インシデント発生時、ネットワークを繋ぐケーブルをあなたは抜きますか?
ケーブルの抜線は永遠のテーマであると言えるでしょう。
侵害が発覚した場合、被害を最小限に留めたいがためにインターネットとの接続を切断を考える気持ちはとてもよく理解できます。
しかし、それが最善の方法なのかを見極める必要があります。
発覚したインシデントを収集するため、最終的に必要になるのは「原因究明」か「回復・復旧」でです。
この最終的な目的を明確にすることによって、初動が決まるのです。
ワーム全盛期の10数年前であれば、インシデント発生を確認したならばすぐにケーブルを抜きました。
このころのインシデントとはワーム感染であり、マルウェアの動作は感染拡大であるため発覚後はすぐに抜線をしたのです。
当時のインシデント対応に必要だったのは、迅速な「回復・復旧」でした。
これは、「ワーム(不正プログラム) vs 人間」の図式だといえます。
それに対し、近年の標的型攻撃に代表される比較的高度なサイバー攻撃は一筋縄ではいきません。
これは、「人間(攻撃者) vs 人間」の頭脳戦なのです。
悪用された不正プログラムも決まった動作をするわけではないので、多くのインシデントでは「原因究明」が求められることになります。
インシデントのタイプ・状況に応じてケーブルの抜線やシステムの稼働・停止の判断を行わなければならないのです。
初期動作を考える
ケーブル抜線の他は、インシデント対応の初期動作としてどのような方法が考えられるでしょう。
近年のマルウェアの特徴
- 感染に気づきづらい
- システム上に証跡をあまり残さない
- ハードディスク上から見つからないことも多々ある
など
マルウェアの特徴から、近年では不正プロセス(インターネットとの不可思議な通信を行っているプロセスなど)をメモリ上から特定する手法が注目されています。
ケーブルを抜いてしまうと、大事なネットワークに関する情報がメモリ上から順に消えていってしまいます。
マルウェアが自己消去してしまう場合もあるでしょう。
そうなってしまってからでは、再発防止策が打てなくなってしまうのです。
昨今のサイバー攻撃の動向を踏まえると、ケーブルを抜いてネットワークから隔離することが必ずしも正解であるとは言えないのです。
メモリ上からの不正プロセスやネットワーク情報の抽出は、情報が欠落していなければ数分~数十分で行うことも可能です。
律儀にフォレンジックを実施したり、数ギガバイトのログにまみれるよりも効率的であることが多いのです。
ただし注意が必要なのは、「確実にメモリダンプが取得できれば」という条件でしょう。
そのことが難しいというのも事実です。