目次
情報セキュリティの概要
情報セキュリティ
- 情報を保護するために実行されるセットプロセスとアクティビティを定義します。
- 目標は、許可されていないユーザーが情報やサービスを盗んだり悪用したりするのを防ぐことです。
機密情報が悪用された場合、それは莫大な損失を引き起こす可能性があります。
重要な用語
ハック値
- ハッカーにとって何が価値があるのか、興味深いか評価した値
- ハック値の高い例
1.クレジットカード情報
2.個人情報(住所、電話番号など)
脆弱性
- システムを危険にさらし、攻撃に使用される可能性のある弱点
- 例
- ポリシー
個人がUSBドライブをコンピュータのラップトップに固定するかどうかを規制するポリシー - 設計/実装エラー
Linux + macOS + Windowsは、キーボードになりすましてコンピューターへのアクセスが多いUSBドライブの脆弱性の影響を受けやすい
- ポリシー
エクスプロイト
- 脆弱性による違反
また、特定された脆弱性を利用できるようにするソフトウェアも指します。
例:悪意のあるUSBを接続するなど
ペイロード
- マルウェアまたはエクスプロイトコードの一部
- キーロガーやRAT(リモート管理ツール)などがインストールされた悪意のあるUSBによって使用されます。
- 使用例
- 被害者のマシンにバックドアを作成する
- ファイルの損傷または削除
- データのコミット
- コンピューターの乗っ取り
ゼロデイ攻撃
- パッチがリリースされる前に、これまで知られていなかった脆弱性を悪用すること。
- ベンダーに知られておらず、新たに発見されたソフトウェアの欠陥のこと。
- 例:Spectre&Meltdown
- AMDおよびIntelCPUの脆弱性
特定のシステムの特権を昇格させるために悪用される可能性があります。まだ存在はしていますが、既知のためゼロデイの脅威ではなくなりました。
すべてのクラウドプロバイダーに影響を与え、ファームウェアの更新を実行する必要がある重要な問題でした。
Intelが提供する更新プログラムで改善されています。
- AMDおよびIntelCPUの脆弱性
- 例:Spectre&Meltdown
- 攻撃手順:
- 攻撃者が脆弱性を発見
- 攻撃者が脆弱性を悪用する
- 攻撃が発生します
- ベンダーが脆弱性について気づき、対応を検討します
- パッチが作成されます
- ソフトウェアが古くなっている場合やサポートがない場合など、ベンダーがパッチを適用しない場合があります。
- パッチが適用されます
- 家庭用ルータなどは、業者によってセットアップされたままファームウェアアップデートもされず、長年放置されていることが多いです。。
- パッチが作成されて適用されるまでの時間は、悪意のあるハッカーによって最大限に使用されます。多くの場合、企業は対応が遅いので、影響を及ぼし続けます。
デイジーチェーン
- ハッカーが1つのネットワーク/デバイスにアクセスし、それを使用して次のネットワーク/デバイスにアクセスする攻撃。
- ステップ
- ハッカーは、システム/ネットワーク内のデバイスにアクセスします。
例:スマートウォッチ、冷蔵庫、PC。 - 最初のデバイスを利用してネットワーク内の他のデバイスにアクセスし、移動とアクセスを繰り返すことでハッカーは最終的にネットワークを掌握していきます。
- ハッカーは、システム/ネットワーク内のデバイスにアクセスします。
- 📚 銀行などをハッキングする例
- 最もアクセスしやすい人を追いかけます。
- 攻撃ベクトルとしてその人のホームルーターをハックします。(企業ネットワークに比べて抵抗が少ないからです。)
- 企業ネットワーク:ファイアウォールやポリシーなどがあります。
- ホームルーター:ほとんど更新されず、脆弱性が多い傾向です。これらは通常、ダウンサイズのLinuxオペレーティングシステムを実行します。
- ルーターに接続されているデバイスをスキャンします。
- 暗号化できますが通信を見ることができます。使用されているポート、URL、アドレスを常に確認することができます。
- 例:男性用PC、妻用PC、スマートTV /冷蔵庫、彼の携帯電話、妻用携帯電話など。
- さまざまな攻撃ベクトルオプションを使用した攻撃:
- DNS設定を変更すると、自分をDNSとして設定できます。
- 攻撃者はコンピューターをDMZに置き、PCを公開して外部からアクセスできるようにします。
- デバイスのオペレーティングシステムにフィッシング、エクスプロイトを適用します。
- システムの1つにアクセスします。たとえば、多くの脆弱性をもっているのでAndroidのスマートフォンは狙われやすいです。
- しばらくすると更新が届きません。外が暑いときに操作する場合など、設計上の制限を超えると、発生するハードウェアの欠陥により、ビットスクワットなどの悪用可能なソフトウェア攻撃が発生します。
- アクセスを取得する
- 銀行口座、クレジットカードの詳細などの情報にアクセスを試みます。
- 1つのデバイスに感染した後、たとえば携帯電話が銀行ネットワークでも使用されている場合は、銀行ネットワーク内の他のデバイスをジャンプします。
Doxing
- 悪意のある理由で誰かの個人情報(PII)を見つけて公開すこと。例:個人の名前、電子メールアドレス、または組織の機密データなど。政府の機密ファイルが漏洩することもしばしばあります。
- ステップ
- 個人/組織に関する個人的で価値のある情報を収集
- 例:写真、SSN、ソーシャルアカウント、住所 etc
- ソーシャルメディアなどを通じてより多くの情報を学習することにより、ターゲットのプロファイルを構築します。
- さまざまな理由で収集された情報の誤用
- たとえば、個人情報の盗難、使用する財務情報の盗難、ターゲットに望まないことを強制する
ボット
- 「ロボット」の収縮
- 事前定義されたタスクを実行するように制御できるソフトウェア。悪意のある理由で感染したマシンを制御するためにハッカーによって使用されます。
- 使用事例
- ボットを使用してコンピューターを制御し、他のコンピューターに攻撃を実行する
- より多くのマシンに感染してボットネットを作成する
CIAトライアド
- 情報セキュリティの3つの原則で、情報セキュリティの中心的な考え方として広く認識されています。
- すべてのセキュリティプログラムの目標および目的として機能する必要があります
- 🤩 試験に出る!!
- 守秘義務:誰も中身を見ることができないこと
- 整合性:転送中にデータを改ざんする人がいない
- 可用性:データはオンデマンドでアクセス可能
情報セキュリティの要素
守秘義務
- 情報へのアクセスを許可された人だけが情報を利用できるようにします。
- 不適切なデータ処理やハッキングの試みは、機密性の侵害につながります。
- 💡 コントロール:•暗号化•分類•アクセス制御•適切な廃棄(DVD、CDなど)
完全性
- 情報の正確性を保証します
- 不適切で無許可の変更を防止します—
- 💡 コントロール:•ハッシュ•アクセスコントロール
可用性
- 許可されたユーザーが必要なときにいつでもリソースを利用できるようにします
- 💡 コントロール:•冗長性•データバックアップ•アンチウイルス•DDoS防止
信憑性
- 次のいずれかの場合、本物または破損していない品質を保証します。
- 認証を通じて実際に自分自身を証明できる人物
- 提示されたドキュメントまたは情報が破損していない
- 💡 コントロール:•ユーザー(生体認証)•スマートカード•データ(デジタル証明書)
否認防止
🤩 試験に出る!!
- メッセージの送信者は、メッセージを送信したことを否定できません。
- 受信者はメッセージを受信したことを否定できません
- 💡 コントロール:デジタル署名、ロギング
機能性、使いやすさ、セキュリティの三角形
- コンポーネント
- 機能性:システムの機能
- 使いやすさ:システムのGUIとその使いやすさ
- セキュリティ:システムのプロセスがどのように使用され、誰がそれらを使用しているか
- 相互接続
- 1つのコンポーネントに加えられた変更は、他の2つのコンポーネントに直接影響します。
- たとえば、システムのセキュリティが強化されると、システムの機能と使いやすさが低下します。理由は、より多くのチェックまたはより多くの検査によるセキュリティのオーバーヘッドが大きくなるためです。
- 💡 それらのすべてのバランスを取り、必要なレベルのセキュリティ、機能、および使いやすさを実現しましょう。
ドキュメントタイプ
- 標準
- 一貫性を実現するために使用される必須ルール
- ベースライン
- 必要最小限のセキュリティレベルを提供します。
- ガイドライン
- 従うべき基準がない場合にユーザーが取るべき、柔軟で推奨される行動。
- 手順
- タスクまたは目標を達成するための詳細なステップバイステップの説明