a piece of cake

[CEH v10]1 – 必要知識:Essential Knowledge

CEH v10
目次

1_必須知識

必須知識

OSIリファレンスモデル

レイヤ 説明 技術 データユニット
1 物理層 USB、Bluetooth、ビット
2 データリンク ARP、PPP フレーム
3 ネットワーク IP パケット
4 トランスポート TCP セグメント
5 セッション X255、SCP データ
6 プレゼンテーション AFP、MIME データ
7 アプリケーション FTP, HTTP, SMTP データ

TCP/IPモデル

レイヤ 説明 OSIレイヤに相当するもの
1 ネットワークアクセス
2 インターネット 3
3 トランスポート 4 | アプリケーション
4 アプリケーション 5-7

TCPハンドシェイク

syn -> syn-ack -> ack

ARP

  • IPアドレスを物理アドレスに解決する

ネットワーク・セキュリティ・ゾーン

  • インターネット
    • 制御できない
  • インターネット DMZ
    • 制御されたバッファネットワーク
  • プロダクション ネットワーク ゾーン
    • 非常に制限されており、制御されていないゾーンからの直接アクセスを制御する。
  • イントラネットゾーン
    • 制御されており、大きな制限はほとんどない。
  • 管理ネットワークゾーン
    • VLANやIPSECなどがあり、高度なセキュリティと厳格なポリシーが設定されている。

脆弱性

  • CVSS(Common Vulnerability Scoring System)
    • 深刻度に応じて数値化されたスコアを付ける。
  • National Vulnerability Database (NVD)
    • 米国政府が保有する脆弱性データベース

脆弱性カテゴリ

  • Misconfiguration
    • サービスやアプリケーションの設定が不適切な場合。
  • デフォルトのインストール
    • アプリケーションのデフォルトの設定を変更しないこと
  • Buffer overflow
    • コード実行の脆弱性
  • Missing patches
    • パッチが適用されていないシステム。
  • 設計上の欠陥
    • 暗号化やデータの検証など、システム設計に固有の欠陥
  • OSの欠陥
    • 各OSに固有の欠陥
  • Default passwords
    • システムやアプリケーションに付属するデフォルトのパスワードをそのままにしておくこと

脆弱性管理ツール

  • Nessus
  • Qualys
  • GFI Languard
  • Nikto
  • OpenVAS
  • Retina CS

知っておきたい用語

  • ハックバリュー
    • 攻撃者から見たターゲットの認識された価値。
  • ゼロデイ攻撃
    • ベンダーが欠陥を知り、パッチを当てることができる前に発生する攻撃。
  • Doxing
    • 通常は悪意を持って個人に関する情報を検索し、公開すること。
  • 企業情報セキュリティアーキテクチャ (EISA)
    • 組織内のシステムがどのように機能するかを決定するプロセス。
  • インシデント管理
    • 攻撃を軽減するために特定のインシデントに対処する。

脅威のモデリング

  • セキュリティ目標の明確化
  • アプリケーションの概要
  • アプリケーションを分解する
  • 脅威の特定
  • 脆弱性の特定

Risk Management

リスク分析マトリックスを用いて脅威レベルを決定
- リスクの特定
- リスクの評価
- リスクの処理
- リスクの追跡
- リスクレビュー

セキュリティ・コントロールの種類

説明
物理的 ガードマン、照明、カメラ
技術的 暗号化、スマートカード、アクセスコントロールリスト
管理面 教育意識、ポリシー
説明
予防的 認証、警鐘
探偵 監査、バックアップ
復元 オペレーションの復元

ビジネス・アナリシス

  • ビジネスインパクト分析 (BIA)
  • 最大許容ダウンタイム(MTD:Maximum Tolerable Downtime)
  • 事業継続計画(BCP)
    • 災害復旧計画 (DRP)
  • 年間損失期待値(ALE)
    • 年間発生率(ARO:Annual Rate of Occurrence
    • シングル・ロス・エクスペアレント(SLE)
      ALE = SLE * ARO
  • User Behavior Analysis (UBA)
    • ユーザーを追跡し、悪意のある活動に照らし合わせてデータを推定する。

CIA トライアド

  • 機密性
    • パスワード、暗号化
  • 統合性
    • ハッシュ化、デジタル署名
  • 可用性
    • アンチドスソリューション
  • ビット反転は、integrity攻撃の一例です。
    その目的は、情報を得ることではなく、実際のユーザーからデータを見えなくすることです。

  • 秘匿性 != 認証 - MAC アドレス偽装は認証攻撃です。

Common Criterial for Information Technology Security Evaluation (情報技術セキュリティ評価のためのコモンクライテリア)

  • 日常的には「コモンクライテリア」(CC)と呼ばれています。
  • 評価保証レベル (EAL)
    • レベル1から7まであります。
  • 評価対象(Target of Evaluation)
    • テストされるシステム
  • セキュリティターゲット(ST)
    • TOEおよびセキュリティ要件を記述した文書
  • セキュリティターゲット (ST)
    • TOEおよびセキュリティ要件を記述した文書
  • プロテクションプロファイル(PP)
    • テストされるデバイスの種類に固有のセキュリティ要件。

アクセスコントロールの種類

  • Mandatory (MAC)
    • 管理者によって設定されるアクセス。
  • Discretionary (DAC)
    • ユーザーが所有・管理しているリソースへのアクセスを許可する。

セキュリティポリシー

  • アクセス制御
    • どのリソースを保護するか、誰がアクセスできるか
  • 情報セキュリティ
    • システムを何のために使用するか
  • 情報保護
    • データの感度レベルを定義します。
  • パスワード
    • パスワードに関するあらゆること(長さ、必要な文字数など)。
  • E-Mail
    • 電子メールシステムの適切な使用法と許容範囲
  • 情報監査
    • 監査のためのフレームワークの定義

ポリシーの分類

  • Promiscuous
    • 広く開放的
  • Permissive
    • 既知の危険なものだけをブロックする。
  • Prudent
    • ほとんどのものをブロックし、ビジネス目的のものだけを許可します。

  • Paranoid

    • すべてを制限する
  • Standards
    • 一貫性を保つための必須ルール
  • Baselines
    • 必要最低限のセキュリティを提供する。
  • ガイドライン(Guidelines)
    • 柔軟性のある、推奨される行動
  • 手順
    • ステップバイステップの指示
  • Phreaker
    • 電話システムを操作する。

The Hat(ハッカーの種類)

  • ホワイトハット
    • 倫理的なハッカー
  • ブラックハット
    • 悪質な活動を目的とするハッカー
  • グレーハット
    • 善悪の活動を行うが、ハッキング先の組織の許可を得ていないハッカー
  • ハクティビスト
    • ある目的のためにハッキングを行う人
  • スーサイドハッカー(Suicide Hackers)
    • 自分には何の罪もなく、仕事をするためにハッキングをする。
  • サイバーテロリスト
    • 宗教的、政治的な信念に基づいて、恐怖や混乱を引き起こすことを目的とする。
  • 国が支援するハッカー
    • 政府に雇われたハッカーです。
  • Script Kiddie
    • セキュリティ手法を学んでいないが、自由に利用できるツールを使って悪意のある活動を行う。

攻撃の種類

  • OS(Operating System)
    • ゲストアカウントやデフォルトのパスワードなど、OSの欠陥や内部のセキュリティ問題を狙った攻撃。
  • アプリケーション・レベル
    • プログラミング・コードやソフトウェア・ロジックに対する攻撃
  • シュリンク・ラップ・コード
    • 組み込みコードやスクリプトを利用した攻撃
  • Misconfiguration
    • 不適切な設定やデフォルトの設定のために誤設定されたシステムを利用した攻撃。
  • Infowar
    • 優位に立つための攻撃的・防御的な技術の使用

ハッキングのフェーズ

  1. 偵察(Reconnaissance)
    • ターゲットに関する証拠を収集する。
  2. Scanning & Enumeration
    • ターゲットについてのより詳細な情報を得る。
  3. アクセス権の獲得
    • システムへのアクセスを目的とした攻撃。
  4. アクセスの維持
    • 将来のアクセスを確保するために必要なもの
  5. Covering Tracks
    • 成功と侵入を隠すために取られる手段。

偵察の種類

  • パッシブ
    • ターゲットに気づかれないように情報を収集する。
  • アクティブ
    • 発見されてもされなくてもよいツールやテクニックを使用する。

セキュリティ・インシデント・イベント・マネジメント(SIEM)

  • セキュリティオペレーションセンター(SOC)に関わる機能
    • 識別
    • 監視
    • 記録
    • 監査
    • 分析
  • エシカル ハッカー
    • 顧客の許可を得て、ハッカーが使用するツールを使用する。
      テストを行う前に、必ず具体的な目的について顧客から同意を得ます。
  • クラッカー
    • 個人的な利益や破壊的な目的でツールを使用する。

ペネトレーション テスト

  • 明確に定義された、セキュリティコントロールのフルスケールテスト
  • フェーズ
    • 準備
      • 契約とチームの決定
    • 評価
      • すべてのハッキングフェーズ(偵察、スキャン、攻撃など)。
    • ポスト・アセスメント
      • レポートと結論
  • タイプ
    • ブラックボックス
      • システムやネットワークの知識がない状態で行われる。
    • ホワイトボックス
      • システムを完全に把握している場合
    • グレーボックス
      • システムやネットワークについてある程度の知識がある場合

法律の分類

  • 刑事
    • 公共の安全を守るための法律で、通常は懲役刑が科せられます。
  • 民事
    • 私的な権利や救済措置のための法律
  • Common
    • 社会的な慣習に基づいた法律

規約と基準

  • OSSTM コンプライアンス
    • ISECOM が作成した「Open Source Security Testing Methodology Manual」では、以下の 3 種類のコンプライアンスが定義されています。
      • Legislative - 政府の規制に関するもの (SOXやHIPAAなど)
      • Contractual - 業界やグループの要求事項を扱う(PCI DSSなど)。
      • Standards based - 特定のグループ/組織のメンバーが従わなければならない慣習を扱う(ITIL、ISO、OSSTMM自体など)。
  • OSSTMコントロール
    • OSSTMクラスA - インタラクティブコントロール
      • 認証 - クレデンシャルに基づく識別と認証を提供する。
      • 免責事項 - 損失や損害に対する契約上の保護を提供する。
      • 従属 - 資産の所有者によって定義されたプロセスに従って、相互作用が行われることを保証する。
      • 継続性(Continuity) - 破損や障害が発生しても、資産との相互作用を維持する。
      • 回復力(Resilience) - 破損や故障から資産を保護します。
    • OSSTMクラスB-プロセスコントロール
      • 否認しないこと(Non-repudiation) - 参加者が自分の行動を否定できないようにする。
      • 守秘義務(Confidentiality) - 参加者のみが資産を知っていることを保証する。
      • プライバシー - 参加者のみが資産にアクセスできることを保証する。
      • 統合性 - 資産やプロセスが変更されたときに、参加者のみがそれを知ることができることを保証する
      • Alarm - 相互作用が発生したときに参加者に通知する
  • ISO 27001
    • 英国のBS7799規格に基づくセキュリティ規格で、セキュリティガバナンスに焦点を当てている。
  • NIST-800-53
    • 連邦政府の情報システムのためのセキュリティおよびプライバシー管理のカタログで、FISMAの実施を支援するために作成された。
  • ISO 27002 および 17799
    • BS799 をベースにしているが、セキュリティ目標に焦点を当て、業界のベストプラクティスに基づいたセキュリティ管理を提供する。
  • **FISMA(Federal Information Security Modernization Ac Of 2002)
    • 2004年に更新された法律で、情報セキュリティポリシーの実施に関する国土安全保障省の権限を成文化したものです。
  • FITARA(Federal Information Technology Acquisition Reform Act)
    • 米国政府の技術購入方法を決定する枠組みを変更することを目的とした2013年の法案。
  • **HIPAA(Health Insurance Portability and Accountability Act)
    • 患者の医療記録や健康情報を保護するためのプライバシー基準を定めた法律。
  • **PCI-DSS (Payment Card Industry Data Security Standard)
    • クレジットカード、ATMカード、その他のPOSカードを扱う組織のための基準。
  • **COBIT(Control Object for Information and Related Technology)
    • ISACAとITGIによって作成されたITガバナンスフレームワークおよびツールセット。
  • **SOX(Sarbanes-Oxley Act)
    • 上場企業に対し、独立監査の実施と財務情報の適切な開示を義務付ける法律。
  • **GLBA(U.S. Gramm-Leach-Bliley Act)
    • 金融機関が収集する個人情報の機密性と完全性を保護する法律。
  • **CSIRT(Computer Security Incident Response Team)
    • コンピュータ・セキュリティ・インシデントを報告するための単一の連絡先を提供するCSIRT
  • **ITIL(Information Technology Infrastructure Library)
    • 80年代に開発されたIT管理手順を標準化した運用フレームワーク

コントロール

  • **ディレクティブ***
    • セキュリティポリシー、オペレーションプラン、ガイドラインなどの会社の手続きを扱うため、手続き上のコントロールとも呼ばれます。
  • 抑止力
    • 潜在的な攻撃者を思いとどまらせるために使用される統制で、警報システムや監視が行われていることを警告するサインなどがあります。
  • 予防的 (Preventive)
    • 暗号化や認証など、ユーザーが特定の操作を行えないようにすることで、潜在的な攻撃を阻止するために使用されるコントロール。
  • 補償的なもの
    • 管理者が会社のポリシーに違反していないかログファイルを確認するなど、指示的なコントロールを補完するために使用されるコントロール。
  • Detective (検知)
    • 悪意のある、または不正な活動を監視し、警告するために使用されるコントロール。例えば、IDSや実生活で監視されているCCTVのフィードなど。
  • 修正(Corrective)
    • 悪意のあるイベントによって引き起こされた損害を修復するために使用されるコントロール。アンチウイルスソフトやIPSなど(IPSは検知と修正の両方の機能を持つ)。

  • Recovery(回復)

最新情報をチェックしよう!

CEH v10の最新記事8件