ニイハオに出席したら帰りが寒いので自転車を家においてくる。
今日の格言 フォレンジックはルールです。by やまにょん氏 ばしっ!と言い放つやまにょん氏かっこいい〜!
内容
・NetworkForensicを考える 発表資料 ・ネットワークフォレンジックを考える -コンピュータフォレンジックと合わせて、、、 -5W1Hを明らかにする ・フォレンジックとは インシデントに対して事後検証を行う。 ・ネットワーク上の機器のログ、アプリのログからアノマリーを発見 ⇒関連性の発見 ※アノマリ 長期間の傾向を統計解析的に分析 SIMツールの利用 時間を軸にイベントやログの関連付けて検証する この辺の価値の高いサービスを付加すると魅力的? ・フォレンジックサーバといわれる製品群
- できる限りすべてのパケットを記録 ネットワークアナライザの延長 ・高速ストレージ付パケットキャプチャ
- パケットからセッションの再構築や分析が可能
- 擬似トラフィックとして出力可能
・関連性の発見
ネットワークだけでなくコンピュータフォレンジックも同時に行えるような分析ができるともっといいかも、、
システムのログとネットワークのキャプチャしたパケット(一箇所だけでなく色々なセグメントを横断して取得)を分析して情報漏洩を検知するとか、、、カメラサーバーとかついているともっといいかもね。ログインしたときに画像保存する仕組みとか使って証拠を残したりできないかな。
自分メモ
不正アクセス以外のフォレンジックはどうすれば検知できるんだろう?
- 社内不正利用とか
- 情報漏洩とか
とりあえず、ある程度のセキュリティをかけておくのは必須だとして、、さらに悪いことをしているやつを見つけないといけないよね〜。(よく考えると情報漏洩は警告だせなきゃまずいような)
技術的にどのような手段を行えばどこまで制御することができて、そこでもカバーできないソーシャルの面での可能性を検討し、漏洩を防がないといけない。
まぁ、内部だだ漏れなとこではそれ以前ってことだね(T-T
メモ
Webサーバのログはページ改竄と一緒に変更されてしまう。
IDSをPortミラーリングで運用すると警告をいっぱい出力するから
リピータをかますかTAPを使うのがいいよ。
個人情報とパケットキャプチャについて
・ログと法律 1.ログと著作権 パケットキャプチャで収集したデータに著作物が含まれていた場合 >業務上の複製に該当するのでアウト (第42条が適用できるかもしれない) 対策 不正目的の用途でないと証明できる証拠をログとして残す必要がある。 問題 著作物を削除した場合>原本の改変にあたり証拠能力が下がる 2.ログと個人情報 ログは個人情報にあたるか? 書籍によると ・メールアドレスは個人情報 ・生ログは個人情報 ・収集した時点で個人情報 危惧する点(実施不可能??) ・個人に対して情報収集の通知を行えるか? ⇒オプトアウト、明示的拒否に対応できるか? ・意識せずに個人情報取扱者となってしまう危険訴えられたときに対抗する手段としてって、防護策をとっておくので運用するしかないのかな。
- 目的を明確にし、目的外利用を行わない
- キャプチャーデータに対するアクセスは記録する
- これも多人数で相互監査する