すべてのシステム管理者の前に、遅かれ早かれ、既存のネットワーク保護ツールの有効性について疑問が生じます。 ファイアウォールがかなり安全に構成されていることを確認する方法は? ストリーミングウイルス対策が必要ですか?IPSは動作しますか? メールは保護されていますか? 原則として、このような問題を解決するには、侵入テストを実施することを提案します。 ただし、コストが高すぎるか複雑すぎる(自分で行う場合)ため、このような徹底的な分析は必ずしも必要ではありません。 幸いなことに、保護ツールの基本的なチェック(主にファイアウォールとアンチウイルス保護のチェック)を実行できるオンラインリソースがあります。 もちろん、これは完全なPenTestを置き換えることはできませんが、最も単純で最も一般的な種類の攻撃からネットワークがどれほど安全であるかを知ることができます。
このトピックに興味があるなら、猫にようこそ…
Check Point CheckMe-インスタントセキュリティチェック
ファイアウォールのセキュリティレベル(UTMかNGFWか)の包括的な分析を行うツールでレビューを開始したいと思います。 これがCheck Point CheckMeです。
このサービスには、ランサムウェア、フィッシング、ゼロデイ攻撃、ボットネットワーク、コードインジェクション、アノニマイザーの使用、データ漏洩の脆弱性についてコンピューターとネットワークをチェックする一連のテストが含まれています。
CheckMeはどのように機能しますか?
- リンクをたどってください 。
- ブラウザでスキャンを実行します。
- お使いのブラウザは、ネットワークのセキュリティを分析するためにCheckMeとデータを交換します(ネットワークに実際のリスクはありません)
ネットワークスキャン結果のあるページの例:
下部にある[ 完全レポートを取得]ボタンをクリックすると、結果を含む詳細レポートと電子メールの修正マニュアルを受け取ります(「CheckMeレポート」という件名で「CheckMe@checkpoint.com」から送信されます)
どの脅威がチェックされますか?
CheckMeは、次の攻撃ベクトルの出発点となり得るさまざまなシナリオをシミュレートします。
- 恐torソフトウェアは、ユーザーファイルを暗号化し、それらを解読するために身代金を要求するマルウェアです。
- 個人情報の盗難/フィッシング攻撃-本物のように見える偽のWebサイトを使用した個人情報の盗難。
- ゼロデイ攻撃-驚きの要素を使用し、開発者が知らないソフトウェアの穴を使用します。
- ボット-悪意のある攻撃を実行して、攻撃者が感染したコンピューターを完全に制御できるようにします。
- ブラウザーへの攻撃-Webサイトに悪意のあるスクリプトを導入して、被害者になりすますために被害者のCookieを盗みます。
- 匿名のウェブサーフィン-ユーザーはネットワークアクティビティを隠すことができます。 組織のネットワークにギャップを開く可能性があります。
- データ漏洩-盗難または偶発的な暴露による組織のネットワーク外への秘密または機密情報の転送。
テストの説明
1)脅威-恐exソフトウェア
このテストは、ネットワーク経由でウイルステストファイル(EICAR-Test-File)をダウンロードします。
2)脅威-個人情報の盗難/フィッシング攻撃
このテストは、ネットワークを介してフィッシングおよび悪意のあるサイトへの接続を生成します。
接続に成功すると、フィッシング攻撃の被害に遭い、個人情報が盗まれる可能性があることを示します。
CheckMeは、次のサイトからfavicon.icoファイルをダウンロードすることにより、このテストをシミュレートします。
サイト1
サイト2
3)脅威-ゼロデイ攻撃
このテストでは、ゼロデイ攻撃でよく使用されるさまざまな形式のファイルをダウンロードします。
CheckMeは、次のファイルをダウンロードしてこのテストをシミュレートします。
ファイル1
ファイル2
ファイル3
4)脅威-ブラウザへの攻撃
このテストでは、ネットワークがクロスサイトスクリプティング(XSS)、SQLインジェクション、およびコマンドインジェクションから保護されていることを確認します。
CheckMeは、次のテストサイトに接続することにより、このテストをシミュレートします。
サイト1
サイト2
サイト3
5)脅威-ボット感染
このテストは、よく知られているコマンドアンドコントロールプロトコルを介してボットのアクティビティをシミュレートします。
CheckMeは、次の行を配置してこのテストをシミュレートします。
クレジットカード= 1234&expyear = 2017&ccv = 123&pin = 1234
に
www.cpcheckme.com/check/testsAssets/post.html
6)脅威-アノニマイザーの使用
このテストでは、ネットワークを介して匿名化するサイトに接続する機能をチェックします。
CheckMeはwww.hidemyass.comにアクセスしようとしているときに接続をシミュレートします
7)脅威-機密データの漏洩
このテストでは、構造化されたトラフィックを生成し、ネットワークを介してパブリックサイトでクレジットカード番号(HTTPおよびHTTPS経由)をテストします。
すべてのテストは安全であり、ユーザーデバイスとネットワークにリスクをもたらしません!
管理者は、テストシミュレーションを通知するセキュリティアラートを表示できます。
フォーティネットテスト
フォーティネットが提供する検証も興味深いものになります。 テストはそれほど複雑ではなく、一般的な意味で、テストウイルス(eicar)のさまざまな配信方法をテストします。 さまざまなネスト度のアーカイブ(アーカイブ内のアーカイブ-最大10度のネスト)の形式で、eicarファイルをオープン形式でダウンロードする機能がチェックされます。 アーカイブ自体には、zip、rar、tar、cab、7zipのいくつかのタイプがあります。 パスワードで保護されたアーカイブもあります。 結果に基づいて、システムが処理できない脅威の種類を確認できます。
Fortinetテストを実行する
HTTPS経由でアーカイブされたEicar
ほとんどのウイルス対策テストでは、Eicarファイルが使用されます。 したがって、サードパーティのサービスにアクセスすることはできず(多くはベンダーテストを信頼しません)、 eicar.org Webサイトを直接使用することはできません。
ここでは、テストファイルをダウンロードすることもでき、次のオプションが可能です。
ご覧のとおり、アーカイブ形式のオープンな形式のeicarファイルがあります。 特徴的な機能は、httpsプロトコルを介してファイルをダウンロードする機能です。 つまり ファイアウォールでhttpsインスペクションが設定されていない場合(Cisco、CheckPoint、Fortinetなど)、ファイルは問題なくダウンロードされます。 おそらくオペレーティングシステムによってブロックされます(少なくともWinodws 10では)が、これは既に深刻な「鐘」です。 最近のほとんどのリソースは長い間httpsに切り替えられています。つまり、httpsの検査がなければ、保護ツールは何も見えず、ウイルスが水のようにふるいを通過することになります。
オンラインサンドボックス(サンドボックス)
「サンドボックスとは何ですか?」という質問については詳しく検討しません。特に少し後から、これに短いシリーズの記事を捧げます。 サンドボックスの主なタスクは、ファイルを実行し、その後に何が起こるかを確認することです。 結果によると、このファイルの有害性に関する判定が発行されます。 サンドボックスは、従来のアンチウイルスではまったく検出されないマルウェアとの戦いに役立ちます。 サンドボックス内のファイルを確認できるオンラインサービスがいくつかあります。
これらのサービスは、ストリーミングウイルス対策のチェックに非常に役立ちます。 たとえば、Torネットワークでウイルスファイルをダウンロードし、ウイルス対策(作業環境ではなくレイアウトで改善)を実行し、オンラインサンドボックスでチェックインできます。 次に、結果を比較して、ウイルス対策が十分ではないことを確認します。
オンラインアンチウイルス
ここでは、多数のリンクを引用できます。なぜなら、 ほとんどすべての自尊心のあるアンチウイルスにはオンラインスキャナーがあります。 ただし、これらのリンクのほとんどすべてを1つに置き換えることができます-VirusTotal
このリソースを使用すると、ファイルおよびリンクの感染をスキャンできます。 この場合、分析は多くのアンチウイルスを使用して実行され、それぞれの判定を確認できます。
URLチェック機能は非常に興味深いものです。 これにより、プロキシまたはWebトラフィック保護ツールの有効性を確認できます。 ウイルスサイトを見つけ、virustotalで確認し、プロキシを介して開くかどうかを確認します。
オンラインファイアウォールおよびポートスキャナー
これらのツールは、ネットワークをテストするときにも役立ちます。
オンラインスパム対策およびメールセキュリティスキャナー
EmailSecurityCheck
このリソースを使用すると、メールサーバーのセキュリティを確認できます。 これを行うには、さまざまな方法でパッケージ化されたテストウイルスファイルを含む複数の電子メールが送信されます。 それでもこれらの手紙のいずれかを受け取った場合、これはメールサーバーのセキュリティを反映する機会です。
次は?
上記のサービスを使用すると、既存のセキュリティ機能の有効性に関する結論を引き出すことができます。 保護の有効性だけでなく、インシデント検出プロセスにも注意してください。 すべてのIBイベントについて可能な限り通知する必要があります。 これは、組み込みツール(電子メールアラート、デバイスのダッシュボードなど)またはサードパーティ(SIEMまたはログ管理システム)を使用して実現されます。
次の論理ステップは、ネットワークセキュリティ監査を実施することです。 これは、CheckPointまたはFortinetを使用して無料で実行できます。 これについてはこちらとこちらをご覧ください 。 チェックポイントソリューションのアーキテクチャについてはすでに部分的に説明しましたが、次の投稿では、ネットワークセキュリティの無料監査を行うための使用方法について説明します。
PS Check Pointを使用しても、テストに合格しなかった場合、 ここでは、保護を強化する方法、つまり「ネジを締める」を確認できます。