conf t

インフラエンジニアのメモ

【読了】実践CSIRT 現場で使えるセキュリティ事故対応【レビュー】 ☆4

読了しました。
実践CSIRT 現場で使えるセキュリティ事故対応

https://www.amazon.co.jp/gp/product/482223777X/ref=as_li_qf_sp_asin_il_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=482223777X&linkCode=as2&tag=mona4911-22www.amazon.co.jp

CSIRTとは何かから始まり、マルウェア対策、WEBサイト防衛策、
内部不正対策、平時の脆弱性対策といった内容でした。
脆弱性対策のみは事前の対策ですが、他は主に事が起こった後にどのように調査・対処するかといった内容でした。
従来の入り口対策だけでは最近の攻撃を防ぎきることは困難であるため、
この本では侵入された後にどう対処するかに焦点が当てられているということです。

攻撃者はどのようにマルウェアに感染させようとしてくるのか、WEBサイトをどのように攻撃してくるのか、またそれら攻撃を受けた際にどう対処したら良いかを具体的に知りたい方にお勧めです。
また、そのようなマルウェアや攻撃を調査する具体的なツールを紹介されており、直接業務でも使えそうです。

私的に目新しかったのはマルウェア感染時や内部不正後の端末調査について書いてある点です。
痕跡発見のための調査個所がわかって勉強になりました。

ただ、紹介さえている内容をすべて自前でできる組織ばかりではないと思いますので、まずは組織内でできること・できないことをはっきりさせ、
できることについては事が起きたら具体的にどう対処するのか、出来ないことについては一時対処方法と専門業者手配の段取り
について整備しておく必要があるなと思いました。

私が自前での対処が難しいと感じたのは先ほど目新しかった点で上げた端末調査です。セキュリティ対応は運用エンジニアが兼務する事も多いと思いますので それを前提に書きますと、マルウェア感染や内部不正後のユーザの端末調査についてはサーバ運用業務とは違ったスキルが必要で一歩間違えると証跡が消えてしまうリスクもあるため、対処は難しいと感じました。

このような場合は、端末の調査に関してはインシデント発生時には端末隔離など一時対処のみとし、速やかに専門業者に依頼できるようにしておくというのが現実的な対策ではないでしょうか。

このように、自前でできる・できないを判断するためにも、具体的な調査・対処方法を知っておくことが有用だと思いました。