(Forkwell Library #48)『詳解 インシデントレスポンス』で学び倒すブルーチーム技術

Transcript

1. 『詳解 インシデントレスポンス』で 学び倒すブルーチーム技術 2024.04.10 Tomohisa Ishikawa, Ph.D., CISSP, CSSLP, CCSP,

   CISA, CISM, CFE, PMP Forkwell Library #48

2. Copyright © Tomohisa Ishikawa All rights reserved. 本日お伝えしたいこと 1 これからフォレンジック技術、セキュリティ防御技術を学びたい人を対象として、

   『詳解 インシデントレスポンス』の内容を概説し、本書のポイント・活用方法 を解説します。 • 以下の２部構成でお話をさせていただきます。 – Part I ：『詳解 インシデントレスポンス』の概説 • 『詳解 インシデントレスポンス』の概略を事例を通しながら解説し、学ぶべきポイントを紹介します。 – Part II ：更なるブルーチーム技術の向上方法 • Part IIでは、ブルーチーム技術を概観した後、更にブルーチーム技術を向上する方法を紹介します。 – ①さらに実践的なフォレンジック分析技術を学ぶ方法（＝技術を磨く） – ②本書発売以降に発表された最先端の技術動向を学ぶ方法（＝技術をアップデートする） – ③本書に関連するブルーチーム技術を学ぶ方法（＝関連技術を学ぶ）

3. Copyright © Tomohisa Ishikawa All rights reserved. 自己紹介：石川 朝久（いしかわ ともひさ）

   2 • 所属 ： • Lead Cyber Security Architect @ 東京海上ホールディングス • 資格 ： • 博士（工学）, CISSP, CISSP-ISSMP, CSSLP, CCSP, CISA, CISM, CDPSE, CFE, PMP, 情報処理安全確保支援士 etc. • 経歴 ： • セキュリティ専門会社にて、侵入テスト・インシデント対応・脆弱性管理・教育に従事した後、2019年度より現職。 • 現在は、Global Fusion Center（GFC）企画立案と構築、セキュリティアーキテクチャ検討、グローバルセキュリティ戦略・国内外の グループ企業のセキュリティ支援・TMHD-CSIRT運用・脅威インテリジェンス分析などに従事。 • 対外活動（抜粋）： – 講演・講師： • DEFCON 24 SE Village Speaker (2016) • Internet Week Speaker (2018-2020, 2022) • FIRSTCON23 Speaker（2023） • セキュリティ・キャンプ 全国大会講師（2023） • Global Security Camp 2024 Instructor（2024） – 委員会活動： • 総務省 サイバーセキュリティエキスパート（2024～） • IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員（2018~） • IPA 「10大脅威執筆者会」メンバー（2010～2014, 2019~） – 執筆・翻訳・監訳： • 複数の本を執筆・翻訳・監訳しています。 – 調査・研究： • 情報処理学会・電子情報通信学会で研究発表をしています。

4. Part I：『詳解 インシデントレスポンス』の概説 3

5. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 4

   • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動

6. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 5

   • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 概要・準備パート 脅威動向とインシデント対応の「準備」に ついて紹介 トリアージパート 保全する端末・サーバを選択するための トリアージ技術の紹介 保全パート 詳細な解析を行うため、メモリ・ディスクを 保全する技術の紹介 解析パート 保全したメモリ・ログ・ディスクなどの解析を 行う技術の紹介 改善パート 実施した対策の検証方法と、脅威ハンティング 技術の紹介

7. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：ランサムウェア事案を題材に... 6 ＜状況＞

   • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 ランサムウェア事案を事例研究として、本書の 各パートがどのように役立つか見ていきます。

8. いざ、インシデント対応へ！ でもその前に… 7

9. 概要・準備パート （１～２章） 8

10. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：概要・準備パート 9 •

    インシデント対応を成功に導くためには、「備え」が重要！ Process People Technology • インシデント対応プロセス • インシデント対応計画・手順書 • 指揮命令系統の整理 • ハードスキル • ソフトスキル • トレーニング・サイバー演習 • 基本的なセキュリティ管理 • ベースラインの把握 • ツールの検証 • 十分な可視化（Full-Spectrum Visibility） • インシデント対応用の装備 • 事業継続と災害復旧 （参考）https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/ （参考）https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf ＜インシデント発生時の指揮命令系統の例＞ ＜NIST Incident Response Life Cycle＞

11. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：概要・準備パート 10 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 概要・準備パート 脅威動向とインシデント対応の「準備」に ついて紹介

12. トリアージパート （３～４章） 11

13. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：トリアージパート 12 ＜状況＞

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 ＜次のアクション＞ • 被害端末３台については、詳細調査が必要であること は明白！ • 目に見える被害はないが、同じセグメントにいるなど 技術的・論理的に考えて被害を受けた可能性を否定を できない疑義端末・疑義サーバをどう取り扱うか？ → スコーピングの問題 • 詳細調査に回すかどうかを判断する必要あり！ – 詳細調査に回すのであれば、時々刻々と変化する端末・ サーバ群をできるだけ「保全」したい。 – 一方で、企業としては調査と同時に現在の事業継続を行 いたく、影響がない端末・サーバは稼働し続けたい。 – 詳細調査を行うと数週間かかるケースも多く、また外部 のセキュリティベンダーを利用すると$$$もかかる。 トリアージ技法

14. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：トリアージパート 13 •

    トリアージとは？ – 災害発生時など多数の傷病者が発生した場合に、傷病の緊急度や重症度に応じて治療優先度を決めること – 転じて、サイバーセキュリティの世界では、インシデントの範囲を特定し、詳細調査に回す端末・サーバ を特定する技術・プロセスを指す。 （参考）https://www.nli-research.co.jp/report/detail/id=53548?pno=5&site=nli （参考）https://www.hokeniryo.metro.tokyo.lg.jp/iryo/kyuukyuu/saigai/triage.html ＜トリアージ・タグ＞ ＜トリアージの分類＞

15. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：トリアージパート 14 •

    トリアージ技法： – ローカル vs. リモート – WMIC、PowerShell、サードパーティ製品を利用して 調査する。 – 疑義端末上に不審な接続、プロセス、ポート、サービス、アカウント、ファイル etc.がないか確認する。 ＜トリアージの実例（書籍：p.56より掲載）＞

16. 15 https://www.sans.org/posters/hunt-evil/

17. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：トリアージパート 16 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 トリアージパート 保全する端末・サーバを選択するための トリアージ技術の紹介

18. 保全パート （５～６章） 17

19. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：保全パート 18 ＜状況＞

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ABC社 ＜次のアクション＞ • 被害端末３台（赤） + トリアージで発見された３台 （青）を詳細調査に回すため、「保全」作業を行う。 • ロカールの交換原理 • 保全対象 – 揮発性（volatile） • メモリの保全 – 不揮発性（nonvolatile） • ディスクイメージング • 状況に応じ、適切な保存手法を選択する必要がある • 例）大量のメモリを搭載し、稼働し続けるサーバ – 5.4 ライブメモリ解析 – PCと同様のメモリダンプの取得は適切でないかも？ – メモリの最初のページをコピーしてから最後のページがコピーさ れるまで、メモリは絶え間なく変化するため、取得したメモリ データの破損につながり、効率的な解析ができない可能性がある。 – メモリダンプを取得する代わりに、調査対象システムが稼働して いる状態で、ライブ解析を行う方が有効かも…

20. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：保全パート 19 •

    ロカールの交換原理（Locard’s exchange principle） – 法医学（Forensic Science）の概念で、「人が犯罪現場で活動すれば、人は犯罪現場に何かを 残し、また犯罪現場から何か持ち出す」という概念（本書：p.110） – 法執行機関は、犯罪現場周辺を封鎖し、犯罪現場に立ち入る人間の出入りを詳細に記録し、 保護具を着用しているのは、当該原則で環境を汚染しないため

21. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：保全パート 20 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 保全パート 詳細な解析を行うため、メモリ・ディスクを 保全する技術の紹介

22. 解析パート （７～１２章） 21

23. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：解析パート 22 ＜状況＞

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ＜次のアクション＞ • 保全したデータを解析し、攻撃者の振る舞いを時系列 解析して、「影響範囲」と「根本原因」を分析する。 • 07章 ネットワークセキュリティ監視 – ログ、パケットなどを分析してネットワーク上で何が起 きたか分析する技術（例：C2通信の分析） • 08章 イベントログ分析 – イベントログを分析し、端末で何が起きたかを明らかに にする分析（例：プロセスやPowerShellの実行 etc.） • 09章 メモリ解析 – 端末上のメモリを分析し、実行されたプロセス、サービ ス、ネットワークを分析する。保全時点で実行されたプ ロセス、ファイルレスマルウェアの挙動を分析可能 • 10章 マルウェア解析 – 端末上に残存していたマルウェアの挙動を解析し、マル ウェアがどのような挙動をしていたか分析する。 • 11章 ディスクフォレンジック – ディスク上のファイルシステムやアーティファクトを分 析し、侵害の時系列を分析する。 • 12章 横断的侵害の分析 – 攻撃者がよく使う端末間の移動（=横断的侵害）を分析 する技術 ABC社 青字：ネットワーク・端末間の分析 赤字：端末・端末のアーティファクト分析

24. 23 図9.6 より掲載

25. 24 図11.7 より掲載

26. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：解析パート 25 •

    第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 解析パート 保全したメモリ・ログ・ディスクなどの解析を 行う技術の紹介

27. 改善パート （１３～１４章） 26

28. Copyright © Tomohisa Ishikawa All rights reserved. 事例研究：改善パート 27 ＜状況＞

    • ランサムウェアによる攻撃が発生し、3台の被害端末が 暗号化されていることが判明した。 • ファイアウォールによる全遮断と被害端末の論理的隔離に より、最低限の処理が済んでいる段階である。 ＜次のアクション＞ • 解析パートにて、影響範囲と根本原因が判明したため、 後続のアクションとして、対策を行う。 • 実装した対策が適切に機能しているか、更なる改善の 余地がないか、敵対的エミュレーション技術を使って 対策の有効性を検証する。 – 例）MITRE ATT&CK – 例）Red Canary • また、将来において、侵害をリアクティブ（受動的） に対応するのではなく、プロアクティブ（能動的）に 「未知の脅威」を検出するために、脅威ハンティング を実施する。 ABC社

29. Copyright © Tomohisa Ishikawa All rights reserved. 『詳解 インシデントレスポンス』の構成 28

    • 第1部 準備 – 01章 脅威の動向 – 02章 インシデントへの準備 • 第2部 対応 – 03章 リモートトリアージ – 04章 リモートトリアージツール – 05章 メモリの取得 – 06章 ディスクイメージング – 07章 ネットワークセキュリティ監視 – 08章 イベントログ分析 – 09章 メモリ解析 – 10章 マルウェア解析 – 11章 ディスクフォレンジック – 12章 横断的侵害の分析 • 第3部 精緻化 – 13章 継続的な改善 – 14章 プロアクティブな活動 改善パート 実施した対策の検証方法と、脅威ハンティング 技術の紹介

30. Part II：更なるブルーチーム技術の向上方法 29

31. Copyright © Tomohisa Ishikawa All rights reserved. 更なるブルーチーム技術の向上方法 30 本書を読んだ後、更にブルーチーム技術を向上させる手法として、以下の３種類について紹介します。

    • ①さらに実践的なフォレンジック分析技術を学ぶ方法（＝技術を磨く） • ②本書発売以降に発表された最先端の技術動向を学ぶ方法（＝技術をアップデートする） • ③本書に関連するブルーチーム技術を学ぶ方法（＝関連技術を学ぶ） 参考）ブルーチームとは？ Red Team Blue Team • 組織のサイバーセキュリティを強化する目的 で、攻撃者のTTPを実際に模擬し攻撃を行う チーム • 組織の情報システムにおけるセキュリティを 確保し、模擬あるいは実際のサイバー攻撃か ら情報システムを守る役割を担うチーム （参考）https://www.sompocybersecurity.com/column/glossary/red-team （参考）https://www.sompocybersecurity.com/column/glossary/blue-team

32. Copyright © Tomohisa Ishikawa All rights reserved. ①さらに実践的なフォレンジック分析技術を学ぶ方法（＝技術を磨く） 31 •

    ①学習向けイメージを使って分析練習 or ②ラボ環境を構築し、攻撃 → 分析を行ってみる。 – 例）フォレンジック学習向けのイメージデータ • https://soji256.hatenablog.jp/entry/2019/06/12/073049 – 例）Applied Incident Response → ラボ構築用スクリプトが用意されている • https://www.appliedincidentresponse.com/resources – 例）Atomic Red Teaming（Red Canary） • https://github.com/redcanaryco/atomic-red-team • https://atomicredteam.io/ • 攻撃者が利用するテクニックを、簡単にテストするスクリプトをまとめたプロジェクト – 例）Adversary Emulation Library（CTID：Center for Threat-Informed Defense） • https://github.com/center-for-threat-informed-defense/adversary_emulation_library • CTIDが作成したAdversary Emulationスクリプト。MITRE Engenuityが実施しているEnterprise Evaluation（商用製品の検知能 力評価プロジェクト）を円滑に行うために作成されたスクリプトが公開されている。 – https://attackevals.mitre-engenuity.org/enterprise/ • Micro Emulation Planと呼ばれるAtomic Red Teamのようなスクリプト等も用意されている。 – https://github.com/center-for-threat-informed-defense/adversary_emulation_library/releases

33. 32 https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1003.001/T1003.001.md

34. 33 https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1003.001/T1003.001.md

35. Copyright © Tomohisa Ishikawa All rights reserved. ②本書発売以降に発表された最先端の技術動向を学ぶ方法（＝技術をアップデート） 34 •

    フォレンジック技術は、OSの更新等とともに新しい技術が登場する。最新のテクニックを収集するため、 カンファレンス・ブログなどの情報をリサーチしていく必要がある。 → $$$に余裕がある場合は、有償トレーニングを受講するのも一つの手段！ – SANS DFIR Summit 2024 • https://www.sans.org/cyber-security-training-events/digital-forensics-summit-2024/ • 過去動画は、YouTubeで閲覧することが可能（例：SANS DFIR Summit & Training 2023） – JSAC : JPCERTが主催するカンファレンス • https://www.youtube.com/@jpcert_cc – SANS Digital Forensics Poster • https://www.sans.org/posters/ – SANS Blog • 例）https://www.sans.org/blog/google-chrome-platform-notification-analysis/ – デジタル・フォレンジック研究会 • https://digitalforensic.jp/ – Yamato Security • https://yamatosecurity.connpass.com/event/

36. 35 https://www.sans.org/posters/enterprise-cloud-forensics-incident-response-poster/

37. 36 https://www.sans.org/posters/windows-forensic-analysis/

38. 37 https://www.sans.org/posters/hunt-evil/

39. Copyright © Tomohisa Ishikawa All rights reserved. ③本書に関連するブルーチーム技術を学ぶ方法（＝関連技術を学ぶ） 38 •

    本書は良書だが、ブルーチーム技術をさらに深めるためには… 別プラットフォーム 関連技術を深めたい Linux OS モバイル・フォレンジック クラウド フォレンジック macOS ネットワーク解析 （第７章） メモリ解析 （第9章） マルウェア解析 （第10章） 脅威ハンティング （第13 & 14章）

40. Part III：Wrap-Up 39

41. Copyright © Tomohisa Ishikawa All rights reserved. Wrap-Up 40 •

    本日は、フォレンジック技術、セキュリティ防御技術を学びたい人を対象として、 『詳解 インシデントレスポンス』の内容を概説し、本書の活用方法を解説させていただきました。 • Part I ：『詳解 インシデントレスポンス』の概説 – 書籍の構成をお話した後、事例と突き合わせながら、本書の活用ポイントをお話いたしました。 • Part II ：更なるブルーチーム技術の向上方法 – 本書を読破いただいた後、更なる技術習得技法についてお話されていただきました。 • ①さらに実践的なフォレンジック分析技術を学ぶ方法（＝技術を磨く） • ②本書発売以降に発表された最先端の技術動向を学ぶ方法（＝技術をアップデートする） • ③本書に関連するブルーチーム技術を学ぶ方法（＝関連技術を学ぶ）

42. 41 Thank You!