少し期間が空きましたが続きをやっていきます。今回はControl4についてです。
土曜日(2019/7/13)に、ISACA東京支部の研究会セミナーがあるので、そちらでもCIS Controlsには多少触れるのでは?と思っています。
なお、この記事の内容については個人的な見解も含まれていますので、認識が異なる場合はご教示いただけますと幸いです。
CIS Control 4:管理権限のコントロールされた使用
このコントロール目的としては以下となっています。
また、このコントロールが重要な理由として以下に纏めますと。
・管理権限の誤使用は、攻撃者が標的とする企業内に侵入するための主たる手段となる。
・攻撃のテクニックとしては大きく分けて二つ存在する
・一つ目(標的型攻撃):標的型攻撃メールの添付ファイル開封や悪意のあるWebサイトへの誘導による攻撃、添付ファイルまたはエクスプロイトに攻撃コードが含まれており、被害者PC上で実行されるか、攻撃者のコンテンツを実行するようユーザを騙すことによって実行される。被害者が管理権限を保持していた場合、被害者のマシンをコントロールし、キーストロークロガー、スニファー、およびリモートコントロールソフトウェアをインストールして、管理者パスワードとその他の機密データを見つけ出すことが可能。
・二つ目(パスワードクラッキング):管理ユーザのパスワード推測またはクラッキングによって権限を昇格させ、ターゲットマシンへのアクセスを取得する。管理権限が厳密ではなく広く分散されている場合や重要性の低い他のシステムで使用されているパスワードと同一の場合、容易にシステムを完全にコントロールすることができる。
となっています。
また、上記について実際にどのような対応をすればいいのかについて、以下の表が用意されています。
次に上記点を踏まえて個人的な考察を行っていきます。
CIS Control 4の検討(考察)
経験上この問題は対策されていない場合が多いですね。
この問題が頻発する箇所として、社内ネットワークに対するペネトレーションテストを行っている時ではないでしょうか。
対象のサーバが複数あり、そのうち一台の管理が不十分で、既知の脆弱性等によりユーザ又は管理者のパスワードが判明できる場合があります。
その際に判明したパスワードを他のサーバに対して試した場合に、そのままログインできる場合が多々観測されています。
内部のサーバであってもパスワードはそれぞれ別の値にするべきです。
また、テスト時にデフォルトのままである事もありますね。
デフォルトのパスワードは公開されているマニュアルに記載されている場合も多いので、すぐに変更するべきです。
4.6、4.7については小規模の組織だと管理は難しいかもしれません。
4.7については営業、経理の作業のみを行うマシンだと、PowerShell等は使えないようにしておくのは良い方法かなと思いました。
最近の標的型攻撃等は、クライアントのPowerShellを使用した乗っ取り等が多くなってきています。
業務で使用しない場合、ユーザ権限では使用できないようにするのはいい方法であるかと考えています。
不明点や要望、こういったこともやって欲しいとの希望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント