「企業研究所」 -情報セキュリティの分野でのトレーニングプログラム。理論(ウェビナーコース)と実践的トレーニング(ペンテストラボでの作業)で構成されます。 この記事では、トレーニングプログラム全体の約80%を占める実用的なベースの内容を検証します。 この記事には、実習の課題の1つに関する簡単な分析が含まれています。
理想的な侵入不可能な防御を構築することはほとんど不可能であるため、理論的には妥協が発生する可能性があるという事実に備える必要があります。 同時に、正しく構築されたスキームと十分に開発された応答プロセスにより、多くの場合、被害を最小限に抑えることが可能です。
適切なレベルのインフラストラクチャセキュリティを確保するには、そのコンポーネントの継続的な監視が必要です。 これらの目的のために、システムセキュリティの監査を実施し、ログとイベントログを調査し、他の監視ソースからデータを取得する必要があります。
そのような情報は、インシデントに関するデータを使用して保護を改善し、対応プロセスを近代化できます。 システムセキュリティ監査では、次のことができます。
- システム内で特定のアクションを実行した人を見つけ、関与している可能性のある人を特定します。
- アクションの日付を設定します。
- 侵害プロセス中に影響を受けるリソースを特定します。
- 特定の人に障害があるかどうか、またはシステム(ソフトウェア)エラーかどうかを調べます。
- 将来のインシデントの回復と防止のための対策を開発する。
- リスクを評価します。
イベントログ
まず、システムの標準ツールを使用する価値があります。Windowsシステムの場合、これはいわゆる セキュリティログ。 セキュリティログには、成功および失敗したログイン試行などのイベントと、ファイルやその他のオブジェクトの作成、オープン、削除などのリソースの使用に関連するイベントが含まれます。 管理者は、セキュリティログに記録するイベントを選択できます。 たとえば、ログオン監査が有効になっている場合、すべてのログオン試行に関する情報がセキュリティログに記録されます。
レコードの主なパラメーター:
- ログインの監査
- 重要なシステムオブジェクトの変更の監査:ファイル、フォルダー。
- マシンの管理者権限の使用を監査します。
これらの値は、高度な監査ポリシーの構成で、ローカルグループポリシーで構成されます。 これらのポリシーはデフォルトでオフになっていることに注意することが重要です。 これはいくつかの要因によるものです。
- 膨大な数のイベントが発生します(処理および分析が困難)。
- システムアクションおよびプログラムからのユーザーアクションの複雑な分離。
- デフォルトのログサイズは不十分です(20 MB)。
* nixシステムでは、 auditdが存在します。
バージョン2.6以降、Linuxカーネルには、監査用に特別に設計されたサブシステムが含まれており、次のようなシステムイベントを追跡できます。
- システムの起動とシャットダウン(再起動、停止)。
- ファイルのアクセス許可の読み取り/書き込みまたは変更。
- ネットワーク接続の開始またはネットワーク設定の変更。
- ユーザーまたはグループの情報を変更します。
- 日付と時刻を変更します。
- アプリケーションの開始と停止。
- システムコールを行う。
仕組み
カーネルシステムコールを使用しないと、どのオペレーティングシステムでもイベントは発生しません。 新しいプロセスを開始し、ファイルを開いて操作し、OSの時間または種類を要求し、機器にアクセスし、ネットワーク接続を作成し、画面に情報を表示します-これらすべての操作は、オペレーティングシステムのカーネルの機能にアクセスすることで実行されます。 アプリケーションが作業中にカーネル呼び出しに頼らない場合、アプリケーション自体は閉じられており、ユーザーは言うまでもなく、環境との対話がまったくできないことがわかります。 したがって、システムイベントを追跡するには、システムコールへのすべての呼び出しをインターセプトするだけで十分です。
これはまさに監査サブシステムが行うことです。 システムコールの処理を担当するすべての関数の「前」および「後」トリガーを設定し、待機します。 システムコールが発生すると、トリガーが起動し、監査サブシステムはコールとそのコンテキストに関するすべての情報を受け取り、それをauditdデーモンに渡し、システムコールを処理する機能をさらに制御します。 完了後、「出力」トリガーがトリガーされ、システムコールに関するすべての情報が監査サブシステムとauditdデーモンにリダイレクトされます。
当然、OSの実行中ずっとこれらすべてのトリガーをアクティブに保つのは高価で冗長です(起動中にのみアプリケーションは数千のシステムコールを行うことができ、監査ログを完全に分析するには多くの時間を費やす必要があります)。 したがって、デフォルトでは、トリガーは無効になっており、システムコールの名前、実行ステータス、呼び出しが行われたユーザーなどを指定するルールを使用して選択的にアクティブにできます。
ログ分析
ロギングシステムの論理的な開発は、IDS(侵入検知システム)、IPS(侵入防止システム)、SIEM(セキュリティ情報およびイベント管理)システムです。 システム内のイベントをより便利に解釈し、IT担当者の負担を軽減できます。 これらには、システム動作のパターンと攻撃を検出するためのコンポーネントのセットが含まれています。 つまり 本質的に、特定の種類の攻撃/インシデントの存在を判断できるイベントの特定の範囲を収集します。 リアルタイムと一部のイベントの分析の両方で情報を提供できます(この場合、異常への反応が遅れることがあります)。 これらのシステムは、いくつかのソースからデータを収集します。これらのソースは、次のタイプに分類されます。
- ネットワーク
- プロトコルベース;
- アプリケーションプロトコルに基づく。
- 節点
- ハイブリッド
これらのシステムには、収集用のエージェントと、さまざまなプロトコルやデバイスを操作するためのモジュールが含まれている場合があります。 現代の現実では、通常、いくつかのシステムを使用して保護レベルを上げ、インシデントへの迅速な対応を行います。Snort、OSSEC、Prelude SIEMを使用してネットワーク境界を保護します。
誠実さ
データ監査ログまたは特殊なシステムから生じる信頼の問題は、侵害されたシステムで特に高くなります。 多くの人は、ログファイルがどのように保護されていないかを忘れています。 それらは、配置されているマシンにアクセスすることにより、簡単に変更、交換、または破棄できます。 理論的には、システムが侵害された後は、ログファイルなどのシステム上のデータを信頼することはできません。 それらが攻撃者によって意図的に変更されないという保証はありません。
分析用の信頼性の高いデータを得るために、イベントログに集中ストレージスキームを使用できます。 集中型ストレージには、イベント受信サービスのみをインストールして実行する別のサーバーを用意することをお勧めします。 このようなサービスはイベントの受信のみが可能であり、その機能には最初にデータの変更および削除のための機能を含めるべきではありません。
リポジトリでイベントを受信した後、追加の手順を実行できます-バックアップ。 また、バックアップファイルにチェックサムを割り当てて別の場所に保存する(またはすぐに特別なメールボックスに送信する)ことも考えられます。 このようなスキームには多くのバリエーションがあり、そのアプリケーションはイベントログの信頼度を大幅に向上させます。
インシデントログおよび応答システムを使用すると、ITスタッフは今日のインフラストラクチャ攻撃のほとんどを防ぎ、重要なデータをシステムから保護できます。
ペンテストラボでの実践的なトレーニング。 パート1
ペンテストラボでの実践的なトレーニング。 パート2
ペンテストラボでの実践的なトレーニング。 パート3
ペンテストラボでの実践的なトレーニング。 パート4