INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
- 1. ROOM F
- 2. アンケートにご協力ください。 ●アンケートに 上記の Session ID のブレイクアウトセッションに チェックを入れて下さい。 ●アンケートはお帰りの際に、受付でご提出ください。 マイクロソフトスペシャルグッズと引換えさせていただきます。
- 3. ROOM B Ask the Speaker のご案内 ●本セッションの詳細は、EXPO 会場内 『Ask the Speaker』コーナー Room A カウンタにてご説明させて いただきます。是非、お立ち寄りください。 Ask the Speaker EXPO会場MAP
- 5. 本セッションでわかること
- 6. その他抑えておきたい動向
- 9. NIST SP 800-61 準備 やられないようにする 防御力向上 検知・分析 やられている事を すぐに検知する 検知分析 根絶・復旧・ 封じ込め やられても被害を 小さくする 被害軽減 事件発生後の 対応 やられた後でも、 情報を保護する 事後対応 費用対効果を下げる 4 つのフェーズ
- 12. サイバー攻撃の流れ 資格情報のレベルアップ Level 1 資格情報 Level 2 資格情報 Level 3 資格情報 ドメイン掌握
- 13. AD 到達 9 のミッション
- 14. AD 到達 9 のミッション
- 16. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 3.クライアントへ 侵入拡大 9.Active Directoryを掌握 4.ドメインユーザーの 資格情報取得 5.サーバーへ侵入 を拡大 6.サーバーから機密情報 をゲット クライアント サーバー ドメインコントローラー 7.ドメイン管理者 の資格情報取得 8.Active Directory へ侵入を拡大
- 18. マルウェア憎んで人を憎まず
- 22. ATP による標的型メール対策 (添付型) マルウェア 安全なメール マルウェアが 添付されたメール Sandbox 仮想メモリで 疑似的に実行 ATP = Advanced Threat Protection
- 23. ATP による標的型メール対策 (リンク型) マルウェア オリジナルのリンク 安全なリンク クライアントが受信検査用プロキシリンク先 Safe Link リンクを変換
- 24. マルウェアコード署名が付与された アプリケーションは実行可能 その他アプリケーションは 実行不可能 マルウェア その他アプリケーション Windows 10 による対策 Device Guard
- 26. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 9.Active Directoryを掌握 4.ドメインユーザーの 資格情報取得 5.サーバーへ侵入 を拡大 6.サーバーから機密情報 をゲット 攻撃者 サーバー ドメインコントローラー 7.ドメイン管理者 の資格情報取得 8.Active Directory へ侵入を拡大 3.クライアントへ 侵入拡大
- 28. 運用による対策 UAC をデフォルト以上に設定 Windows Firewall を利用 ファイルの共有等はポータル経由で実施 キッティングで同じユーザー名とパスワードを使用しない
- 29. UAC の設定 (UAC
- 30. ファイルの共有等はポータル経由で実施 ○ ○ × SharePoint Online + 電話認証
- 31. LAPS による対策 ( 端末毎に管理者 パスワードを自動的 にランダム化 グループポリシーで 一元管理 PTH 等に有効 管理者パスワードを自動的にランダム化
- 33. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 3.クライアントへ 侵入拡大 9.Active Directoryを掌握 6.サーバーから機密情報 をゲット 攻撃者 サーバー ドメインコントローラー 7.ドメイン管理者 の資格情報取得 8.Active Directory へ侵入を拡大
- 36. ATA による対策 (ATA = Microsoft Advanced Threat Analytics) 資格情報を狙った 攻撃を検知 視覚的に把握が容易 なレポート 容易な構成 Pass The Hash Golden Ticket Brute Force 等 セキュリティ状況を図示 ミラーポートへ接続する だけ
- 37. Windows 10 による対策 Credential Guard LSASS これまでの資格情報保存場所 LSAIso Windows 10 での 資格情報保存場所 × ○
- 39. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 3.クライアントへ 侵入拡大 9.Active Directoryを掌握 4.ドメインユーザーの 資格情報取得 5.サーバーへ侵入 を拡大 攻撃者 クライアント ドメインコントローラー 7.ドメイン管理者 の資格情報取得 8.Active Directory へ侵入を拡大
- 41. Azure RMS による対策 (Azure RMS = Azure Rights Management Services) ファイルの アクセス制限 各種フォーマットに 対応 後からアクセス権を剥奪 可能 暗号化 印刷/コピー制御 有効期限 Office ファイル以外にも、 txt、pdf、画像等 にも対応 万が一、漏洩してもファイ ルを追跡可能
- 43. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 3.クライアントへ 侵入拡大 9.Active Directoryを掌握 4.ドメインユーザーの 資格情報取得 5.サーバーへ侵入 を拡大 6.サーバーから機密情報 をゲット 攻撃者 クライアント
- 45. 運用による対策 Active Directory の管理ユーザーで他のマシンへログオンしない Active Directory 管理マシンの専用化 スマートカード等を利用した二要素認証 クライアント/サーバー/ドメインコントローラーのユーザーはしっかりと分けて利用
- 47. AD 到達 9 のミッション 1.侵入 2.ローカルの資格情報取得 3.クライアントへ 侵入拡大 4.ドメインユーザーの 資格情報取得 5.サーバーへ侵入 を拡大 6.サーバーから機密情報 をゲット 攻撃者 クライアント サーバー 7.ドメイン管理者 の資格情報取得 8.Active Directory へ侵入を拡大
- 52. OMS による対策 (OMS = Operations Management Suite) セキュリティ状況
- 53. OMS による対策 (OMS = Operations Management Suite) 注意すべき問題
- 56. AD 到達 9 のミッション
- 58. NIST SP 800-61 準備 やられないようにする 防御力向上 検知・分析 やられている事を すぐに検知する 検知分析 根絶・復旧・ 封じ込め やられても被害を 小さくする 被害軽減 事件発生後の 対応 やられた後でも、 情報を保護する 事後対応 攻撃者の費用対効果を下げるには