セキュリティ統合監視システムのデザイン
Download
Report
Transcript セキュリティ統合監視システムのデザイン
NETWORLD+INTEROP 2003 TOKYO
セキュリティ統合監視
システムのデザイン
セキュリティ技術部
二木 真明
セキュリティシステム監視の目的
セキュリティ機器の正常動作の監視
セキュリティ上の問題や事件を早期に発見
セキュリティに関する傾向の掌握
2
監視対象
ファイアウォール
IDS (NIDS/HIDS)
ログ(ネットワーク機器、サーバ)
ウイルス対策システム
物理的セキュリティシステム
3
何を監視する?
ファイアウォール
セッション許可、不許可のログ
セキュリティアラーム
システムアラーム
IDS
シグネチャ検出アラーム
異常(アノマリー)・ポリシー違反検出アラーム
システムアラーム
シグネチャ更新状況など
4
何を監視する
サーバ、各種機器のログ
アプリケーション(サービス)の動作状況
システム(OS)の動作時状況
ウイルス対策
ウイルスの検出アラーム
パターンファイル更新状況など
物理セキュリティ
鍵の開け閉め
人(動物、物体)の移動
温度、湿度などの環境条件
火災、振動その他異常な状況
5
事件発生
何をトリガにして動き出すか・・
アラーム、エラーの発生(具体的事象)
通常ではないなにかの発生(いやな雰囲気)
最初に何をすべきか
実際に問題が発生したのかの調査(誤報排除)
問題の深刻さの判定(対応の優先度付け)
6
FORENSICSとリカバリー
実際に有効な攻撃であった場合の対応
攻撃対象の緊急隔離・影響調査
重要なリソースの保護を最優先
影響、被害の推定と証拠(ログ、被害内容)の保全
証拠の解析と犯人、手口の特定
ログなどの解析、追加情報の取得
泳がせ捜査(可能な場合)
対策と復旧
侵入口の封鎖、対策の追加、被害の復旧
7
監視システムはどこまでできる?
マニュアル化可能なオペレーションの自動化
複数の機器からのアラーム、ログの関連付け分
析(Correlation :相関分析)
数値化、定量化可能な「異常」の監視
「いやな雰囲気」をどう数値化するか
初動対応は不可能ではない、捜査は困難
問題のあるセッションを切る。ポリシーを変更・・く
らいまでは可能か・・・。
8
Correlation (関連性の分析)
たとえばクラッカーの行動を分析してみる
ポートスキャンを行って脆弱点を見つける
IDS でスキャンを検知する
脆弱点を攻撃して管理権限を取得
IDSで攻撃を検出
サーバ側にAccept Logが出る
バックドアを仕掛ける
サーバから外部にftp/httpなどのコネクション発生
9
賢い監視システムとは・・・
マルチベンダ対応
各種のログ・アラームを標準化して収集可能
Cross-Correlation (二次元的な関連分析)
時系列、かつ複数監視ポイントでのCorrelation
デバイスに依存しないCorrelation
rule
既知の情報(プラットホーム、脆弱性など)を加味した判断
リアルタイムなアノマリーモニタリング
収集したイベントフローを多角的に分析
統計的異常の検出
10
統合監視システムの基本デザイン
イベント情報の
収集と標準化
リアルタイム分析
+
イベントデータ蓄積
デバイス
監視+調査機能
監視コンソール
エージェント
デバイス
マネージャ
Correlation
Engine
監視コンソール
デバイス
エージェント
デバイス
エージェント
Event
Database
デバイス
11
デバイス非依存性
汎用イベントレコード
一般的に使用される項
目を網羅した共通フォー
マット
判断基準の正規化
Severityの標準化
アラームのカテゴライズ
アラームの確度評価
12
デバイス非依存性
カテゴライズによる標準化
独自のカテゴリにイベントを
あてはめて共通化
機種依存性を排除した
Correlationルールを記述
13
監視コンソールの例
14
相関ルール
15
統合監視システムの動向
最終的にはネットワーク監視との統合が自然・・・・
ネットワーク障害監視もセキュリティ監視のひとつ?
セキュリティ機器マネジメントからのアプローチ
セキュリティ専業メーカーのソリューション
ネットワーク監視との統合ニーズに苦心
ネットワークマネジメント(監視)からのアプローチ
ネットワーク監視のオプション的位置づけ
セキュリティ監視の内容が貧弱
16
今後の方向性
ネットワーク監視・管理との統合
ネットワーク上の異常(障害、アノマリー)検出
トラフィックフローベースの大局的アノマリー検知
アセットマネジメントとの統合
保護対象アセットの情報管理とリスク評価
ポリシーマネジメントとの統合
ネットワーク全体のポリシーとの整合性の監視
ポリシーの動的管理・自動変更
17