SHieldWARE ファイル改ざん検知 / 防御機能 株式会社富士通ソーシアルサイエンスラボラトリ
ファイル変更監視概要 指定したファイル / ディレクトリへの編集操作をリアルタイムで検知 サーバ 不正ユーザー Web コンテンツディレクトリ ログファイルディレクトリ ファイル読込 ファイル書込 事前定義したファイルへの書込を検知しログ出力 事前定義したファイルへの書込を検知しログ出力 改ざん 改ざん 日時ユーザー ファイル名 操作 2012-06-07 13:01:33.005 suzuki C: 機密情報 顧客名簿.xls 追記 2012-06-07 14:58:09.098 sato D: Log applog.txt 削除 2012-06-07 23:32:58.957 tanaka F: web index.html 作成 統合管理サーバ 管理者 1
迅速な検知 対象ファイルに対するユーザー操作内容をすぐにログサーバに送信 改ざん前後のファイルのハッシュを比べる方式に比べ タイムロスが少ない 公開サーバ 新規作成 名前変更や属性変更も検知可能 リアルタイムで情報収集常に最新情報が確認可能 統合管理サーバ 追記編集 自動同期 削除 管理者がログを確認した時点で最新の情報が揃っているため情報を収集する手間がかからない 管理者 確認 日時ユーザー ファイル名 操作 2012-06-07 13:01:33.005 suzuki C: 機密情報 顧客名簿.xls 追記 2012-06-07 14:58:09.098 sato D: Log applog.txt 削除 2012-06-07 23:32:58.957 tanaka F: web index.html 作成 2
被害状況詳細の把握 ( ログ取得 ) Web コンテンツやログファイルなど特定のファイル / ディレクトリを指定してログを取得取得するログボリュームを最適化 ログボリュームを最適化するために正当なアプリによるファイル出力やログ出力など 特定のプロセスが出力するログは取得しない作りになっている ファイルへの 新規作成 削除 追記 名前変更 属性変更 が監視対象 ログボリュームを最適化するためにファイルのクローズをトリガーとすることで ログが大量に出ない作りになっている ログボリュームを最適化するために正当なユーザーによる操作のログは取得しない作りになっている 3
被害状況詳細の把握 ( ログの統合管理 ) ログは各サーバ上に存在するのではなく 管理サーバに集められます Linux Linux Windows 保護対象サーバ 1 保護対象サーバ 2 保護対象サーバ 3 Windows サーバ4 AP Win Windows サーバ5 AP Win Linux サーバ6 AP Lin コマンド操作ログアクセス違反ログログイン / アウトログファイル操作ログ (Linux) 統合管理サーバ 各 OS 物理 仮想混在環境でのログを一元管理 複数サーバのログを時系列に確認することで犯行の行動分析も可能 4 4
導入例公開サーバ改ざん検知 ハッカー 脆弱性の利用 (BOF) セッションハイジャック その他 インターネット 公開サーバ 内部サーバ DB サーバ 攻撃 踏み台攻撃 Web ブラウザ HTTP サーバ ファイルサーバ Web コンテンツ 不正ユーザーによるファイル改ざんを検知 ファイルの新規作成を検知 バックドアの配置 踏み台攻撃 個人情報 技術情報 機密情報 アクセスログ APP 構成ファイル ID 情報 攻撃を把握 管理者 ログ確認 ログ出力 統合管理サーバ 5
改ざんの検知から防御へ 公開サーバ Step 1 迅速な検知 リアルタイム検知 ファイル変更操作をロギング 記録したログはログ統合サーバへ即送信 Step 2 被害状況詳細の把握 ログ統合サーバ ログ統合サーバにて全環境のログを把握 監視対象すべてのサーバを一括で管理 ログ監視 ファイル単位で変更を監視し 改ざんされたファイルを特定 検知 脅威分析 防御 Step 3 原因究明 OS では取得できないログも記録 ファイル改ざんを行ったユーザーを特定 ログ分析 どのプロセスからファイル改ざんを行ったかを特定 検知対象範囲が広いため 行動分析が可能 公開サーバ Step 4 対処 ユーザー / プロセスを特定してアクセス制御 アクセス制御 不正なユーザーによるファイルへのアクセスを遮断 不正なツールの利用を遮断 6
原因究明 ( ログ検索機能 ) 検索条件を絞ることで 必要なログのみ表示可能 ログの確認時間を短縮 検索キー 期間 ユーザー名 プロセス名 IP アドレス メッセージ文字列 対象ファイル名など 検索結果の CSV エクスポートに対応 7
原因究明 ( ログ分析 ) ファイル改ざん検知ログ いつ誰がどこからどのプロセスでファイル改ざんを行ったかを把握可能 例 : ユーザー (suzuki) がサーバにログインし あるファイルを作成して追記し削除を行い ログアウトした場合 ログは上が新しいものです 日付 08:33.0 02:11.1 02:11.1 02:11.1 02:11.1 00:58.2 IP アドレス 192.168.1.1 69 192.168.1.1 69 192.168.1.1 69 192.168.1.1 69 192.168.1.1 69 192.168.1.1 69 ソース IP アドレス 192.168.1.2 23 192.168.1.2 23 192.168.1.2 23 192.168.1.2 23 192.168.1.2 23 192.168.1.2 23 プロセス名 ログイン実効ユーザー名 ユーザー名 メッセージタイプ メッセージ ID メッセージ sshd suzuki root logout PAM-50410 Logout usrpro c usrpro c usrpro c usrpro c suzuki root fsm File deleted by UNLINK call : LSM-11012 /data/test/testfile suzuki root fsm File written by APPEND call : LSM-11012 /data/test/testfile suzuki root fsm File created by CREATE call : LSM-11012 /data/test/testfile suzuki root exec LSM-10512./usrproc sshd suzuki suzuki login PAM-50310 Login succeeded 一般のUNIXシステムでは取得できない 管理者権限昇格前のユーザー名 や Windowsシステムでは取得できない ログアウト のログなどを取得可能 POINT 不正操作を時系列に沿って行動分析することができます 8
対処 ( アクセス制御による改ざん防止 ) 改ざん防止策 原因分析により判明した条件を指定してアクセス制御 条件 : いつ誰がどこからどのプロセスでどのファイルを改ざんしたか 例 : ユーザー (suzuki) がsuコマンドを利用してrootへ昇格するのを禁止 rootユーザーでも機密情報ファイルへのアクセスを禁止すべてのユーザーに対し ログファイルの編集 削除を禁止など 操作権限 利用できるプロセスを細かく設定することが可能 一般ユーザー Root への昇格を禁止 許可 / 拒否 不正利用 (root 奪取 ) Root の権限を最小化 Read Write Execute ディレクトリ 正規ユーザー Erase FileScan Modify ファイル Audit コマンド 9
対策 ( マルウェアによる改ざんを防止 ) ホワイトリストによる実行制御 新規に配置されるファイルを検知 新規に配置されたプログラムの実行を防止 配置されたマルウェアが動作できないため マルウェアを利用した改ざんを防止可能 ホワイトリストに登録されていないプログラムは動作しない 不正ソフトのインストール ホワイトリスト インターネット ネットワーク経由の攻撃 記憶媒体からの攻撃 10
導入例公開サーバ改ざん防御 ハッカー 脆弱性の利用 (BOF) セッションハイジャック その他 インターネット 公開サーバ 内部サーバ DB サーバ 攻撃 Web ブラウザ HTTP サーバ ファイルサーバ アクセス制御機能にて 不正なユーザーからのコンテンツの編集を防止 正規ユーザーのみ許可正規ユーザーの操作もログは保存する Web コンテンツ アクセスログ ID 情報 バックドアの配置 APP 構成ファイル 個人情報 技術情報 機密情報 アクセス制御とプログラム実行制御の機能を実行することで踏み台に利用されない環境作りが可能 アクセス制御機能にて すべてのユーザーからのログの編集を防止 正規プロセスからのログ出力のみ許可 ホワイトリストによる実行制御新規に配置された実行ファイルは実行させない 11
お問い合わせ 株式会社富士通ソーシアルサイエンスラボラトリ ( 富士通 SSL) http://www.ssl.fujitsu.com E-mail:ssl-info@cs.jp.fujitsu.com TEL:044-739-1251 記載の内容は 2013 年 4 月現在のものです 12