Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

改ざん検知の分類資料

1,482 views

Published on

第30回 まっちゃ139 LT資料

いろいろある改ざん検知の手法を整理し比較分析しました。

Published in: Engineering
  • Be the first to comment

改ざん検知の分類資料

  1. 1. M2M Technologies Inc. 1 ネイサン WEBサイト 改ざん検知のいろいろ
  2. 2. M2M Technologies Inc. 2 ハンドル名: ネイサン • 2002年ごろ、ポコタテにでたフォレンジック製品の販 売をきっかけにセキュリティ業界デビュー。数々の ハード障害に悩まされ、独自改良に取り組む。 • アプライアンス商品企画(L7FW、WAF)。 • 商用セキュアOSやWAFなどの販売を手掛ける。 • 防御することに疲れて 攻撃手法に依存しない改ざん検知手法を追及中。 自己紹介
  3. 3. M2M Technologies Inc. 3 改ざんを防ぐのは無理!
  4. 4. M2M Technologies Inc. 4 守るのが先か、検知が先か? Vb 改ざん検知 これからは「検出してすぐに対応できる体制」を作り、 「予算に合わせて予防を追加する」時代です。 IPS/WAF システム 構築時 セキュリティ ホール発見 セキュリティ ホール発見 セキュリティ パッチ適用 そもそも 検知できければ防御できないから _| ̄|○
  5. 5. M2M Technologies Inc. 5 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざん/変更を認識するのか?
  6. 6. M2M Technologies Inc. 6 WEBサーバのOS上での監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 同一サーバに システム導入し 改ざん検知 ○リアルタイム検出が可能 ×WEBサーバの負担が大きい ×ROOT権限が必要、共有型には使えない × OSアップデート時の検証が大変
  7. 7. M2M Technologies Inc. 7 別サーバからのリモート監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 監視サーバ 検知用サーバで 改ざん検知 ○共有型サーバーOK ○WEBサーバの負荷が軽い ○ HTTP又はFTPが開いていればよい ○管理アカウント不要(共有レンサバOK) ×定期的な検査になる
  8. 8. M2M Technologies Inc. 8 URLを 指定して 改ざん検知 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 ①HTTPによる巡回 監視対象WEBサーバ 監視サーバ HTTP ○設定が簡単 URLを指定するだけ ×.htaccess など設定系のファイルが対象外 ×IP指定の標的型攻撃に弱い ×内部リンクのないページは検出できない ×改ざんされたファイルの特定が難しい
  9. 9. M2M Technologies Inc. 9 ディレクトリを 再帰的に 巡回し探索 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 監視対象WEBサーバ ②FTP/sFTPによる巡回 監視サーバ FTP/sFTP ○HTMLのリンクに依存しない ○CGIなどの動的ファイル対象になる ○全てのファイルが対象に出来る ×設定に手間がかかる
  10. 10. M2M Technologies Inc. 10 WEBサイトの改ざん検知の分類2 には、 運用の際の注意点があります HTTP検査
  11. 11. M2M Technologies Inc. 11 HTTP検査による検査の問題1 HTTP検査タイプの 改ざん監視サーバ 検査スタート 知らない&リンクが無いURL・認証を超えて検査ができません ? ? ? ? 検知不可能 フィッシングサイト 検知不可能
  12. 12. M2M Technologies Inc. 12 2009.10.31現在HTTP検査による検査の問題2 標的型攻撃を仕掛けられたWEBサイト 標的の閲覧者 標的外の閲覧者 HTTP検査タイプの 改ざん監視サーバ 標的以外のアクセスには 正しいファイルで応答 標的からのアクセスには 不正なファイルで応答 検知不可能 改ざん ページ 検査できないページが存在します 不正侵入
  13. 13. M2M Technologies Inc. 13 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? パターンマッチ型(ソース解析型) 監視対象WEBサーバ 監視サーバ 不正ファイルパターンと マッチすれば 改ざんとみなしますHTTP
  14. 14. M2M Technologies Inc. 14 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 振舞い分析型 監視対象WEBサーバ 監視サーバ 仮想PCにブラウング させ、振舞いを監視 不正な動きを検出HTTP
  15. 15. M2M Technologies Inc. 15 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? ハッシュリスト比較型 監視対象WEBサーバ 監視サーバ 取得ファイルをハッシュ計算 定期的に再取得&再計算して ファイルの変更を検出 FTP/sFTP
  16. 16. M2M Technologies Inc. 16 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 原本比較型 監視対象WEBサーバ 監視サーバ 原本ファイルを保管、定期的に WEBサーバファイルと比較 差分があったとき改ざんと判定 FTP/sFTP
  17. 17. M2M Technologies Inc. 17 パターンがまだ無い攻撃対応が難しい 画像ファイルや未対応フォーマットが対象外 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ①パターンマッチ(ソース解析)型 メリット WP、Drupalなど動的生成コンテンツに対応 デメリット
  18. 18. M2M Technologies Inc. 18 仮想PCのOS/バージョン/ブラウザの組み合わせが膨大 テキストなど単純な改ざんは検出できない WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ②振舞い分析型 メリット WP、Drupalなど動的生成コンテンツに対応 デメリット
  19. 19. M2M Technologies Inc. 19 改ざんと更新の区別を運用で判断 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ③ハッシュリスト比較型 メリット 変更されたファイルが特定できる すべてのファイル対象にできる デメリット
  20. 20. M2M Technologies Inc. 20  WEBサーバー上のプログラムで更新される ファイルに対して、改ざんと更新が区別できない WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ④原本比較型 メリット 改ざんファイルを特定できる 改ざんと更新を容易に区別できる 追加されたファイルを削除できる 自動復旧が可能 デメリット
  21. 21. M2M Technologies Inc. 21 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? 改ざんと更新を区別する 方法として は、構造的な漏れが存在 パターンマッチ(ソース解析)型 振舞い分析型
  22. 22. M2M Technologies Inc. 22 改ざん検知手法のまとめ
  23. 23. M2M Technologies Inc. 23 改ざん事件やセキュアなWEB運用方法について Facebookページでご案内しています http://www.facebook.com/sitepatorl ご静聴ありがとうございました。

×