★未知の脅威は防げない!?
〜 Deep Security<初級編③> 〜
6つのルールで、未知の脅威へ立ち向かおう!
こんにちは。
セキュリティプロジェクトの岩切です。今回は3回目です。
前回のおさらいですが、マルウェア対策だけでは未知の脅威は防げません。
そのために色々な視点からサーバーをチェックする必要があります。
セキュリティは健康管理に似ています。
繰り返しになりますが、サーバーを人に例えると、セキュリティの確保は健康管理に似ています。
普通の人なら病気か否かの判断は、熱があるか?咳やくしゃみが出るか?くらいですが、お医者さんならそれに加えて、目や口の中をチェックしたり、聴診器をあてたり、血圧を測ったりします。
なるべく多くの視点で多くの箇所をチェックした方が病気は発見しやすいからです。
セキュリティもこれと同じです。
Deep Securityはマルウェア対策だけでなく、以下の6つの視点でサーバーをチェックします。
- Webレピュテーション
- 侵入防御
- 不正プログラム対策
- 変更監視
- セキュリティログ監視
- ファイアウォール
前回は侵入防御までを説明しましたので、今回は不正プログラム対策からです。
不正プログラム対策
マルウェア対策です。PCで言うところのアンチウィルス機能です。
Deep Securityを入れていて、この設定を有効にしていないサーバーはほとんどないと思います。
リアルタイムでも検知しますし、スケジュールを組んでスキャンすることもできます。
発見したマルウェアは原則削除される設定にするので、このルールは「防御(駆除)を行うルール」と言いたいのですが、発見したマルウェアを放置する設定にもできるので、厳密には「検知か防御かを選べるルール」とも言えます。
変更監視
あくまで私見ですが、このルールがDeep Securityの一番の鬼門です。
鬼門と言うには大げさですが、「ここを真剣にチェックしだすと大変なので、できれば触れたくない」という意味で使いました。
これは、「ファイル、フォルダ、レジストリなどを定点観測し、変更がないかをチェックする」ルールです。
例えばファイルで言うと、ファイルの作成/更新/削除だけでなく、所有者や権限が変わったことも検知します。
変更を監視するタイミングは、LinuxとWindowsで異なります。
Linux系サーバーだと、スケジュールによる定刻での監視しかできませんが、Windowsサーバーは、それに加えてリアルタイムでも監視してくれます。
また、このルールは変更を通知するだけなので、「検知だけを行うルール」に分類されます。
さて、これがなぜ鬼門なのかと言いますと・・・このルールを有効にすると膨大なアラートが上がるからです。
例えばLinux系サーバーの場合、このルールのデフォルト設定では「/var/log/」配下の変更を監視するので、膨大な変更が検知されアラートが上がります。
これをひとつひとつチェックするとなると大変な作業ですね。
そんな訳で、このルールを無効にしていたり、アラートが上がっても無視しているユーザーさんが多くいらっしゃると思います。
しかしこの変換監視ルールは結構重要です!
ひょっとすると、最も未知の脅威を発見できるルールかもしれません。
実際に経験したことなのですが、変更監視の結果、あるphpプログラムが「新規作成」で検出されました。
おそらく開発者が新規に作成したプログラムと思いましたが、報告すると誰も知らないプログラムであることが分かり、プログラムのソースを解析したところC&Cサーバと通信するロジックが見つかりました。
バックドア系のマルウェアだったのです。
もちろん、不正プログラム対策は有効にしていましたが、検知はされませんでした・・・
この話を聞くと変更監視の大切はご理解いただけると思いますが、それでも「毎日何十件もアラートが上がっては・・・」とお思いになるでしょう。安心してください(古っ)。回避策はあります。
除外ルールをつくればいいのです。
Deep Securityでは、「このフォルダは変更監視のチェックをしなくてよい」という除外ルールの設定ができます。
どのフォルダを除外するかは悩みどころですが、日々の運用の中で判断していくしかありません。
適切に除外ルールを入れていくと変更監視が精査され、感度のいい(無駄のない)アラートが出るようになります。
除外ルールの設定には少々手こずるかもしれませんが、是非ともこの変更監視ルールは活用していただきたいところです。
セキュリティログ監視
LinuxやWindowsのセキュリティログを見て、不穏な動きがあればアラートが上がります。
例えば、LinuxユーザーやWindowsユーザーのログイン失敗が3回以上発生すればアラートが上がります。
失敗回数などの「しきい値」は変更可能です。
このルールはアラートを上げるだけなので、「検知だけを行うルール」に分類されます。
ファイアウォール
Windowsにも似た機能がありますが、ソフトウェア側で許可するポートやIPアドレスなどを制御するルールです。
一般的なハードウェアファイアウォールとの違いはさほどありません。
ファイアウォールの設定変更が多い環境ではハードウェアとDeep Securityの2重管理になるので、このルールを無効化してもいいかもしれません。
このルールは、「防御(駆除)を行うルール」に分類されます。
以上がDeep Securityの概要です。なんとなくご理解いただけたでしょうか。
次回からは各ルールの設定方法など、もう少し掘り下げた話ができればと考えております。
つづく・・・