トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・データの暗号化 の変更点

Top/・データの暗号化
#author("2020-08-12T15:54:41+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[MITRE に基づく詳細設定対策]]
#author("2020-11-08T14:29:12+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT&CKに基づく詳細設定対策]]

*戦術:持ち出し、外部からの指令統制[#k950d2ab]
-MITRE ATT&CK

--[[T1048.001 Exfiltration Over Alternative Protocol Encrypted Non-C2 Protocol>https://attack.mitre.org/techniques/T1048/001/]]
--[[T1048.002 Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol>https://attack.mitre.org/techniques/T1048/002/]]
--[[T1573 Encrypted Channel>https://attack.mitre.org/techniques/T1573/]]

*概説 [#v89b65fc]
攻撃者は外部にデータを持ち出す際に、検出を免れるためデータを暗号化して外部に送信する場合があります。暗号化は、JCE(Java 暗号化拡張機能)やWindows CNG(Cryptography Next Genaration) APIを使ったり、悪意あるプログラムオリジナルのアルゴリズムで暗号化されます。RAR、Zipなどのアーカイブも利用されます。~
-利用された暗号形式 出典: https://attack.mitre.org/techniques/T1022/
--AES、3DES、DES、RC4
--BASE64エンコード
--AESで暗号化の後、BASE64でエンコード
--XOR
--単純置換暗号+XOR
--XOR+Zip


*緩和の方針 [#h8c939bd]
-この攻撃手法はシステム機能の悪用に基づいているため、予防的設定では軽減できません。
-コマンドラインインターフェースの監査など事後的な検出に努めますが、必ずしも検出できるとは限りません。
この攻撃手法はシステム機能の悪用に基づいているため、予防的設定では緩和できません。
コマンドラインインターフェースの監査など事後的な検出に努めますが、必ずしも検出できるとは限りません。

*運用やNetworkが変更された場合の影響の有無 [#a0adfee4]
-該当なし。
該当しません。

*優先すべき措置 [#zb9d7146]
-コマンドラインインターフェースの監査の実施を検討します。
侵入検知システムの導入を検討します。
コマンドラインインターフェース、PowerShellの監査の実施を検討します。


*ユーザー運用管理責任 [#b6ef8f3c]
**リスクの受容 [#bc0a2dcf]
-システムの機能を悪用するため、予防的設定は困難です。
暗号化されたデータを検知することは困難です。従って、重要資産の暗号化を実施し、暗号化通信のリスクは受容し、事後的な検出に努めることを検討します。

**啓発・教育 [#lf58a54d]
-該当なし。
該当しません。

**利用規程 [#e13c026d]
-該当なし。
**管理規程 [#e13c026d]
該当しません。

*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p90b50f3]
**Windowsグループポリシー [#z810a277]
-該当なし。
**ポリシー [#z810a277]
[[・コマンドラインインターフェースの悪用]]、[[・PowerShellの悪用]]を参考にしてコマンド、スクリプト実行のログを取得します。

**モニタリング [#tc99cbca]
-コマンドラインインターフェースの監査を検討します。
以下の監査の実施を検討します。
-コマンドラインインターフェースの監査
--前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet、dir等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
-PowerShellスクリプトの監査
--前項のポリシーを設定の上、[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

**NWデザイン [#v334a623]
-該当なし。

**アクセスコントロール [#ua3552cb]
-該当なし。
**ネットワークデザイン、アクセスコントロール、フィルタリング [#v334a623]
該当しません。

**フィルタリング [#p504dd50]
-該当なし。

**ロール運用 [#d016358f]
-該当なし。
**仮想端末運用 [#r9a5b184]
-該当なし。
これは将来のためのプレースフォルダーです。

**エンドポイント対策 [#tc40619b]
-該当なし。
**ゲートウェイ及びエンドポイント対策 [#tc40619b]
侵入検知システムの導入を検討します。

*受託開発ベンダー管理責任 [#h3dff5e4]
**セキュアコーディング [#xa5e8103]
-該当なし。
該当しません。

**開発環境管理 [#ye1ec962]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

**サプライチェーン正常性維持 [#m4161498]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。