今回の記事では、「IDS/IPS の運用」をテーマに 「脆弱性対策として IPSで攻撃を抑止する作業手順」(仮想パッチの設定方法)を動画を使ってご紹介します。仮想パッチの運用にあたってのイメージを持っていただければと思います!例として、Microsoft Exchangeサーバの脆弱性 CVE-2021-26855 (ProxyLogon) をとり扱ってみたいと思います。
脆弱性対策としてのパッチ適用、なかなか楽な作業とは言い難いですよね。たとえば、ある日情報収集する中で脆弱性が組織内のソフトウェアに存在しているとわかって対策が必要となった場合、修正プログラム(パッチ)を適用してあげて、脆弱性のない環境を保つといったことに、日々対応されいらっしゃるかなと思います。こうした運用の日々に、VMware NSX 分散IDS/IPS はいかがでしょうか。VMware NSX 分散IDS/IPS の運用といえば、シグネチャの更新はワンステップだったり自動化できてしまうほどシンプルで、仮想パッチも「意図したシグネチャだけ」を「特定の仮想マシンにだけ」に適用できて、操作もとってもシンプルです。
本題に入る前に、過去の記事でVMware 分散IDS/IPS のメリットや関連内容を多く解説していますので、こちらも是非ご覧になってみて下さい。
過去の関連記事はこちら
はじめに
修正プログラムを使う時に、できるだけ事前にテストをしたり、運用に支障がないことを確認した上で改修に着手したいものですが、、実際のところ修正プログラムを適用するまでにはいくつかのハードルがあったりします。
例えば、対象台数が多かったり対象機器を特定するところまでにそもそも時間がかかってしまい、さらに手作業での修正プログラム適用に手間がかかったりと、完了するまでのリードタイムがどうしても長期化してしまいがちです。
また、OSが最新の状態でないと利用したい修正プログラムが適用できない、といった修正プログラム適用の制限もあったりします。
最近では、Microsoft Exchangeサーバの脆弱性 CVE-2021-26855 (ProxyLogon) のように、最新のCUを適用した環境でないとこの修正プログラムが適用できない状況がありました。
幸いなことに、後日緩和策として古い複数のCUでも適用可能な更新プログラムが公開されたりして、速やかに修正プログラムを適用することができました。
ですが、今後でてくる脆弱性について、このような緩和措置が受けられるようなお約束があるわけでもありません。
そこで、組織内のシステムで将来見つかる脆弱性が脅威となってしまう前に、速やかに対策が取れる組織体制や仕組みを早めに準備しておく必要がありそうです。
また、近年は脆弱性を悪用したサイバー攻撃は増加傾向にありまして、こうした体制や仕組みの準備はすぐにでも効果が出てくるものと思われます。
例えば 、2018年での「初期攻撃のベクター」は「フィッシング」や「クレデンシャルの不正利用」が大部分で、「脆弱性に対するスキャニング行為とそれを悪用したエクスプロイト攻撃」は 8% 程度と言われています。
これが2019年の翌年には、「脆弱性に対するスキャニング行為とそれを悪用したエクスプロイト攻撃」が「初期攻撃のベクター」全体の約30%まで増加しています。
この年は、「フィッシング」や「クレデンシャルの不正利用」もそれぞれ 約30%ずつということで、脆弱性を悪用した攻撃活動が盛んになってきていることがわかってきています 。
さらに、2020年にはVPN装置の脆弱性なども話題となり、日を追うごとに脆弱性への備えがますます重要になってきています。
こうした脆弱性への対応策の1つとして、「IPS(不正侵入防止システム)」を用いる手段があります。
IPAの「情報セキュリティ早期警戒パートナーシップガイドライン」の「セキュリティ担当者のための脆弱性対応ガイド 第3版」にも以下のように解説されています。
未公表の脆弱性を悪用する「ゼロデイ攻撃」については、パッチが提供されるまでの間は一時的な対策として IPS(侵入防御システム)で攻撃を抑止し、提供され次第パッチを適用するという対処が可能です。
このように、修正プログラムを適用するまでの、情報取集や検証、適用作業といった複数の工数のリードタイムの中で、一時的にでも「攻撃リスクから保護する」ためにIPSの技術が活用されています。
VMware NSX分散IPSも、同様の効果を提供するIPSソリューションです。
IPSで脆弱性を悪用した 攻撃を抑止することで、あたかも組織内のソフトウェアにパッチが当たったかのように脆弱性への悪用を遮断できることから、IPSによるこのような抑止方法は「仮想パッチ」と呼ばれることがあります。
では、前置きが長くなってしまいましたが、今回の記事ではMicrosoft Exchangeサーバの脆弱性 CVE-2021-26855 (ProxyLogon) を例に、脆弱性対策として IPSで攻撃を抑止する作業手順(仮想パッチの設定方法)を解説します。
IPSの運用とは
まずは、こうした仮想パッチを適用すると言ったIPSの運用から考えてみます。
IPSの運用では、主に以下のような作業があります。
-
ホストの増強があれば、検知エンジンのインストール
-
シグネチャのアップデート
-
システムが増えれば、マッチルールの追加
-
仮想パッチなど緊急度の高いシグネチャを適用
今回は、仮想パッチの適用ということで、「シグネチャのアップデート」と「仮想パッチなど緊急度の高いシグネチャを適用」の2つの手順を解説します。
シグネチャのアップデート
VMware NSX分散IDS/IPSのシグネチャは、デフォルトでは一日おき(ver3.2では 20分おき)に自動で NSX Manager (オンプレにデプロイされたもの) から Internet上にある NSX Threat Intelligence Cloud に対して更新チェックが行われます。強制的に更新チェックを実行する場合は以下のAPIをご利用ください。
POST call: policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=update_signatures
他にもNSX Manager の操作画面から更新チェックを手動で行ったり、オンフラン環境の NSX Managerの場合は Managerが直接更新チェックができませんので他の方法で更新をチェックしたり、更新版のシグネチャセットを オフライン環境のManager に取り込ませることもできます。
NSX Threat Intelligence Cloud では、シグネチャ更新版を隔週で発行するようにスケジューリングされてる定期更新方法のものと、「0-day updates」 というスケジューリングされていない不定期の更新方法とで、2つのシグネチャ更新方法を持って VMwareの中で運用されています。
NSX Threat Intelligence Cloud のいずれかの更新方法で更新されたシグネチャを NSX Managerが入手することで、シグネチャセットの表示に更新版のシグネチャセットが表示されてきます。
これらのシグネチャセットは、
- 新しいシグネチャ
- 更新されたシグネチャ
- 無効になっているシグネチャ
の3つ分類でシグネチャの内容を確認することができます。
「最新バージョン」と表示されているシグネチャセットが、現在利用中のシグネチャセットです。
使用するシグネチャをアップデートしたい場合は、このシグネチャセットの表示の中で、最も時間の新しいシグネチャセットを選択して「保存」をすることでアップデートが行われます。とっても簡単ですね。「新しいバージョンに自動更新 (推奨)」にチェックを入れておくことで、この更新を自動化しておくこともできます。もちろん、この画面操作の中で、アップデートをロールバック(切り戻し)にも対応しています。
仮想パッチなど緊急度の高いシグネチャを適用
では次は、更新して入手した新しいシグネチャを使っていきます。今回の記事ではMicrosoft Exchangeサーバの脆弱性 CVE-2021-26855 (ProxyLogon) を例に、脆弱性対策として IPSで攻撃を抑止してみます。
実は、この手順は前回のブログのステップ2−3と同じモノになります。冗長になりますが、改めて解説します。
検知に使いたいシグネチャを選ぶには、プロファイルを使います。
プロファイルでの操作/設定では、「利用したいシグネチャを選ぶ」、「動作モード(IDSまたはIPS)を選ぶ」、この2つの操作がメインです。
今回の例のように、Exchangeサーバを脆弱性から保護するために関連するシグネチャを選びます。
シグネチャを選択するには、キーワード検索として、CVSSや攻撃タイプなどでも利用できます。
次に、この6つのシグネチャそれぞれの「動作モード」を決めていきます。
「次のプロファイルのシグネチャを管理 >>」から、「プロファイルのシグネチャを管理」の画面に移動して、表示されたexchangeに関連する6つのシグネチャの「動作モード」や、「動作の有効化無効化」の設定を行います。
今回は、表示されたexchangeに関連する6つのシグネチャのうち、「2021年の脆弱性に対するシグネチャ」はDropアクションを、「2020年の脆弱性に対するシグネチャ」は前半2つは無効、後半2つはIDSとして検知だけさせておき「攻撃に使われようとしなかったか」を確認するために設定してみます。
最後は、マッチルールの作成です。ここでは、ファイアウォールのルールのように、「スキャンしたいフローのマッチ条件」と、「スキャンに使うIDS/IPSプロファイル」、そして「スキャンの動作モード」を決めます。
今回は、2021年のExchangeサーバの脆弱性(ProxyLogon)の保護の用途として、Exchangeサーバ宛先のフローに、ステップ2で作成したプロファイルを指定し、動作モードを IPS (検知して防御)にしています。「適用先」を Exchange server の仮想マシングループにしています。
このように「適用先」をうまく使うと、Windowsの通信にだけWindows関連の脆弱性に対応したシグネチャを利用したり、さらに Exchangeだけに特定のシグネチャを使うと言ったピンポイントの利用もできますし、関係しない仮想マシンにはシグネチャは使われません。関係しない通信にはシグネチャが誤って使われて誤検知してしまったり通信を誤って遮断してしまったりをうまく回避できる便利機能なので、是非使ってみてください。
分散IDS/IPS の運用 ということで、シグネチャ更新と仮想パッチを適用する手順はいかがだったでしょうか。シグネチャの更新はワンステップだったり自動化できてしまうほどシンプルです。また、仮想パッチも「意図したシグネチャ」だけを、「特定の仮想マシン」にだけ適用できて、他システムに影響をあたえたり誤検知を起こす心配もなく、操作もとってもシンプルです。
これまでのIPSアプライアンスのように、「使いたいシグネチャを増やすと関係ないシステムに影響があるかも?影響するシステムは全て検証しないといけない、、仮想パッチってややこしい!」と言ったこともなく簡単ですね。何よりネットワークトポロジーを変更することなく、IDS/IPSが導入できるので、vSphere基盤にIPSを追加するのが非常に簡単です。vSphere基盤のセキュリティ強化にぜひ使ってみてください。
ご精読いただき、ありがとうございました。
〜お知らせ〜
-
VMware の新たな仮想ネットワークソリューションを聞いたみたい!という方はこちら
-
VMware SD-WANに関するより詳細な解説と動態デモ、デザイン、運用イメージについて説明を聞いたみたい!という方はこちら
-
VMware でネットワークセキュリティ対策を実現するには?そんな説明を聞いたみたい!という方はこちら
※VMwareでは、各種製品をクラウド上でご評価いただく
Hands-on Labs(HOL) という仕組みを無償でご提供しています。今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。