株株株株株株株株株株株株株株株株株株 株株株株株株株株株株株株 株株株株株株株株株株株株株株株株株
株式会社エーピーコミュニケーションズ
セキュリティプロジェクトーセキュリティ分析チームのご紹介ー
目次
• セキュリティ分析チームとは• 分析官の必要性• リアルタイム以外の業務• このチームで働くメリット• 得られるスキル• 現場環境• 業務時間• 求めるスキル
2
セキュリティ分析チームとは
• セキュリティデバイスのログを分析するチーム– 各種セキュリティログを分析するのが主な業務!
SIEM
3
ログの異常を検知
シグネチャによる検知
Critical
HighMedium
Info
IPS/IDSの全アラート
分析官の必要性
• IPS/IDSでは誤検知、過検知が多い!– アナリストが本当に危険な検知を見つけ出す必要あり!C
riticalHigh
Medium
Info4
・・・本当に危険な検知
アナリスト
IPS/IDSの全アラート
リアルタイム以外の業務
• 日々の分析以外にも以下のような業務がある!
– 月次分析レポート作成– マスターポリシー検討– カスタムシグネチャ作成– リサーチ報告会– カイゼンカツドウ!– その他勉強会 (CTF勉強会など )
5
月次分析レポート作成
• リアルタイム分析をしていない お客様向けのレポート作成・月次でログの統計や検知傾向に対するコメント などをしたレポートを作成・送付する。・対象デバイス
– Proventia– McAfee– PaloAlto– Forti など…
6
ベンダーシグネチャの投入検討と実施
各ベンダが提供するシグネチャのアラートレベルの見直しとその設定をする
7
アナリストInfomationSignature
CriticalSignature
シグネチャ配布
ベンダー
カスタムシグネチャ作成
ベンダが提供していないシグネチャを自作する。
8カスタムシグネチャ
FW
IDS/IPSWeb
FTPベンダシグネチャだけでは見逃してしまうものを検知(ブロック )させ
る!
解析報告
• その月のセキュリティトピックや気になったことの詳細な調査 (マルウェアの解析など )結果を報告する。–例 )• NuclearEKコードリーディング• フィッシングサイト分析• アセンブラ基礎の基礎• マルウェア解析の環境構築• vvvウイルスの挙動再現など
9
カイゼンカツドウ!
• 運用をより良くする活動–ブックマークレットによる業務効率化– ChromeExtensionによる業務効率化–業務フロー整理–お客様 NW構成の可視化–現場インフラの可視化• などなど。
10
カイ・ゼン!(Make it better!)カイ・ゼン!(Make it better!)
【業務外】 CTF勉強会• Capture The Flagと呼ばれる種類のセキュリティ技術を競う大会の勉強会をやってます。– DEFCON(世界最高峰の大会)で自力で 1問解くことが目標!
11
CTF?・ Capture The Flag(旗取り合戦の略・セキュリティ技術を競うコンテストの総称
このチームで働くメリット①
• IPS/IDS、 FW、WAFなどのセキュリティログ分析能力 UP!–McAfee(IPS/IDS)– PaloAlto(FW)– FireEye(Sandbox)– Imperva(WAF)– BlueCoat(Proxy)– etc
12
このチームで働くメリット②• セキュリティ最先端の現場で仕事ができる生でリアルな攻撃が見られる!! だからこそ最新のセキュリティ事情に 精通できる -SellShock -GHOST -Heartbleed -Logjam Attack -Phoenix Exploit Kit
13
このチームで働くメリット③
名実ともに業界でトップレベルのセキュリティエンジニアたちと仕事ができる!
14
・
つね
こんな人と働くことができます・常にモチベーションが高く顧志向!!・もちろん実力もトップレル・セキュリティ分析チームの立ち上げの発起人
得られるスキル
– 幅広いセキュリティデバイスのログ分析能力• IPS/IDS, FW, WAF, Sandbox, Proxy…
– ツール作成などのプログラミング能力• JavaScript, Python, PowerShell, C#などなど。
– マルウェア解析能力• エクスプロイトキット(脆弱性をつくツール群)の 解析スキルも!
– 英語力(特にメール作成能力!)• 海外メンバーとの連絡で必要! ・・・などなど
自分次第で得られるスキルは無限大!
15
現場環境
• ハイスペック PCと 6面ディスプレイ!• 昇降式のデスク+ヘッドレスト付の椅子!• 検証機が一人 1台!
16
業務時間
• 業務時間–日勤: 9:00-17:30(17:00~引き継ぎ )・ 7.5h(休憩 :1h)
–夜勤 :17:00-翌 10:00(9:00~引き継ぎ )• 15h(休憩 :2h)
求めるスキル
【必須】– セキュリティに対する興味と行動力– IPS/IDSのログ分析能力– 想像力・推察能力
【あれば尚可】– 情報収集能力(最新のセキュリティ情報を追いかける力)– よくある攻撃方法とその対策についての知識– セキュリティデバイスの動作についての知識– OS, ネットワーク、アプリケーションについての知識– セキュリティプロダクトに関する知識・デバイス管理経験– 開発スキル(カイゼンカツドウのために必要)– 英語スキル(特に海外メンバーとの連携で必要!!)
18
チャンスは無限大
大切なこと: セキュリティに対する興味と行動力–自分で検証環境を構築して検証–マルウェア解析をしてみる– Snortなどでカスタムシグネチャ作成してみる–自作の脆弱なプログラムを攻撃してみる–セキュリティ関連の情報を収集発信してみる– CTFの問題を解いてみる。 などなど!–できることはいくらでもある!!
19