こんにちは!
ナビゲータのEVEです。
ナビゲータのEVEです。
近頃、YouTubeで、競バンライフ(競馬しながらキャンピングカー生活)を主に見ています。面白い点は、競馬で生活費を稼ぎながら、キャンピングカー生活をしているというところでしょうか?普通の人がYouTubeを作った場合、競馬だけとか、キャンピングカー生活だけとかテーマを絞ってYouTubeを作るのが普通なのですがこの番組は、2つの要素を取り込む事によりユーザーを楽しませてくれます。しかも、この番組の作成者、鈴木さんという方らしいのですが、万馬券を当てる当てる!近頃は、豪華なキャンピングカーを買い直し、セレブな生活をしているらしいです。
現在、3年前の過去のビデオから見ていて、直近は1本しか見ていないので詳しい状況は分かっていませんが、かなりグレードアップしたようです。
この番組を見ながら、鈴木さんのグレードアップした分析能力をマネしなければと痛感し、いろいろな意味で思考が変わりました。
では本日は、土曜日で、セキュリティの日です。先週に引き続き、アスクルのランサムウェアのセキュリティについて調べていきます。
[不明内容後の整理]
ちょっと間があいてしまい用語の意味不明な点があるので、そこを整理するところから本日は始めます。
攻撃者に権限昇格させない方法として、以下が有効だという話をしています。
- 資格情報の保護
- OS・ソフトウェアの最新化
- 端末の暗号化(Disk / Memory)
- 権限設計とネットワーク構造
- EDR自己防御
- 横展開対策
- バックアップ分離
- 監視(SOC)
先週までは、資格情報の保護まで話していて、その資格情報保護においては、以下が必要だと話しています。
- LSASS 保護(Credential Guard)
- NTLM 無効化
- パスワードのハッシュを端末に残さない設定
- 管理者アカウントの分離(Tiered Admin Model)
- サービスアカウントの権限最小化
- ローカル管理者パスワードの自動ローテーション(LAPS)
以上の中で、LSASSとNTLMという用語の意味を明確に理解できていませんでした。それでは、その用語について、Copilotに何を指しているのか聞いてみましょう。
- LSASS 保護(Credential Guard)とは何か
- Windows のログイン情報(パスワード・NTLMハッシュ・Kerberosチケット)を、攻撃者から盗まれないように“隔離して守る”仕組み。
- Credential Guard がやっていること
- ① 資格情報を “仮想化ベースのセキュリティ(VBS)” に隔離する
- ② Mimikatz などの資格情報抽出ツールを無力化する
- ③ Pass-the-Hash / Pass-the-Ticket 攻撃を大幅に困難にする
次に、NTLMとは何なのか、Copilotに調べてもらいましょう。
- NTLMとは何か?
- Windows の古い認証方式で、パスワードの“ハッシュ”を使って認証する仕組み。
- これが攻撃者に悪用されやすいため、現代のセキュリティでは“できるだけ使わない”ことが推奨されている。
以上を理解することにより、なんで、保護したり無効化するのかという理由を理解しました。
[OS・ソフトウェアの最新化]
次ですが、OS・ソフトウェアの最新化はなぜしなければいけないのか理解していますよね?
OSなどを含めたソフトウェアには必ず、100%バグが含まれています。100%だということは忘れないで下さい。その中にセキュリティバグも含まれています。そのバグを修正するために、製造元はパッチするための更新用ソフトウェアを用意してくれます。その用意されたパッチは、なるべく早いうちにOSまたはソフトウェアに適用しましょうということです。パッチ公開後は攻撃者が脆弱性を逆解析し、攻撃が急増するので、なるべく早い方がいいでしょう。
これをすることにより、セキュリティリスクを下げ、組織を攻撃者から守ることになります。
[あとがき]
もっと、書きたかったのですが、本日はここまでとします。昨日いろいろあり、中小企業診断士の勉強に進捗が全くなかったためです。今日明日で、そちらの方の勉強を追いつきます。
では、また!
コメント
コメントを投稿