では弊社が!とは言えいきなり開発するのは未だ無理なので先ず「既存製品を更に使いこなす」方法を紹介して行きます。(現在はアイデアのみ)
他のスレッドと内容被りますがご容赦を。
※後述で「内部犯行の防止」について言及して居ます。現場の技術者様よりも
経営陣に近い方を対象としてコンテンツを作成して居ますが「駆け出し」の閲覧者による「また聞き、聞きかじり、受け売り、耳学問」を防ぐために基礎的な知識についての説明は敢えて省いて居ます。
所謂、「分かる必要のある者だけが分かれば良い」が弊社の発信する情報のスタイルです。
①ランサムウェア防御のためWindowsの「圧縮」「暗号化」機能(API)自体を動作禁止にする(ActiveDirectory等のリソース管理システムの使いこなしを今後載せて行く予定です)
「圧縮ソフト」の動作を禁止することはディフェンダー等で容易に実現可能ですが、ここで行う事は「APIの動作を禁止する」事です。禁止した上で、Python等の簡易言語を使ってAPIを呼び出すテストを行います。また、C++等で当該APIを単独で実装し、動作しない事の検証も行います。
※APIを使用せずにファイルを圧縮する方法は幾つかある様です。こちらの防止も研究の対象とします。
②サーバに対しtelnetやHTTPによる非暗号化通信を使ってサーバのメモリをダンプし、その結果をIPSやWAFに検疫させます。
・安全のため、自身で用意した専用の送信元IPアドレスのみに通信許可を与えます。
一件、非常に簡単な方法に思えますが
OSの使用若しくは運用ルール上、 Telnetサーバを起動できない
顧客環境が有り得ますので、Fortigateを使ってSSHをアクセラレーションする方法を
こちらのリンク先 に掲載します。
③アクティブディレクトリを介さない攻撃の方が怖い
感染した端末が1つだけで、その端末から不正なメールが御社ドメインで送信される事態がありえます。
「登記済みの株式会社」からメールが送信できる事は 大会社の社内情報を盗むよりも価値が高いです。
感染した端末が社内用のDNSサーバを攻撃する事態が有り得ます。
(後日追記します)
そう言えばですが SSHはファイル転送が可能 である事を問題視すべきと考えている人は
どれくらい居るのでしょうか。私は問題だと思っています。
TelaTermからファイルをアップロード/ダウンロード出来ますし、WinSCPからもアクセスできます。前者についてはSU権限に阻まれる事もありません。(上述したようにサーバ側でSFTP/FTPS/SCPを無効化する事は可能です。今手元にあるFortigateのL4オブジェクトには残念ながら「SFTP/FTPS/SCP」はいずれも存在しません。SSHインスペクション機能の検証を進めます。)
そもそも 内部通信を暗号化してしまう 事って内部犯行の防止策的にどうなのでしょうか。
サーバ本体のログを改ざんさせない仕組み以外にも多方面防御が必要な筈です。
④以降はぼちぼち加筆して行きます。
一応、YamahaとかNECとかでもUTM作ってますけどドキュメント類が「無理やり日本語にした資料」「オペレータ向けの資料」しか無い感じで、国際的な基準にどこまで準拠しているか疑問です。
そもそも個性的な機種が多く、緊急事態(深刻な脆弱性の発覚等)時に、乗り換えに時間を要する事が予想されます。平時の内に他社の機種へ乗り換えておくことを推奨します。
他のスレッドでも触れていますが、YamahaとNECのUTMは「通信中にクラウド上のサーバが地理的に移動=GIPが変更となった際、フラグメントが起きていると通信が途絶する」仕様となって居ます。
※MSSやLAN側のMTUを調整しても状況は改善できませんでした。PCやサーバの設定が原因であるため、弊社では追試を行いません。