トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・システム情報の探索 のバックアップ(No.10)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:情報の探索

概説

攻撃者は、バージョン、パッチ・修正プログラムの適用、サービスパックの適用など、オペレーティングシステムとハードウェアに関する詳細情報を収集する場合があります。取得した情報によって、永続的な感染を試みたり、他の行動をとることがあります。

  • Windows
    msinfo32
    systeminfo
  • AWS
    Application Discovery Service
  • GCP
    GET /v1beta1/{{parent=organizations/}}/assets
    POST /v1beta1/{{parent=organizations/}}/assets:runDiscovery 
  • Azure
    GET https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Compute/virtualMachines/{{vmName}}?api-version=2019-03-01

緩和の方針

この手法はシステムの標準機能を悪用するため予防的設定が困難です。脆弱性を検出された場合、悪用される可能性があるため、脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行います。

運用やNetworkが変更された場合の影響の有無

該当しません。

優先すべき措置

脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行います。

ユーザー運用管理責任

リスクの受容

脆弱性修正プログラムを適宜適用できない場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。

啓発・教育

該当なし。

管理規程

以下の規程の整備を検討します。

  • 脆弱性修正プログラム適用規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

該当しません。

モニタリング

システム情報の探索は特定のコマンドの実施が伴うため、・コマンドラインインターフェースの監査 を設定し、検出を検討します。

NWデザイン

該当しません。

アクセスコントロール

該当しません。

フィルタリング

該当しません。

仮想端末運用

該当しません。

エンドポイント対策

該当しません。

受託開発ベンダー管理責任

セキュアコーディング

該当しません。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。