こんばんわ
CNDの勉強をしていきます
本記事は「インシデント対応とフォレンジック調査」についてまとめていきます
インシデントの対応
セキュリティインシデントに対応するときに系統的で慎重な手順を踏むプロセスをIRといいます。また、コンピュータセキュリティ違反に関連するインシデントの影響に対し、集中的に対応、修正、緩和、回復、伝達する専門家のグループをIRTといいます。
また、インシデント対応能力の確立や管理、強化に関して、今後の行動方針を決定することをIR計画といいます。
組織によって、社内または外部のIRTが持つインシデント対応の名称、役割、責任は異なります。
・管理者(意思決定の権限)
・情報セキュリティチーム(インシデントの検知、阻止)
・ITスタッフ(情報システムとネットワークの知識がある)
・物理セキュリティスタッフ(物理セキュリティの被害を特定する)
・弁護士(法的助言を行う)
挙げたのは一部で他にも色々あります。
一次対応者
一次対応者は、犯罪現場に最初に到着し、インシデントについて人に伝える人員です。
エンドユーザ、ネットワーク管理者等が対応者として該当します。インシデントの早期検知、インシデントの発生源、インシデントの影響、エビデンスの収集や保存など大きな援助を提供します。
FUDの防止
FUDとは、Fully Undetectable(完全にに検出不能)の略で、セキュリティ製品や機能による検知を回避する性能や状態を指します。
インシデントを発見してもパニックにならず、証拠の完全性を損なう行為せず、第一に管理者や社内のフォレンジック調査チームに報告することが大切です!
初期インシデント
インシデントがまず、フォルスかポジティブかを判断することが大切です。
フォルスポジティブ
攻撃が発生していないけど、アラートが作動する状態です
悪意のない行為が危険であると特定されます。
トゥルーポジティブ
攻撃が実際に発生し、アラートが作動する状態です。
正です。
フォルスネガティブ
実際の攻撃が発生したのに、アラートが作動しない状態です。
悪意のある行為を見逃します。
トゥルーネガティブ
攻撃が検知されていないのに、アラートが作動する状態です。
悪意のないアプリも拒否します。
インシデントのカテゴリは「非認証アクセス」「DoS」「悪意のあるコード」「アクセスの行い」「複数の構成要素」に分類されます。
ここから、低レベル、中レベル、高レベルと評価をしていきます!
インシデントの伝達
セキュリティインシデントの発生が疑われる場合、組織の内部と外部の誰に連絡する必要があるかを素早く確認する必要があります。
違反に対しては、迅速に社内のIRTまたは管理者に通知する必要があり、素早く対応し被害を最小に抑えることが求められます!
疑わしいデバイスの情報収集
セキュリティ侵害が発生する、証拠となるデバイスや関連機器を物理的に保護します。
そこから、下記の情報を取得します。
・誰が、なぜ、いつどんな問題を検知したか
・IPアドレス
・システムタイム
・システム名
・システムで実行中のサービスやアプリ
・犯罪に関連する情報
一番大切なのは、自分で調査をすることを控えることです。証拠を失う懸念がありますので。。
フォレンジック調査
フォレンジック調査は、インシデントの影響を受けたシステムから証拠を特定し、収集し、保存し、抽出し、解釈し、文書化し、提示するための手順です!
フォレンジック調査にかかわる人は下記の人たちです。
・弁護士
・カメラマン
・インシデント対応者
・意思決定者
・インシデント分析者
・エビデンス検査員
・エビデンスドキュメンター
・エビデンス管理者
・証人
まとめ
今日はここまでです。
気軽に試してみましょう!って言える範囲で無いのでイメージつきにくいですが、まずは専門家に頼るっていうのがインシデント対応とフォレンジック調査で大事です。
またフォレンジック調査では、裁判とかにも関わるのでメンタルの強さが必要かもしれませんね。。
ここまで読んでいただきありがとうございました。