Ivantiブログ: 投稿者

SolarWindsの攻撃について – Ivantiが防御できる3つの方法

Fri, 05 Mar 2021 19:49:13 Z

SolarWindsの事件は広く報告、報道され、オーストラリア英語で言うところの "Done to Death Mate"、つまり語り尽くされた感じです。しかし、いくつかの情報を見て考えさせられました。特にMicrosoft社員である友人のこの記事では、この攻撃がどのように起こったのか、流れや背景を詳しく解説しています。私はかつてAppSense Application Managerと呼ばれていたIvanti Application Controlを17年間担当しています。お気に入りの製品です。私は何百回もこの製品をお客さまサイトでインストールし、何百人もの人に使い方のトレーニングをしてきました。それでも新しいことは出てきますし、状況が変化したりハッカーが暗躍する中で、いくつかの機能が新旧の攻撃を防ぐのに大いに役に立つこともあります。

どのような攻撃だったか？どんな対策ができるか？

では、Ivanti Application Control (AC)でお客さまのお手伝いをしている者の観点から、この攻撃のスタイルと手順が何を意味するかをお話ししましょう。

信頼されたアプリケーションが悪さをすることもある。信じ難く、胃が痛くなるような話ですが、信頼されたアプリケーションがハッキングされることもあります。SolarWinds.BusinessLayerHost.exeというプロセスが悪質なdllをダウンロードし、そこからディスク上にいくつかのファイルを生成したことがわかっています。レジストリ内でをうろついたりつついたりしたあと、スクリプトファイルが信頼できるシステムプロセスであるdllhost.exeによって起動されました。Rundll32.exeも信頼されているシステムプロセスですが、これも攻撃とクリーンアップの一部で悪質なファイルを実行するのに使われました。
追跡と捕獲も重要だが、防御はより効果的。ネットワークを流れ、ハッカーのサイトに接続するトラフィックをキャプチャして可視化することももちろん大切ですが、私の見方はこうです。私はセキュリティ問題が原因からブロックされるようにしたい。セキュリティには2つの考え方があります。問題があったときに素早く直すこと、または問題そのものを止めること。私は後者の考え方です。まず止めましょう。
どのアプリケーションが何をすべきか、すべきでないかを把握する。信頼されたアプリケーションがバッチファイルやVB、PowerShellスクリプトを実行する必要があるでしょうか？どのような状況ならそれが許可されるべきでしょうか？少しテストしたりプランニングをしたりすることで可視性が高まり、そこから情報を把握した上での決定をしたり、防御を加えたりすることができます。

Ivanti Application Controlができる3つの防御

ここまでに述べたことをすべて踏まえて、信頼されるアプリケーションのハッキング防御のために、Ivanti Application Controlのコンフィグでできることが3つあります。ただし、このルールは導入前に必ず、まずお使いの環境で監査モードでテストして下さい。

SYSTEMをTrusted Ownerから削除する。初期設定でSYSTEMはTrusted Ownerに追加されています。論理的に問題ないように見えるし、100%考える必要もないようなことに思えるかもしれません。そう判断するのはまだ早いです。SANSでGCIH certification trainingを受けていた時のことを思い出します。私たちはMetasploitを使ってWindows Spoolerサービスを攻撃し、サーバーにnetcat.exeをコピーしました。私たちが攻撃していたサービスのコンテキストはSYSTEMでした。つまり、ファイルがディスクに入った時、SYSTEMに支配されていました。ACのコンフィグからSYSTEMを削除することで、改竄されたサービスの一部でディスクにコピーされたファイルの実行をブロックすることができます。講師は感銘を受けていました！
Microsoftが推奨するブロックを追加する。ASCS Essential 8 ’Application Control’のレベル2-3ではこれは必須項目です。このリストに載っているアプリケーションはセキュリティの注意が必要なものか、もしくは確実に危険なものです。最新のリストはこちらです。私も最初は知らなかったのですが、昔からよく知られているBGInfo.exe (バージョン4.22より古いもの)についてお客さまから聞かれて、VBスクリプトを実行してWindows VBコンパイラをバイパスできることに気づきました。適切なdllをブロックすることでVBScriptのバックドアを止めることができることもわかりましたが、ブロックリストに載っているわけですから、単純にブロックした方が安全です。 BGInfoバージョン4.22ではこの問題が修正されているので、どうしても必要であればこのバージョンを使うのが良いでしょう。
プロセスルールと仲良くなろう。Ivanti Application Controlで私のお気に入りの機能の中にプロセスルールの実行機能があります。これで、metadataや場合によってはsignatureに.exeをロックダウンし、exeが追加コンポーネントを呼び出しできるように、またはできないようにするルールを作ります。例えばexeは信頼できるので.dllを実行することを許可します。しかし、exeが.bat、vbs、.PS1を実行するような状況は考えられません。そして、Powershell.exeのブロックも追加しましょう。これは複数のプラットフォーム間で共通ルールとして導入し、必要に応じて許可することもできます。

上記のようなルールを設定することで、SolarWindsのような攻撃は防ぐことができます。

SYSTEMプロセスは独自にファイルを生成して実行することはできなくなり、Microsoftの推奨するブロックリストに載っているような危険なシステムツールは許可されず、dllhost.exeやRundll32.exeといった重要なシステムプロセスはバッチファイル、VBやPowerShellのスクリプトを実行できないようにロックダウンすることができるでしょう。

お読みいただきありがとうございます

私は変わり者で、「自分のドッグフードを自分で食べる」というか「自分のシャンパンを飲んでしまう」ようなタイプですので、こういったルールを自分自身のラップトップでも設定しています。私のラップトップには完全にロックダウンされたApplication Controlが入っており、私は一般ユーザーとしてしかログオンしません。権限管理の機能でIvantiで仕事をするために必要な昇格を行い、認証情報の盗難からは守られています。Ivanti Application Controlについてご理解いただく助けになれば幸いです。ご質問がある場合は、お気軽にご連絡ください。なお、念のためにお話すると、SolarWindsはIvantiでは使われておらず、IvantiやIvanti IAC、その他のIvantiのソリューションを推奨するものではありません。

お読みいただき、ありがとうございます。

2019年ASD/ACSC成熟度モデル – 確認すべき3つの項目

Wed, 30 Oct 2019 06:33:26 Z

オーストラリア通信電子局（ASD）とオーストラリアサイバーセキュリティセンター（ACSC）が推奨する8つの主要な対策/上位4つの対策は公開されてからすでに数年が経過しています。

Ivantiはこれまでずっとこのフレームワークをお客様に推奨し、「エキスパート助言に従い、まずは今更と思うような基本的な対策を実施し、その後効率的かつ魅力的なソリューションに目を向けるべきだ」と言い続けてきました。

「ASD/ADSCのガイドラインに従う」ことを選択した場合、まずやらなければいけないことのひとつに、現状を把握するための自己評価があります。

成熟度モデルと照らし合わせ、自社を評価した場合、8つの主要な対策それぞれにおいて、自社のレベルは1でしょうか、2でしょうか、それとも3でしょうか？また、現状から目標の状態へとレベルアップするためにはどのような手順が必要でしょうか？

ASD/ACSCの成熟度モデルのおかげで、私たちは簡単にこれらの情報を把握することができます。

ほぼすべての企業が、すべての対策で成熟度レベル3を目標に設定すべきだと言われています。もし多少の時間がかかっても問題ないのであれば、それでいいと思います。自分たちが目指す目標を把握できてさえいれば、計画を立て、それに沿って前進できます。

より厳重なセキュリティを必要とする企業であれば、さらに上のレベルのセキュリティを確保することが求められるでしょう。この場合、ACSCに直接助言やガイダンスを求め、連携した取り組みを行う必要があります。

この成熟度モデルをこれまで追ってきた方は、2019年が更新、変化の年であることを実感されていると思います。

事実、成熟度モデルは2019年2月に一部更新が行われ、2019年7月に再び更新が行われたのです。本日は、自己評価で必ず確認していただきたい3つのシンプルな項目をお伝えするため、今年になって適用された変更点についてお話したいと思います。

レベル3の成熟度を実現するために目を向けるべき3つの項目

1. アプリケーションのホワイトリスティング

すべてのデスクトップ、すべてのサーバーで、実行可能ファイル、ソフトウェアライブラリ、スクリプト、インストーラーのホワイトリスティングを実施する必要があります。

これまでのホワイトリスティングは、レベル1とレベル2で「リスクの高い」ワークステーションのみを対象に推奨されていたため、企業は一部のエンドポイントとActive Directoryサーバー、メールサーバー、認証サーバーを指定することができました。

ところが現在はもっと単純で、すべてのワークステーションとサーバーを対象にホワイトリスティングが推奨されています。

例えばレベル2や3に到達するためにこれまでの対策をすでに導入している場合、新しい要件を満たすためには、もう一度最初に戻り、どのように進めていくかを計画する必要があります。

当社には最低限の労力でのホワイトリスティング、そして何より、継続的なメンテナンスが最小限のホワイトリストを実現するため、あらゆる規模の企業をサポートしてきた実績があります。

2. Microsoft推奨のブロック

Microsoftは、今年始めにアプリケーションのホワイトリスティングについて新たな推奨事項を発表しています。

基本的にこれは、脅威をもたらす攻撃者がアプリケーションのホワイトリスティングを回避するために使用される可能性があるMicrosoftのアプリケーションのリストです。レベル3の成熟度を目指すのであれば、すべてのワークステーションとサーバーを対象にしたホワイトリストにこのリストのアプリケーションを含める必要があります。

これらの推奨アプリをブロックするためにただインポートすればいいだけの構成スニペットをご用意しているため、Ivanti Application Controlをお使いのお客様は、簡単に追加作業を行っていただけます。

3. パッチの適用

企業には、更新プログラムとパッチの展開を確認、記録するための自動化機能が必要です。

成熟度レベル3の企業として認められるため企業に求められる新たな要件として、企業はパッチ適用ソリューションに自動化を導入する必要があります。

理想的なのは、パッチ適用の成功/失敗を記録、報告し、自社のパッチのリアルタイムの状況を提供する自動化パッチ適用ソリューションです。

これを叶えるのがIvanti Security Controlsです。

つまり、簡単にまとめると、ASD/ACSC成熟度モデルに従うことを決めた企業に伝えたいことは次の3つとなります。

現状を把握するために再評価を行う絶好の時期を迎えています。
コンプライアンスを維持するために次に行うべき対策について計画を立てましょう。
サポートが必要な場合はIvantiにご相談ください。当社には、この分野において長年成功を収めてきた実績があります。