セキュリティ統合監視システムのデザイン

Download Report

Transcript セキュリティ統合監視システムのデザイン 

NETWORLD+INTEROP 2003 TOKYO
セキュリティ統合監視
システムのデザイン
セキュリティ技術部
二木 真明
セキュリティシステム監視の目的
セキュリティ機器の正常動作の監視
 セキュリティ上の問題や事件を早期に発見
 セキュリティに関する傾向の掌握

2
監視対象
ファイアウォール
 IDS (NIDS/HIDS)
 ログ(ネットワーク機器、サーバ)
 ウイルス対策システム
 物理的セキュリティシステム

3
何を監視する?

ファイアウォール
 セッション許可、不許可のログ
 セキュリティアラーム
 システムアラーム

IDS
 シグネチャ検出アラーム
 異常(アノマリー)・ポリシー違反検出アラーム
 システムアラーム
 シグネチャ更新状況など
4
何を監視する

サーバ、各種機器のログ
 アプリケーション(サービス)の動作状況
 システム(OS)の動作時状況

ウイルス対策
 ウイルスの検出アラーム
 パターンファイル更新状況など

物理セキュリティ
 鍵の開け閉め
 人(動物、物体)の移動
 温度、湿度などの環境条件
 火災、振動その他異常な状況
5
事件発生

何をトリガにして動き出すか・・
 アラーム、エラーの発生(具体的事象)
 通常ではないなにかの発生(いやな雰囲気)

最初に何をすべきか
 実際に問題が発生したのかの調査(誤報排除)
 問題の深刻さの判定(対応の優先度付け)
6
FORENSICSとリカバリー

実際に有効な攻撃であった場合の対応
 攻撃対象の緊急隔離・影響調査


重要なリソースの保護を最優先
影響、被害の推定と証拠(ログ、被害内容)の保全
 証拠の解析と犯人、手口の特定


ログなどの解析、追加情報の取得
泳がせ捜査(可能な場合)
 対策と復旧

侵入口の封鎖、対策の追加、被害の復旧
7
監視システムはどこまでできる?

マニュアル化可能なオペレーションの自動化
 複数の機器からのアラーム、ログの関連付け分
析(Correlation :相関分析)

数値化、定量化可能な「異常」の監視
 「いやな雰囲気」をどう数値化するか

初動対応は不可能ではない、捜査は困難
 問題のあるセッションを切る。ポリシーを変更・・く
らいまでは可能か・・・。
8
Correlation (関連性の分析)

たとえばクラッカーの行動を分析してみる
 ポートスキャンを行って脆弱点を見つける

IDS でスキャンを検知する
 脆弱点を攻撃して管理権限を取得
IDSで攻撃を検出
 サーバ側にAccept Logが出る

 バックドアを仕掛ける

サーバから外部にftp/httpなどのコネクション発生
9
賢い監視システムとは・・・

マルチベンダ対応
 各種のログ・アラームを標準化して収集可能

Cross-Correlation (二次元的な関連分析)
 時系列、かつ複数監視ポイントでのCorrelation
 デバイスに依存しないCorrelation
rule
 既知の情報(プラットホーム、脆弱性など)を加味した判断

リアルタイムなアノマリーモニタリング
 収集したイベントフローを多角的に分析
 統計的異常の検出
10
統合監視システムの基本デザイン
イベント情報の
収集と標準化
リアルタイム分析
+
イベントデータ蓄積
デバイス
監視+調査機能
監視コンソール
エージェント
デバイス
マネージャ
Correlation
Engine
監視コンソール
デバイス
エージェント
デバイス
エージェント
Event
Database
デバイス
11
デバイス非依存性

汎用イベントレコード
 一般的に使用される項
目を網羅した共通フォー
マット
 判断基準の正規化



Severityの標準化
アラームのカテゴライズ
アラームの確度評価
12
デバイス非依存性

カテゴライズによる標準化
独自のカテゴリにイベントを
あてはめて共通化
 機種依存性を排除した
Correlationルールを記述

13
監視コンソールの例
14
相関ルール
15
統合監視システムの動向

最終的にはネットワーク監視との統合が自然・・・・
 ネットワーク障害監視もセキュリティ監視のひとつ?

セキュリティ機器マネジメントからのアプローチ
 セキュリティ専業メーカーのソリューション
 ネットワーク監視との統合ニーズに苦心

ネットワークマネジメント(監視)からのアプローチ
 ネットワーク監視のオプション的位置づけ
 セキュリティ監視の内容が貧弱
16
今後の方向性

ネットワーク監視・管理との統合
 ネットワーク上の異常(障害、アノマリー)検出
 トラフィックフローベースの大局的アノマリー検知

アセットマネジメントとの統合
 保護対象アセットの情報管理とリスク評価

ポリシーマネジメントとの統合
 ネットワーク全体のポリシーとの整合性の監視
 ポリシーの動的管理・自動変更
17