TM本勉強会 脅威分析研究会 SIGSTA Chapter 8 1

Chapter8: 対策の戦術と技術

概要

 これまではソフトウェアをモデル化して

脅威を見つける方法について学んだ

 ここからは見つけた脅威についてそれぞ

れ対応を考える

 本章は脅威に対する標準的な対策の戦術

と技術を紹介

 _{STRIDE ごとに分かれている}

構成

 認証 : なりすまし (S) 対策

 完全性 : 改ざん (T) 対策

 Non-repudiation: _{否認 (R) 対策}

 機密性 : 情報漏洩 (I) 対策

 可用性 : DoS(D) 対策

 認可 : 権限昇格 (E) 対策

 _パターン

 プライバシー脅威への対策

個人的感想

 attack tree などを使い、大本の STRIDE

を細かい攻撃レベルに分解している

 個々の細かい攻撃は STRIDE に直接対応

しているとは限らない

 なのに、個々の攻撃への対策で考えるの

ではなく、大本の STRIDE への対策を考

えるので、網羅できているのか？

 リプレイアタック対策とかどうするか

認証 : なりすまし (S)

対策  なりすましはいろいろなところからやっ

てくる

プログラムになりすまし

ポートの無許可利用？ (squatting a port)

ポートの中継？ (splicing a port)

リモートマシンになりすまし

 通常は同一あるいはそれ以下の信頼レベ

ルで動いているプログラムがなりすまし

可能なので、 OS のようなより高い信頼レ

ベルのみ信用せよ

認証 : なりすまし (S)

対策  _戦術

暗号技術を使わない対策は信頼できない

人の認証については、詳細は 14 章で扱う

技術を用いる時は、用語の違いなどに注意 PKI 、 public key infrastructure 、 certificate a uthorities _{、 CA 、 ...}

認証 : なりすまし (S)

対策  _{開発者の対策}

ライブラリなどのパスはフルパスを使おう

ネットワークではアクティブディレクトリや LDAP _{を使うのがよい}

暗号も使えるが詳細は 16 章

 _{運用時の対策}

運用時に強化できる対策は限られている

DNSSEC,SSH,SSL

認証 : なりすまし (S)

対策

 _{コンピュータを認証}

 _IPSEC

 _DNSSEC

 _SSH

 _{Kerberos認証}

 HTTP Digest認証 /BASIC 認証

 _{Windows認証 (NTLM)}

 _PKI

 ビット列やファイル、メッセージの認証

 _{デジタル署名}

 _ハッシュ

 _人を認証

 _{パスワード}

 _{アクセスカード}

 _生体情報

 _{認証してくれる人}

 _{認証の管理}

 _cookie

完全性 : 改ざん (T)

対策  _戦術

アクセス権限管理 ( パーミッション )

_暗号

_ハッシュ

_{デジタル署名}

_ログ

 担当コメント : パーミッションは防止、後

2 _{つは検知に関わるもの}

完全性 : 改ざん (T)

対策

アクセス権限管理 ( パーミッション )

→ _{リファレンスモニタ}

すべてのものに関するすべての権限を 集中管理

暗号については、 16 章参照

 運用時における完全性の保証

完全性の保証で重要なのはプロセス

プロセスやプロトコルの例外のミスから完全性が崩壊⇒機密性 の例ですが Heartbleed が該当しますね ( 担当 )

_SSH 、 SSL 、 IPSec なども運用時には使える

完全性 : 改ざん (T)

対策

_{ファイルの保護}

_{ACL/ パーミッション}

_{デジタル署名}

_ハッシュ

Windows MIC

_{UNIX 不変ビット}

ネットワーク通信の保護

_SSL

_SSH

_IPSec

Digital signatures

_{MAC は？}

non-repudiation: 否認 (R) 対策

 _{対策の要素}

不正なトランザクションの防止

_{議論になる問題の記録}

_{問題の調査、捜査}

_{問題への応対}

 否認は時には必要な機能になる場合があ

る。注意⇒ 6 章の LINDDUN 参照

non-repudiation: 否認 (R) 対策

 _{対策の要素}

不正なトランザクションの防止

_{議論になる問題の記録}

_{問題の調査、捜査}

_{問題への応対}

 否認は時には必要な機能になる場合があ

る。注意⇒ 6 章の LINDDUN 参照

non-repudiation: 否認 (R) 対策

 部外者による詐欺の防止戦術

安定性に着目することが役に立つ

_異常検知

10 年間月一でロマンス小説しか買わなかった人が 突然別の場所 ( スロバキアとか ) で技術書を新しい カードで購入？？

non-repudiation: 否認 (R) 対策

 _{詐欺防止ツール}

バリデーションサービス

CVN/CVV や郵便番号などによる検証

固有データ / 顧客履歴 顧客の注文履歴

_{複数の取引先データ}

業者間でブラックリストを共有するようなも のか

_{購入デバイス追跡}

デバイスの fingerprinting 、 IP 、位置情報

non-repudiation: 否認 (R) 対策

 _{否認対策の実現}

_ログ

Web だったら、 IP 、位置情報、ブラウザの 詳細情報などをおさえておくべき

_{デジタル署名}

米国法が規定する「電子署名」とは意味が違うら しい

誰かが持っている鍵によって署名が生成されたこ とを「反駁できないほどに」示す数学的変換

反駁のできなさは数学的な強さに依存

non-repudiation: 否認 (R) 対策

 _{否認対策技術}

_ログ

_{ログ解析ツール}

セキュアログストレージ

_{デジタル署名}

_{タイムスタンプ}

信頼のおける第三者機関

_{ハッシュ木}