出発点として参考にする。-- ToshinoriMaeno 2022-12-03 00:37:02

https://twitter.com/58_158_177_102/status/1287582571690303488

2020年7月27日

[重要なこと・意識変革]

今までは、情報資産を価値としてとらえていたから、うちは狙われる情報なんて、となっている組織もあったが、 攻撃者にはシステムが資産であり、攻撃者はシステムを狙っていると認識すること

  ・ 基本は総合力向上・あらゆるセキュリティ対策要素が求められる

根本的に対策するなら、システムをインターネットから分離する覚悟で。 それがビジネスやコストでできないのではあれば、様々なポイントを弥縫する覚悟が重要。 総合力でなんとかするしかない。 午前11:56 · 2020年7月27日

1. 全ての根源は侵入防止(侵入)

1.1. <VPN>

管理者アカウントやビルトインアカウントでVPNを使えないようにする(adminなど)

1.2. <RDP>

1.3. <シンクライアント>

(外部から端末やレシーバ等でアクセスを許可している場合)

1.4. <メール>

1.5. <NW>

<その他>

※流出したアカウントの叩き潰しは、その情報収集の難度や適法性からもユーザ企業には困難

2. 侵入を防止し気づく仕組みを(攻略)

<NW>

(ハニーポットサーバを置いて、通信があったら検知するなど、手法はいろいろ)

<AD>

ADを含めサーバにAVやEDRを導入する(かつ、検知されたらリアルタイムで反応できる監視体制をひく)

<端末>

3. 被害の早期検知・最小化(軽減・回復)

<NW>

<AD・各サーバ>

<バックアップ>

テープなどの物理的に別な方式で取得する

などなど、世代管理も含めリスクに応じたバックアップ自身のシステムとライフサイクルを再設計する

<インシデントハンドリング>

<その他>

4. 今後

クラウドの管理者アカウントが乗っ取られるとか、クラウド側を攻撃される可能性もあると思っています。

いくら対策をしようが安心できないリスクのため、正直、この一年くらい、この話題についてはアタマから離れません。

同じリスクを抱えていらっしゃる方々の何かの参考になればという思いです。(長文だなぁ。。。)

(管理者が手薄な時間のケア : 業後や休日を攻撃者が狙っている傾向があるため、 そのような時間に対応した監視ルールや、異常アラートを受けて対応できる仕組み作り、 も書きながらいれようと思っていたけれど、忘れていた。。。 とはいえ、この対応はユーザサイドは求められても辛い)


CategoryDns CategoryWatch CategoryTemplate

MoinQ: Security/ransomware/対策/moto_sato (last edited 2022-12-03 01:17:49 by ToshinoriMaeno)