CIBOKメモ – Self branding

Pocket

サイバーセキュリティとは

サイバーセキュリティとは組織のリスクを特定し、軽減するための情報通信技術をにおける機能である

組織はオペレーショナルリスクとその管理において「基本方針：Policy」「実施手順：Procedure」「教育：Trannning」を有しており、情報通信技術は、情報収集、処理、管理、定着および保護の観点で支援している。

そして、情報通信技術は顧客に対してサービスを提供する上でのリスクを低減する管理機能を有している。

これにより、市場、株主、出資者に対する義務が果たされ「経営管理：Executive Management」を満たすことができる。

CIBOKの目的

サイバー犯罪捜査で実践される「良い実務慣行：Good Practice」の知識、技能、姿勢を体系的に示し、各トピックに対する有効なアクセス手段を提供し以下を達成することである。

各国の法律によることのない全世界で一貫したサイバー犯罪に対する心得を普及・促進すること
他の体系化された実務慣行、プロジェクト管理、コンピュータサイエンス、デジタルフォレンジックについて、サイバー犯罪捜査の範囲における位置付けを詳細に示すこと
サイバー犯罪捜査において実践すべき内容を特徴付けて示すこと
サイバー犯罪捜査知識体に対して、トピックスを利用するための手段を提供すること
トレーニングカリキュラム開発および、業務に携わる個人のスキルが高い水準のレベルであることの保証に必要な基礎を提供すること

サイバー犯罪とは

「サイバー空間」を巻き込み、社会の集合意識の強力で確定的な諸状態を冒涜する行為、次の「b d r ダイナミクス」により定義される

行為者：Individualが加害行動：Behaviorを行い、これにより被害者：Victimに損害：Damageが生じ、これに対して社会：Societyから反作用：Reactionが生じると犯罪になる

加害行為により生じるリスクのカテゴリ

可用性リスク：システムダウンがもたらす損害
パフォーマンスリスク：処理能力低下がもたらす損害
市場リスク：ブランドの毀損や市場における信頼の喪失による損害
不正リスク：金融・有価証券として保護すべき情報の窃盗によりもたらされる損害
コンプライアンスリスク：法令やガイドラインを遵守しないことがもたらす損害
セキュリティリスク：セキュリティ対策の不備がもたらす損害
安全性リスク：人員の危険をさらす損害

財産的損害→消極的（事後対応など）積極的損害

精神的損害→名誉毀損、信用毀損の損害

サイバー犯罪捜査とは

事前予防捜査、事後対応捜査があり次の特性を有する

時間的・地理的無限定性、被害の不特定多数性、無痕跡性、匿名性

意図的に所定の手順で痕跡を残させない限り痕跡は残らないという意味

サイバー犯罪の種類

犯罪道具としての技術

ナイジェリア詐欺スキーム

犯罪の攻撃対象としての技術

Dumpster Diving 捨てられたカーボンコピーの入手など

カードスキマー

マルウェア

不正侵入

犯罪から目を逸らす手段としての技術

DDoS攻撃

サイバー犯罪の犯行遺物(Artifacts)

サイバーキルチェーン

偵察
武器化
配送
攻撃
インストール
遠隔操作
目的の実行

サイバー犯罪活動のステージ

標的の決定：チャンスまたは儲けがありそうか識別する
アクセスの提供：必要に応じた攻撃者(管理下の)ネットワークの「仮想プライベート」アクセスを提供する
列挙：アクセスの種類、ホスト、サービスの種類、クレデンシャルなどのカタログを作成する
サービスの決定：不正アクセス後に構築するサービスを決定する
サービスの管理：不正アクセスに関する保守、リソースの管理を行う
サービスの維持/防御：セキュリティツールや調査員の検知からインフラストラクチャを防御/維持する
サービスの冗長化：防御側の遮断やサービス停止などに対応するため冗長化する
難読化：不正通信をDropboxなどネットワークトラフィックを他のデータに紛れ込ませる
代替サービス：第三者に対して代替サービスを提供できるようにして他の犯罪組織に売ることができるようにする
目的の達成：達成すれば気づくもの、一切気づかれないものがある

サイバー犯罪の犯行遺物

兆候（各種ログ）＋犯行遺物(犯罪活動により残るもの：ディープウェブの投稿、恐喝、事情聴取)　→　証拠

外部の犯行遺物

インターネット:インターネット

ディープウェブ：インディックスが届かないインターネット

ダークウェブ:意図的に隔離されたレポジトリ郡やアーカイブサービスでしか閲覧できない情報

ソーシャルメディア：非公開部分も含む

従来型メディア：

犯罪者ネットワーク：CaaS(Cybercrime as a Service)

内部の犯行遺物

システム→メモリ、ログ、構成決定、OS、ファイルシステム

従業員

コミュニケーション

犯罪捜査の流れ

捜査管理：証拠の情報源、リスクの識別、犯罪の実行段階などを説明するための情報管理

知見収集：役割に応じて被害者、企業がどのようなリスクに晒されているか知見を収集する

調査：犯行遺物や証拠を駆使して犯罪スコープと影響を戦略的に理解しサイバー犯罪の影響を識別するのを支援する

説明責任：捜査プロセスにおける法的・手続き的許容度と限界を戦略的に理解し、解釈し捜査管理や予防啓発の各機能を支援する

予防啓発：サイバー犯罪の兆候について戦略的に理解し

後方支援：

総務人事：手続き的な支援

サイバー犯罪のスコープ

サイバー犯罪の特性

組織の誰がいつ標的になったか？
標的にされたシステムの種類は？
それらのシステムが使われているビジネス部門は？
機密データ、アプリケーションに不正アクセスはあったか、あった場合のリスクは？
標的にされたシステムはその後どのように使われたか？
このインシデントで最も心配することは何か？→非公開保護情報の喪失、ブランドの失墜、経済的損失、事業の中断、訴訟
攻撃者からの連絡、要求はあったか？
証拠収集目的で必要な法的書類を届けるために連絡をとるべき窓口は誰か

ヒューミント(HUMINT),シギント(SIGINT),資金洗浄インテリジェンス(MLINT)やオープンソースインテリジェンス(OSINT)の知識を組み合わせて考える必要がある。(ELINT:ELectric INTelligenceなども)

ドキシング：非公開情報をウェブ公開して公に晒す

公的組織：健康・安全＞国家安全＞イメージ

民間組織：健康・安全＞金融・金銭＞ブランド＞法的＞業務

証拠の情報源

学術機関

IGCI：The INTERPOL Grobal Complex for Innovation

EC3：Europian Cybercrime Centre

海外法執行機関

情報とインテリジェンスを適切に使い分ける

PROPINT:プロプロイエタリインテリジェンス：ベンダーがサービスとして提供する有償のインテリジェンス

インテリジェンスの分類

戦略的インテリジェンス
技術的インテリジェンス
運用上のインテリジェンス
戦術的インテリジェンス

ボットネットコントロールパネル

証拠の内部情報源

PBX：構内交換機→音声メールVMや音声自動応答IVRサービスを備えていれば、録音データなどに重要な証拠が残る可能性がある

DCS：分散制御システム→RTU：リモートターミナルユニットやPLC：プログラマブルロジックコントローラのアクセス履歴などは重要な証拠になる可能性がある

圧縮アーカイブに関する履歴：圧縮や分割はネットワークツールの検知逃れをしようとするためにも利用される

Active Directory

テンポラリファイル：

完全削除ツール：

リモートアクセスツール：MSTSC,VNC,PuTTY,Citrix LogMeInなど

システム構成設定：

HKEY_CURRENT_USER(HKCU)：ログオンユーザの情報が含まれている

HKEY_LOCAL_MACHINE(HKLM)：マウントされているドライブ、持続型サービス(トロイの木馬の支援など)に不可欠な情報が含まれる

SAM

ログ情報源の識別

ローカル保存：ログの発生した当該システム内にログを保存する

集中保存：ログコレクターに転送し、集中ログサーバに保存する

ログの保存機関

ログの改竄

ログレベル

DNSのログ

インテリジェンスマイニング：通信先のFQDNや登録者情報から知見を得る

DNSシンクホール：不正なホストへの解決のリクエストを要求された場合、他の(C&Cサーバ以外の)IPアドレスを返すことによりクライアントが不正なC&Cサーバなどに接続するのを防止する機能

VPNのログ

エンドポイントホストまたはサービスのログに存在するユーザの活動を相関させることができる

証拠収集の手段

TTP：Tactics Techniques and Procedures→攻撃手法

サイバー犯罪の証拠はどう収集すべきか→証拠の信頼性を確保するのはどのような手段が必要か

トリアージ型の証拠収集

一掃(スキャニング)：SIEMやネイティブツールで全ホストから情報収集

調査：フォレンジックツールでメタデータを収集

収集：完全ディスクイメージ、メモリイメージ、ネットワークパケットキャプチャ

証拠の自動収集

侵入兆候(IOC)の詳細→日時、暗号ハッシュやヒューリスティック、関連メタデータ

IOCの標準として、STIX、TAXII、OpneIOCが挙げられる

手動による証拠収集

ネットワーク接続やアクティブプロセスのような揮発性のシステム情報
揮発性のアクティブな物理メモリページ
ファイルシステムの内容
ハードウェア構成
ソフトウェア構成

$MFT,$UsnJrnl

レジストリハイブ

ユーザ履歴(NTUSER.DAT、USRCLASS.DAT、Index.dat(IE))

揮発性のシステムデータ：tasklist,netstat,arp,ipconfig,autorunのエントリ lsof

フォレンジックにおける証拠の完全性

手順(再現性、実証性、検証性)、資源(ツール)、証拠に再現性と完全性が要求される

手順は以下の３点を記載し、再現性、実証性、検証性を全て満たす極めて具体的な文書化が要求される

利用可能な証拠の情報源：知見収集、要員、システム
収集の手段：要員、ツール、プロセス
収集および取り扱いの方針：法務、リスク管理、コミュニケーションい関する指針

手順を文書化しておくと、運用の継続性を保つことができる。ラーニングカーブを大きく短縮できる。

要員の保つべき資格

CCE,CHFI,CFCE,GCFE,GCFA,CSFA

証拠収集要件

標的別

人体、組織、業界、国家

分類別

健康および人体の安全
強盗、窃盗
ビジネス
テロリズムおよび国家安全

証拠収集の手引き

物理的証拠

物品の発見者
見つけた日時
発見現場・エリア
機器の状態：電源のON・OFFやネット接続
識別番号：シリアル番号や管理番号

電子的証拠

証拠が届いた日時
提供者に対するデータ収集を求めた法的手続き
届けられた資料の概要
発送者に加え、配達人または配達会社の名前と住所

証拠の連鎖の保守

証拠の預け入れをログとして記録管理する

証拠の返却・破棄

押収時と同様に目録に記録する

証拠分析の方法

集約(Aggregation)

証拠は集約することにより脅威インテリジェンスに昇華させることが可能となる

人的証拠：証人、鑑定人、当事者本人の供述

物的証拠：有体物

証拠収集とは不適切な行為ならびにその行為に関与した個人または組織を特定する根拠を収集することである。この収集においては適切かつ合法的な手段のみが用いられ、収集された証拠が変質しないことが証明でき、証拠の信憑性を担保されることが求めれる。

電子データは有形の資料に見られない、揮発性があるため誤った操作により喪失・変質し証拠能力がなくなる可能性がある

管理の連鎖(CoC:Chain of Custody)

RFC 3227 Guideline for Evidence Collection and Archiving

https://tex2e.github.io/blog/misc/rfc3227-evidence-collection

脅威インテリジェンス

データ：分散されたままの要素→数値、文字列

情報：要素の関連付け→センテンス、コンセプト、アイディア

知識：情報と洞察力または経験が組み合わせる→原理、事実

知恵：知識を元に個人または組織によって、判断や行動といった意思決定が発揮される

侵害兆候(IOC:Indicators of Compromise)

IOCにより目指す目標は脅威インテリジェンスの実現を支援すること

IOCとしてデータを蓄積していくことサイバー犯罪の客観的な観測が実現される。蓄積されたIOCの分類まテャ比較を行うことで当該インシデントと他のインシデントとの違いや類似点が見出される。これらプロセスの実行によって、サイバー犯罪に関する重要な特性は同定され、インシデント解決に必要となる調査スキルの強化が期待できる。

IOCフォーマット

RFC 5070 IETF IODEF

Microsoft Interflow

Mandiant OpenIOC

IOCとして蓄積すべきデータ要素

被害者プロフィール

被害者はなぜその犯罪にあったのか
被害者は加害者に知られていたのか
被害者が犯罪被害の標的となり得る可能性は何かあったのか
犯罪者がこの犯罪におよんだ場合にどのようなリスクをとることになるのか

有責性に基づく分類方法

完全に責任のない被害者：
責任の少ない被害者：
加害者と同程度の責任のある被害者：
加害者よりも責任のある被害者：
最も責任のある被害者：不法な攻撃を加えようとした際の正当防衛で殺傷されるなど

犯行現場の指標

犯行現場：多くのサイバー犯罪は分野ごとの専門家による分業で行われるため現場は複数存在する

犯行時刻：行動パターン、犯罪者の習熟度

フォレンジックによる発見

データフォレンジック

アプリケーションフォレンジック

表層解析、動的解析、静的解析

分析フレームワーク

データモデリング：システムメタデータ、カスタムメタデータ、リッチメタデータ

データマイニング：データから有益なインサイトを採掘する

ETL：抽出・変換・挿入

データ品質テスト：データの完全性を確認するためのチェック技術

ニューメトリックチェック：数値に数値として扱えないデータが含まれていないか
シーケンスチェック：データが一定の順序で並んでいるか
リミットチェック：データが適切な範囲内にあるか
フォーマットチェック：データが一定の形式に従っているか
照合チェック：入力されたデータが登録済みのデータと一致するかをチェック
論理チェック：入力データが関係する他のデータと矛盾がないか(貸借対照表など)
重複チェック：一意であるべきデータが重複していないか

データの標準化：グルーピング、要約

欠損値(Missing Data)の構造

MCAR:Missing Completely At Random

MAR:Missing At Random

MNAR:Missing Not At Random

欠損値の削除・補完方法

削除→リストワイズ法、ペアワイズ法

補完→単一代入法、多重代入法、完全情報最尤推定法

外れ値を検出するアプローチ

統計に基づく方法、空間的な近さに基づく方法、クラスタリングに基づく方法

自動

品質保証と品質管理

結果との関係

脅威属性：アクター分類、犯行動機、熟練度

帰属属性

最終処理

事件対応組織→CSIRT、CIRT、CERT

技術的な修正

役割の割り当て→実行責任者、説明責任者、協業先、報告先

アクション→再構成、再構築、再設計、調査、処分

証拠を保全しながらネットワークを保護する

対応と修正の文書化

法的機関に対する証拠の提出

証拠の情報源の見直し

手続きによる修正

第三者が保有する証拠

サイバー犯罪条約→日本は2012年11月から効力、49カ国

サイバー犯罪情報の共有

フレームワーク

サイバー犯罪分類システム：管轄権、詳細、適時性、配布
情報開示の権限：組織の方針、法的要件、緊急通知
通知：文書化、情報適格性、取り扱いの支持＆ガイド、制限
場所：社内、業種、政府、公開

強固な基盤の重要性

AISを使用したSTIXによる共有方法

http://www.hitachi.co.jp/hirt/publications/hirt-pub17007/index.html

証拠収集→案件管理→タスクの割り当て→分析→レポート→最終処理

探しているデータは何か？→観測情報
攻撃に関する特定の知見収集。注目すべき観測情報は？→検知指標
どこで、いつ確認されたのか？→インシデント
何を実行したのか？どのように実行したのか？→TTP
何を狙おうとしたのか？→エクスプロイト/標的
関連する脅威活動の収集。どの検知指標とTTPが共通の類似性が見られるのか？→活動
誰が実行したのか？→脅威アクター
何をすべきなのか？→行動指針

基準(Standards)

TAXII：検知指標情報交換手順

STIX：脅威情報構造化記述形式

CyboX：サイバー攻撃観測記述形式

管理( Governance)

開示される情報の種類
開示できない情報の種類
PIIや機密データなど、法律、規程、または方針によって開示が禁止されている情報が含まれないように、情報から該当部分を除去する方法
開示前に情報を見直す人（組織）
情報を受け取る権限のある人（組織）
情報開示の権限のある人（組織）
開示する情報の周知に使用する仕組み

法律や規制への準拠

ECPA：電気通信におけるプライバシー保護法

CISA：サイバーセキュリティ情報保護法

GLBA：グラム・リーチ・ブライリー法　金融サービスプロバイダについて規程

HIPPA：医療保険の携行性と責任に関する法律

自動化プロセス→フィルタ、匿名化、プライバシーおよび市民の自由の保護

管理フレームワーク

会社組織は、風評リスク(レピュテーショナルリスク)、法的な通知義務、脅威情報の共有の指令といった相反する要素に直面している

戦略および統制

サイバー犯罪捜査機能の目的は、根本原因分析のフレームワークを活用し、サイバー犯罪行為者によって、あるいはサイバーツールを用いて実行された犯罪を調査する際の要件を意思決定者が理解することを支援し、それによってリスク認知方針やトレーニングを組織に組み込むための計画を立案して実行に移し、リスクの予防または対策を行うことである。

サイバー犯罪捜査機能のミッションは、事業中断のリスクを低減することと、予防または矯正措置により再発を防止することである

戦略的な目標

意思決定者の関与
立法の調和
司法トレーニング
法執行機関の役割
国際協力
情報共有
進捗評価

これを民間向けにすると以下のようになる

意思決定者の関与
トレーニングとコミュニケーションを通じたサイバーリスクの予防啓発
組織におけるサイバーリスク管理の方針と手順の策定
スタッフ配置、トレーニング、CIおよびリスク管理の人員の備え
組織とサイバー犯罪捜査機能のパフォーマンス測定
業界および法執行機関との情報共有
監査と継続的改善

OODAループで運用すべきリスク管理機能

OODAループの観測(Observe)、判断(Orient)、決定(Decide)、行動(Act)は、検知(Detect)、対応(Respond)、修正(Remediate)、改善(Improve)の文脈に当てはめることができる。

検知(Detect)

検知で出てきた証拠によって、評価リスクの優先付けを行ない、組織の方針と手続きに応じて適切な対応をとることができる。

対応(Respond)

対応の目標はサイバーリスクの抑制または根絶する方法を決めることである。対応活動には、評価(トリアージ)および調査を通じて情報を収集し。リソースの要求と割当てを判断することも含む。

トリアージ

兆候は何か
侵入の種類は
システム数は
所在地は
システムの危険度は

調査

システムにアクセスする方法は？
どのような証拠が存在する？
証拠収集の方法は？
証拠を処理する方法は？
証拠が意味することは？

修正

クリーンアップを実行するか否か？方法は？
再構築を行うか否か？方法は？
いつ実行する？
再感染を防ぐ方法は？

修正(Remediate)

修正においてはプロセスが人的要員または技術的ソリューションより優先される。

改善(Improve)

効果的な戦略には、継続的な改善目標が欠かせない。継続的な改善目標を達成するための鍵となるのは、CIの中核領域以外から様々な専門知識を集めた機能横断型（クロスファンクション）グループである。組織が過去の失敗から学べなければ、将来の目標に向けた計画を効果的に立てられない。

改善の目標は、予防啓発を促進することによって、戦略実施を支援する。予防啓発は組織の防衛と能力開発の同時活動である。サイバー犯罪捜査機能の進化を助けることになり、解決のスピードアップを図れる。

企画立案、パフォーマンスの見直し

予算戦略の構築

調査活動が必要になった組織機能に対し、「チャージバック」や「ビジネスに対する影響のコスト」として割り当てる方法がある。

セキュリティ/リスク管理方針に違反したユーザが出た場合、その組織を費用負担者となる

リスク評価

NIST SP800-86が最もサイバー犯罪捜査機能に関連がある。サイバー犯罪捜査に使えるフォレンジック技術と手順が記載されているから

COBIT、ITIL/ITSM指針の評価と合わせて行う必要がある。

リスク管理

COBIT５はエンタープライズIT向けのリスク管理フレームワークとして提示されており、これを適切なITSMフレームワークに組み込めばサイバー犯罪捜査機能にも応用できる。

Risk IT フレームワーク

事業体の目標との関連性
事業体のリスクマネージメントとの整合性
ITリスクの費用対効果のバランス
公正かつオープンなコミュニケーションの推進
「経営トップの姿勢」の確立と説明責任
日常業務の一部としての機能
一貫性あるアプローチ

が７つの原則となる

リスクマネジメントプロセス

データ収集
リスク分析
リスクプロファイルの保守
リスクの明確化
リスク管理・アクションポートフォリオの規定
リスク対応

リスクの軽減

どのリスクをどこまで軽減するかは、意思決定しゃが理解できる評価の公式または基準に依存する

リスク＝（発生確立　×　影響の大きさ）／軽減能力

または

組織の軽減能力＝（あるリスク条件（シナリオ）の発生確率　×　推定される影響の大きさ）／　リスク

ITセキュリティリスクの公式

リスク＝（脅威　×　脆弱性）／対策　×　影響の大きさ

コミュニケーションおよび協議
リスク特定
リスク分析
リスク評価
リスク対応

OWASPリスクランキング

影響：影響を受けているコンポーネントの数
可用性：軽減の度合い
悪用の容易さ：見つかり易さ、悪用難易度、再現性

学習する組織の開発

ツールの管理

境界ネットワークと通信用の監視ツール
アンチウィルスソフトウェア
セキュリティイベントおよび情報管理（SIEM）
フォレンジック用のコンピュータ、証拠取得ツール
データ用の保全および分析ツール

戦略的な要求に応えるツール

緊急展開用フォレンジックキット
メモリ分析ソフトウェア
ネットワークおよびホストのスキャニングおよび評価用のソフトウェアとハードウェア
オープンソースおよびプロプラエタリのインテリジェンスソフトウェアまたはサービス
録音および録音設備またはサービス
Sandbox型ソフトウェアおよびハードウェアまたはサービス
Sinkhole対策ソフトウェアまたはサービス
リバースエンジニアリングおよび分析ソフトウェア
「Stingers」またはアンチウィルス/マルウェア検知ソフトウェア
トランシーバーまたは「クリーン」な携帯電話およびモバイル機器

以上です。参考になれば幸いです。