・ファイルとディレクトリの探索 のバックアップ差分(No.14)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・ファイルとディレクトリの探索 へ行く。
  • 1 (2019-11-18 (月) 11:25:38)
  • 2 (2019-11-18 (月) 11:29:40)
  • 3 (2019-11-18 (月) 12:32:18)
  • 4 (2019-11-20 (水) 14:20:36)
  • 5 (2020-02-09 (日) 16:13:56)
  • 6 (2020-03-19 (木) 14:53:55)
  • 7 (2020-03-24 (火) 13:54:00)
  • 8 (2020-03-26 (木) 14:27:36)
  • 9 (2020-07-25 (土) 16:30:43)
  • 10 (2020-08-12 (水) 12:47:41)
  • 11 (2020-08-30 (日) 08:22:55)
  • 12 (2020-10-27 (火) 11:41:49)
  • 13 (2020-10-27 (火) 14:46:44)
  • 14 (2020-11-06 (金) 17:06:12)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-10-27T14:46:44+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）]]~
#author("2020-11-06T17:06:12+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

*戦術：情報の探索[#ne7a9a3d]
-MITRE ATT&CK
--[[T1083 File and Directory Discovery>https://attack.mitre.org/techniques/T1083/]]


*概説 [#f01be767]
悪意のあるプログラム（マルウェア）や攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。また、ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。これは複合機での文書共有なども含まれます。
悪意のあるプログラム（マルウェア）や攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。また、ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。これは複合機の蓄積文書や文書共有なども含まれます。

*緩和の方針 [#f3ebab46]
この手法は、システムの標準機能を悪用しているため、予防的設定が困難なため、多角的な緩和策を講じる必要があります。
-端末でのディレクトリ共有、ファイル共有は攻撃側の水平展開を容易にするため、ファイルサーバー、NASでの共有に切り替えます。
-重要な情報資産は暗号化し、特定のユーザーだけがアクセスできるように設定します。
-不要なポートを閉じ、脆弱なプロトコルの使用を禁止します。
-ログの監査によって探索の検出を検討します。
-複合機では、ID、パスワードを設定し、権限のないアクセスを禁止します。



*運用やNetworkが変更された場合の影響の有無 [#dfa27bc6]
脆弱なプロトコルの許可や、ポートの公開は、攻撃を受けるリスクが高まります。
重要な情報資産が不適切なセグメントに設置されることで、攻撃者に検知されるリスクが高まります。

*優先すべき措置 [#pb4a7e02]
端末のドライブの共有を停止し、ファイルサーバー、NAS等でアクセス権を設定した上でファイル共有を実施しログの取得と分析をします。
重要な情報資産を暗号化し、特定のユーザーだけがアクセスできるように権限を設定します。


*ユーザー運用管理責任 [#nbab198d]
**リスクの受容 [#d4a44aec]
ログ保存、分析コストが高い場合は、重要な情報資産の暗号化を行い受容します。
なお、端末でのディレクトリ共有、ファイル共有は水平展開のリスクが高いため受容は推奨できません。


**啓発・教育 [#g98a0818]
-対象：重要な情報資産にアクセスできる担当者 
--誤操作や運用変更によって発生するリスクと防御策を共有します。


**29.6.3	管理規程 [#r3f7a6ac]
以下の規程の整備を検討します。
-重要資産管理規程。
-ログ監査を行う場合~
コマンドラインインターフェース、スクリプトの監査規定。
コマンドラインインターフェース、スクリプトの監査規程。


*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#p85eb837]
**ポリシー [#lb3b6caa]
[[・コマンドラインインターフェースの監査]]、[[・PowerShellの悪用]]、[[・悪意あるスクリプティングの実行]] を参照してください。

**モニタリング [#qd5b83ca]
前項のポリシーを設定の上、以下の監査の実施を検討します。
-コマンドラインインターフェースの監査
--[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なdir等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
-PowerShellスクリプトの監査
--[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

**ネットワークデザイン [#i0dcfdfe]
重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。

**アクセスコントロール [#i6394e1b]
重要資産にアクセスできるユーザーの権限（読み取り、書き込み、実行、削除等）を設定し、文書化します。
ダイナミックアクセス制御 の導入を検討します。
**ネットワークデザイン、アクセスコントロール 、フィルタリング [#i0dcfdfe]
-重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。
-重要資産にアクセスできるユーザーの権限（読み取り、書き込み、実行、削除等）を設定し、文書化します。
-ダイナミックアクセス制御 の導入を検討します。
>ダイナミック アクセス制御:シナリオの概要:~
https://docs.microsoft.com/ja-jp/windows-server/identity/solution-guides/dynamic-access-control--scenario-overview

重要資産に対するロールを設計し設定します 。
-重要資産に対するロールを設計し設定します 。
>日本ネットワークセキュリティ協会 エンタープライズロール管理解説書: ~
https://www.jnsa.org/result/2013/Role-Management-v1.pdf

**フィルタリング [#h1d4d8b3]
-必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。


**仮想端末運用 [#wcc0ae5b]
該当しません。
これは将来のためのプレースフォルダーです。

**エンドポイント対策 [#t00f4ae9]
**ゲートウェイ及びエンドポイント対策 [#t00f4ae9]
該当しません。

*受託開発ベンダー管理責任 [#d19717ce]
**セキュアコーディング [#n6fea11b]
該当しません。


**開発環境管理 [#td7aba53]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#fddebbd1]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。