deepsecurityでシステムを守る運用を幾つか
TRANSCRIPT
![Page 2: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/2.jpg)
Who am I ?吉田 ひろかず (hirokazu yoshida)
Suport Engineer at cloudpack
http://qiita.com/fnifni
![Page 3: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/3.jpg)
and more ?
・2013年7月にcloudpackにJOIN ・吉田姓ってパッとしないコンプ ・好きなサービス
![Page 4: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/4.jpg)
キッカケは?
http://www.slideshare.net/YoshidaShingo/20130622-jawsug-aws
![Page 5: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/5.jpg)
大阪になんかスゴい人がいる!(間違い)
![Page 6: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/6.jpg)
しかも吉田姓! ↑ココ大事↑
![Page 7: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/7.jpg)
一緒にクラウドの仕事すれば 吉田姓の社会的地位向上に!?
![Page 8: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/8.jpg)
そんなこんなで
クラウド界隈に入ったキッカケの
JAWS-UG大阪で
セキュリティ関連の話を することになりました
![Page 9: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/9.jpg)
Today’s ODAIMOKU
0. 攻撃の傾向
1. 侵入防御 ~防御モードで安全に守る運用
2. セキュリティログ監視 ~気配を察する運用
3. 変更監視 ~変化を知る運用
![Page 10: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/10.jpg)
Not ODAIMOKU
・ 製品紹介
・ マルチテナント環境の運用
・ アーキテクチャに係る部分
・ 攻撃の解析手法
![Page 11: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/11.jpg)
0 Attack Trend
![Page 12: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/12.jpg)
実際、どれくらい攻撃が来るの?
![Page 13: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/13.jpg)
2,535
![Page 14: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/14.jpg)
とある企業の侵入防御レポート(抜粋)
2015/1/1~2/28
![Page 15: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/15.jpg)
実例1
某日23:00
多数の管理サーバに対してPHPの脆弱性を狙った攻撃が同時多発。 検知件数およそ200件。 検出モードであったため、全台調査の結果、影響なしと判定。
![Page 16: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/16.jpg)
実例2
2014年11月某日 19:28:46~20:12:08の間、”URIパスの深さが超過”イベントを2227件検知。
DeepSecurityにて全てリセットされており、サイトオープンも良好。
![Page 17: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/17.jpg)
防御モード最高
![Page 18: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/18.jpg)
モードって何?
![Page 19: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/19.jpg)
モードとは、侵入防御機能における コンピュータ(サーバ)単位で設定する動作モード
![Page 20: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/20.jpg)
仮想パッチって?
![Page 21: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/21.jpg)
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1096610.aspx
ネットワーク経由の攻撃に有効
![Page 22: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/22.jpg)
1 The distance to Prevent mode
![Page 23: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/23.jpg)
いきなり防御モードじゃ だめなの?
![Page 24: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/24.jpg)
正常通信を誤(過)検知した場合、 通信をリセット(防御)してしまう恐れが!
![Page 25: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/25.jpg)
実例1.
ユーザー名に日本語文字を含むアプリ通信に対して DeepSecurityが日本語をデコードできない理由で
検知 (URIに使用できない文字) ⇓
”検出モード”で慣熟運行中であったため 影響なし
DS9.5sp1(DSaaS含む)では デフォルトOFF
![Page 26: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/26.jpg)
実例2.
新しくリリースされた仮想パッチの不備でmysqlへの通常通信が攻撃としてアラート検知
⇓ アップデートしたルールを検出モード適用
していたため、影響なし
![Page 27: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/27.jpg)
運用開始後の慣熟期間と 追加・更新ルールの
検出モード適用がオススメ
![Page 28: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/28.jpg)
慣熟期間中どこを見たらいいの?
![Page 29: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/29.jpg)
1. 侵入防御イベント不正な走査 ・・・HTMLの書き方が正しくない → /../aaa/bbb
SQLインジェクション、XSS関連ルール
・・・XML通信?(閾値調整)
・・・PHPでのデータベース操作?(.htaccess)
etc…
![Page 30: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/30.jpg)
2. ファイアウォールイベント
TCP最大接続数
・・・大繁盛?WebSocket張りっぱなし? メモリ不足、メモリ割り当ての失敗 ・・・インスタンス小さすぎる?大繁盛? ・・・特定通信で引っかかってる? …etc
![Page 31: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/31.jpg)
ケアした後には安全な運行が!><
![Page 32: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/32.jpg)
防御モードにしたら、 DSにお任せでいい…よね?
![Page 33: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/33.jpg)
だがちょっと待ってほしい! AA自粛
![Page 34: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/34.jpg)
追加・更新ルールは 「手動適用」で「検出モード適用」
「自動適用」では「検出モード適用」が できないのです。。。
![Page 35: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/35.jpg)
ちなコレ
![Page 36: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/36.jpg)
手動適用と自動適用の比較
![Page 37: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/37.jpg)
メリット デメリット
手動適用 ・検出のみ適用ができる・手間がかかる
・実行するまで適用されない
自動適用 ・新しい脅威に迅速に対応・更新/追加ルールがいきなり防御モード(誤検知の恐れ) ・自動適用されない物もある
![Page 38: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/38.jpg)
最終的には運用してみてからの 匙加減><
![Page 39: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/39.jpg)
X Now Back to the Story ...
![Page 40: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/40.jpg)
4,196
![Page 41: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/41.jpg)
結局、どれ使ったらいいの?
![Page 42: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/42.jpg)
推奨設定の検索を使いましょう
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1311156.aspx
![Page 43: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/43.jpg)
推奨以外のルールもあります
1000608 - Generic SQL Injection Prevention 1000552 - Generic Cross Site Scripting(XSS) Prevention etc..
特殊用途・調整が難しいものが多いので ご利用は計画的に…
![Page 44: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/44.jpg)
2 Omen Detection
![Page 45: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/45.jpg)
セキュリティログ監視って
DeepSecurity9.5 SP1 管理者ガイド http://files.trendmicro.com/jp/ucmodule/tmds/95Sp1/Deep_Security_95_SP1_Admin_Guide_JP.pdf
![Page 46: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/46.jpg)
攻撃成功までには予兆があります
![Page 47: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/47.jpg)
3,256
![Page 48: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/48.jpg)
とある企業のセキュリティログ監視レポート(抜粋)
2015/1/1~2/28
![Page 49: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/49.jpg)
![Page 50: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/50.jpg)
状況を知ることができれば 落ち着いて対処できます。
![Page 51: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/51.jpg)
これも推奨設定の検索で いい感じにやってくれるの?
![Page 52: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/52.jpg)
1. 推奨をそのまま使うと…予期せぬ無風状態 ・・・見当違いの場所を監視してた 予期せぬ大量アラート ・・・レスポンスコード4xxとか5xxとか
・・・正規のsyslog形式(size)ではないとか
![Page 53: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/53.jpg)
2. 環境に応じた設定が必要アクセスログの監視には注意が必要 ・・・本当に必要? ・・・監視するなら内容を取捨選択
一部メッセージの重要度設定の変更
監視対象ログファイルパスの指定 ・・・エラー出ます。最悪空振りします。
![Page 54: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/54.jpg)
「全部入り」なので 運用しながら調整しましょう
![Page 55: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/55.jpg)
3 Detection of the change
![Page 56: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/56.jpg)
![Page 57: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/57.jpg)
これで大丈夫…?大丈夫?
![Page 58: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/58.jpg)
残念ながらDeepSecurityは 神様じゃないのです><
![Page 59: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/59.jpg)
守れないケース
ルール外の攻撃 ・・・ルール未適用、ゼロデイ攻撃 正常通信を通すための緩和措置の影響 ・・・過剰なバイパス、閾値の過剰緩和 正規ルートでのローカル侵入 ・・・秘密鍵漏洩、パスワード認証突破 アプリケーションロジックの不備
![Page 60: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/60.jpg)
変更監視で気付きましょう!
![Page 61: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/61.jpg)
監視対象とリアルタイム検知
トレンドマイクロ Q&Aページ http://esupport.trendmicro.com/solution/ja-jp/1310032.aspx
![Page 62: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/62.jpg)
これは推奨設定の検索で いい感じにやってくれる
…のかな?
![Page 63: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/63.jpg)
残念ながら全部入りであるが故に大量に検知する場合が ・・・ポートの変更の検知(SSH等) ・・・システム的動作の検知(プロセス状態) 変更は全て検知される ・・・WindowsUpdateで大量の変更検知 ・・・コンテンツ更新も全て検知 ・・・良い変更と悪い変更の区別はない
![Page 64: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/64.jpg)
用意されているルールは ちょっと使いにくいです><
![Page 65: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/65.jpg)
今のところの現実解(1)
Windowsはまだ使えます ・・・一部ルールの調整
1002781 - Microsoft Windows - Attributes of a service modified 1006076 - Task Scheduler Entries Modified 1003138 - Microsoft Windows - Active Directory …etc
![Page 66: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/66.jpg)
今のところの現実解(2)
Linuxは、カスタムルールで調整 ・・・管理者ガイドに細かく載ってます! http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4703&lang_loc=13
・・・カスタムルールの問い合わせは有償><
![Page 67: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/67.jpg)
今のところの現実解(3)
WindowsUpdateの際は、一時無効化 ・・・システムから切り離せばリスク低減 変更の前後で変更検索タスクを手動実行 ・・・変更実施のタイミングを明確化 ・・・それ以外の変更は悪と判定
![Page 68: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/68.jpg)
運用チームと構築チームの コミュニケーションが大事
![Page 69: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/69.jpg)
ところで どこがどう変更されたか
判るの?
![Page 70: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/70.jpg)
レポートが便利です変更監視の詳細な変更レポート
![Page 71: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/71.jpg)
レポートのポイント
文字列ベースでの変更内容は分からない ・・・変更内容はdiff等で別途取得が必要 変更検索タスクの実行時間が検知時間 ・・・実際の変更時間は「詳細」を参照
![Page 72: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/72.jpg)
注意!
タスク実行の間隔を短くすると思わぬ事態に ・・・負荷上昇(Agent側で演算) ・・・タスクが終わらない(処理重複) 変更監視の対象は絞って! ・・・広すぎる変更監視対象は不幸しかない ・・・常時変更される場所は除外
![Page 73: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/73.jpg)
まとめ
・防御モードはDSの真骨頂 ・検出モードで慣熟期間を設けて様子見 ・防御モード移行後は、アップデートに注意 ・侵入防御>セキュリティログ監視>変更監視 ・運用が厳しいなら、ある程度の割り切りもアリ ・お任せし過ぎず、様子を見ながら。
![Page 74: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/74.jpg)
環境に合せて設定を育てて いい感じの運用に落とし込む
PDCAサイクルが必要
![Page 75: DeepSecurityでシステムを守る運用を幾つか](https://reader034.vdocuments.pub/reader034/viewer/2022052207/55c57652bb61eb68358b4875/html5/thumbnails/75.jpg)
Thanks! and
Let’s Try!