すぐ役立つ!インシデント対応:端末調査の定番、「抜線」対応 | トレンドマイクロ セキュリティブログ

(情報元のブックマーク数

フォレンジックをするためには、LANケーブルを抜かないのも一つ。発揮性情報をいかに取得するかが重要ってことか。

ウイルスバスターとかで、マルウエア検知したり、トリガーで自動的に発揮性情報を取るアプリを起動してくれないかなぁ・・・

■「抜線」の際に気を付けること 先に「抜線」は被害の拡大防止の観点からは 1つの正解である、と書きましたが、被害範囲の特定、不正プログラムの活動内容や感染経路の確認などフォレンジック的な観点からは、ネットワークからの物理的な隔離は「間違い」となる場合があります。端末のネットワーク接続が失われることにより端末の状態が変化し、フォレンジック的調査で必要な情報が得られなくなることがあります。特に、CPU の情報(レジスタ、キャッシュ)、ルーティングテーブル、ARPキャッシュ、プロセステーブル、カーネル統計、メモリ状態などは、「揮発性の高い」=失われやすい情報であり、ネットワークの切断や端末の電源OFF、再起動などにより、取得困難となってしまいます。
また、不正プログラム自体の活動として、インターネット接続が確認されなくなると活動を中止したり、自身をアンインストールして証拠を隠したりする活動も確認されています。また、外部の C&Cサーバなどと通信を行う活動を持つ不正プログラムの場合、ネットワークを切断してしまうと通信が成功しないため、その情報を取得することができず、不正プログラムの発見自体にも支障が出る場合があります。
このように、調査対応の中では、何を優先するかによって「正解」は変わります。繰り返しになりますが、問題発生時に速やかに対処するためには、何を優先にするべきかを事前にはっきり決めておくことが重要です。
では今回のポイントをまとめてみます。
端末調査において「被害の拡大防止」を優先とする場合、「抜線」=端末をネットワークから隔離する対応は 1つの「正解」: 「被害の拡大防止」の観点からは、問題端末をネットワークから外すことは今でも一定の意味がある 反面、端末をネットワークから外すことにより「失われる情報」も多くあることを認識しておく

すぐ役立つ!インシデント対応:端末調査の定番、「抜線」対応 | トレンドマイクロ セキュリティブログ

既にネットワークにつないだまま、リモート調査ツールを実行している企業も「多く」見られるとのこと・・・

トレンドマイクロのお客様からもなんとか安全性をある程度担保したうえでネットワーク経由での調査が行えないか、というご相談を多く受けています。実際に、ネットワークにつないだままリモートで調査ツールを配信し実行させる、といった対応を行っている例も多く見受けられます。

すぐ役立つ!インシデント対応:「抜線」しない端末調査 | トレンドマイクロ セキュリティブログ

抜かなくても隔離は、プロキシ、ACL、検疫、色々隔離方法は確かにあるな。

このようなお客様からの要望に応え、トレンドマイクロのサポートエンジニアはソフトウェア的な対応でネットワークからの「隔離」を実現させるノウハウを蓄積してきています。ネットワークからの隔離という意味では大きく分けて 2つの観点があります。インターネットへのアクセスを止めることと、ローカルネットワークへのアクセスを止めること、です。

すぐ役立つ!インシデント対応:「抜線」しない端末調査 | トレンドマイクロ セキュリティブログ

screenshot