた設定が必要アクセスログの監視には注意が必要 ・・・本当に必要? ・・・監視するなら内容を取捨選択
一部メッセージの重要度設定の変更
監視対象ログファイルパスの指定 ・・・エラー出ます。最悪空振りします。
「全部入り」なので 運用しながら調整しましょう
3 Detection of the change
これで大丈夫…?大丈夫?
残念ながらDeepSecurityは 神様じゃないのです><
守れないケース
ルール外の攻撃 ・・・ルール未適用、ゼロデイ攻撃 正常通信を通すための緩和措置の影響 ・・・過剰なバイパス、閾値の過剰緩和 正規ルートでのローカル侵入 ・・・秘密鍵漏洩、パスワード認証突破 アプリケーションロジックの不備
変更監視で気付きましょう!
監視対象とリアルタイム検知
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1310032.aspx
これは推奨設定の検索で いい感じにやってくれる
…のかな?
残念ながら全部入りであるが故に大量に検知する場合が ・・・ポートの変更の検知(SSH等) ・・・システム的動作の検知(プロセス状態) 変更は全て検知される ・・・WindowsUpdateで大量の変更検知 ・・・コンテンツ更新も全て検知 ・・・良い変更と悪い変更の区別はない
用意されているルールは ちょっと使いにくいです><
今のところの現実解(1)
Windowsはまだ使えます ・・・一部ルールの調整
1002781 - Microsoft Windows - Attributes of a service modified 1006076 - Task Scheduler Entries Modified 1003138 - Microsoft Windows - Active Directory …etc
今のところの現実解(2)
Linuxは、カスタムルールで調整 ・・・管理者ガイドに細かく載ってます! http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4703&lang_loc=13
・・・カスタムルールの問い合わせは有償><
今のところの現実解(3)
WindowsUpdateの際は、一時無効化 ・・・システムから切り離せばリスク低減 変更の前後で変更検索タスクを手動実行 ・・・変更実施のタイミングを明確化 ・・・それ以外の変更は悪と判定
運用チームと構築チームの コミュニケーションが大事
ところで どこがどう変更されたか
判るの?
レポートが便利です変更監視の詳細な変更レポート
レポートのポイント
文字列ベースでの変更内容は分からない ・・・変更内容はdiff等で別途取得が必要 変更検索タスクの実行時間が検知時間 ・・・実際の変更時間は「詳細」を参照
注意!
タスク実行の間隔を短くすると思わぬ事態に ・・・負荷上昇(Agent側で演算) ・・・タスクが終わらない(処理重複) 変更監視の対象は絞って! ・・・広すぎる変更監視対象は不幸しかない ・・・常時変更される場所は除外
まとめ
・防御モードはDSの真骨頂 ・検出モードで慣熟期間を設けて様子見 ・防御モード移行後は、アップデートに注意 ・侵入防御>セキュリティログ監視>変更監視 ・運用が厳しいなら、ある程度の割り切りもアリ ・お任せし過ぎず、様子を見ながら。
環境に合せて設定を育てて いい感じの運用に落とし込む
PDCAサイクルが必要
Thanks! and
Let’s Try!