忙しい人のためのインテリジェンス - 2021/01/11
今週のおすすめ/一言所管
MicrosoftによるAzure AD -> AWSに入るためのアーキテクチャ
AWS SSOって書いてるけど、AWSサービスの「AWS SSO」ではないので注意
個人的には、AWSサービスのAWS SSO使うより、こっちのAWS IAM Identity Providerで連携するほうがいいと思(ry
TeamやMicrosoft 365のゲストのアクセスレビューが可能に。
定期的な自動レビューと通知ができる
タイトルどおり。Microsoft Defender for Identity(旧Azure ATP)
悪意あるサービスの注入やら、LDAPに対する偵察行為等を検知できるようになる(Defender for Identityの機能)
Microsoft Defender for EndpointがWindows Virtual Desktopをサポート。これはLinuxのGAと関係ある?
Microsoft365 Officeで、フィッシングメール攻撃のシミュレーションができる機能がGAに
過去のフィッシングメールのテンプレートが用意されてたり、シミュレーション対象を選べたり
結果をグラフ化したり、(ベンダーとくんで)トレーニングを提供したりすることができそう
Microsoft Defender for Endpointでのタグの使い方
個人的に目からウロコだったのは、使ってないデバイスをオフボーディングさせないDefenderの仕様がわかったこと
シグナルのトラックができなくなることがあるから
そういうデバイスには decommissioned タグをつけて、machine groupを作ればおk
他にも、IntuneやGPOベース, Plistでのタグ設定方法が書いてあって参考になった
MicrosoftがリリースしたAnalytics Rulesを使い検知できそう
Azure Active Directory PowerShell accessing non-AAD resources
Interactive STS refresh token modifications
Modified domain federation trust settings
Compliance
文書を分類するためのカスタム分類器を 自分で 訓練・構築できる。すごい。
ローン契約、請求書、プロジェクト、ソースコードなのか、レジュメなのか、、、というのが判別され、それに応じた保持期間やらが設定可能になる
肝は以下の2機能
一致した文書を評価し、分類器を再訓練して精度を向上させるフィードバックを提供可能に
精度向上の度合いに関する分析を表示して、分類器を再発行するタイミングを決めることが可能に
日本語は2021年後半に
Macieでの機微情報Discovery jobを起点に、Lambda -> Slackで通知し(自動/手動で)緩和対応を実行させる
緩和対応の承認をする場合、SlackのInteractive Requestに設置されたAPI Gatewayに緩和実行リクエストが飛ぶ
緩和時は、Macieが発見した機微情報Objectを別のS3に移動する(not copy)
共通項: AWS上でホストされた攻撃者のリソースを信頼しちゃったり、アカウント間・内のTrust Relationshipsを悪用するなど、abusing trustが最初のテク
Initial Access: AMIやCFテンプレなどコミュニティで提供されるリソースを悪用。
対策: IaCのスキャン(terrascanとか?)を使う
Recon: リソースID名を収集把握。
対策: リソース名のランダム化や最小権限の原則
Lateral Movement: IAMの信頼関係悪用
対策: リソース名のランダム化や最小権限の原則(アカウント間)、侵入されたらお終い的な「Soft Spot」はないか
Exfiltration: 情報窃取 to 別アカ
対策: VPC DNS FLow logs
AWS Serverlessリソースを、一般的なテスト手法でどうやるかについて書かれていてとても参考になった
Lambdaを全く意識しないテスト、Lambdaが接する統合テスト、Lambdaを呼び出すテスト
ユニットテスト -> Test DOuble(Mock -> Fake)
Test Doubleとかしらなかっtら
どのようにAWS環境で上記テストを実行するか、という環境整備についても触れられててよかった
LambdaのTrust確保のための技術。
AWS Signerしらなかった。これは深堀りたい。
署名者と検証者が同じAWS垢にいるパターンと、Lambda Layerをつかった署名者と検証者が異なる垢にいるパターンが紹介されている
BISによるData Reportingからデータ共有へのトランジションに必要な動きと現状をまとめた論文
日本もシンガポールもOnce onlyを目指してるのでがんばってほしい。
NIST SP800-128「Guide for Security-Focused Configuration Management of Information Systems」のすすめ
構成管理による、システムの構成を安全な状態に管理・制御するためのガイド
Planningフェーズにフォーカス。実装は物によってかなり異なるため
フローチャートとか参考文献などの付録も参考になる
マグナカルタな欧州と、小さい政府の趣が強い米の違い?
twitterがSNSと捉えられるか、プラットフォームとして捉えられるかによって違いそう
サプライチェーンの攻撃が増えている
グーグルはソフトウェアとハードウェアを安全にデプロイするために、開発プロセス自体における脅威も考慮している。
例 (in GCP)
Trusted Cloud Computing
BInary Authorization
Change Verification
↑に似たようなところでは、transparency.dev がある。
タイタンパ製を確保し、サードパーティが検証と発見を可能にする
LayerXによるブロックチェーンプライバシー比較レポート
Private Ledger参加者およびトランザクションで次を評価
匿名性・秘匿性の保護レベル
セキュリティ: Validity, Consistency, Progress, Data Availability/Accountability
ノード参加/インオペの柔軟性
Solarwindsに対する最初のアクセスが2019/09, 悪性あるコードの注入が2020/02, 気づいたのが2020/12
https://gyazo.com/684e4f1790f2110940da3302baa12d22
GoogleのTitanキーをサイドチャネル攻撃で攻略する話
private keyじゃなくてnonceをgetする方法。でも、counterを推測できないと意味ないよ、ってやつ
一瞬盗んで -> 特殊なやり方でnonce をgetして -> 本人に気付かれないように戻す
っていうオペをやらないとだめ
基本的にMalware on MacはAdwareが多い。2020の終わりにはだんだんと進化したものが出回っていた。
その感染経路、永続化の仕方、最終目標について解説。
Dacls, EviQuest, WatchCat, SCSSET, FinSpy, IPStorem, GravityRAT
機能(最終目標)はそれぞれ異なる
感染経路はトロージャン、海賊版製品などだが面白かったのはGitHub上でXCodeのプラグインとして提供されてるものもある
NSAによる非推奨なTLSバージョンとサイファースイーツ一覧。便利
TLS1.1ですすめてくる業界アプリまじ滅んでほしい
OSS系プラットフォーム: MISP, CRITs, CIF, GOSINT, MANTIS Cyber Threat Intelligence Management Framework, Yeti
プラットフォームはデータ分析より収集に重きを置いている
利用者側とプラットフォーム双方向の信頼関係(正しいデータか、悪意をもった利用者でないか)チェックに課題あり
Threat Intelligence Sharing Platformの共通した定義はない
GDPRの解釈でCSIRTが脅威情報を共有できることは可能、というのも面白かった
最近、人気になってきてるUbiquitiで情報漏えいの疑いがあった。
情報漏えいがあったとは言い切れないものの、パスワードの変更とMFAの設定が推奨されている
softbank -> 楽天モバイル転職者が、5Gに関する情報を持ち出したとの訴え
ネットワークの構築に関わる業務に従事していました。不正に持ち出された当社営業秘密は、4Gおよび5Gネットワーク用の基地局設備や、基地局同士や基地局と交換機を結ぶ固定通信網に関する技術情報
不正競争防止法違反の容疑
softbankは楽天モバイルを営業秘密の利用停止と廃棄等を目的とした民事訴訟を提起する予定
新たに16,406人の個人情報流出を確認。
流出した可能性のある顧客・取引先等社外の関係者の個人情報は、最大約39万人。前回より3万人増
OAuth2.0のCSRF攻撃デモ
Classic
CISAによる最近のクラウドサービスに対するサイバー攻撃について、TTP・IOC・緩和策をまとめたレポート
TTP
フィッシングメールで認証情報の窃取 -> 外国(Torの可能性あり)からのログオン -> 他メンバーのアカウント窃取
メール転送(新規作成 or 既存のものの改変)
pass-the-cookieによるMFA回避
緩和策
条件付きアクセス、sign-inログや監査ログのレビュー, MFAの適用, メール転送ルールのレビューなどなど
メイン事業を大学生向け教育ローンにしているSoFiのお話
SoFiがかすんじゃなくて、同じ大学に在籍する大学生同士を借り手・貸し手マッチングするプラットフォーム
借り手は6%の金利を支払い、SoFiは利ざや部分のスプレッド収益を得る
適格性要件が厳しくなりそう
金融の6つの機能とは(1)決済機能(2)資金プール・小口化機能(3)異時点・セクター間の資源移動(4)リスクの再配分(5)情報提供・価格発見(6)インセンティブの設計機能
Fintechがこれら機能をどのように変化させたかを分析する連載記事。must watch
ところで、金融庁の機能分類が現行法をスタートにしてるのは、個人的にすこ
https://gyazo.com/377bfb8c3de669670659967b6d25bc86
Paypal立ち上げが1998。へー
第一世代はインターネット世代、第二世代はリーマンショック以降
第1世代はどうやって決済をインターネットやモバイルで安全に行えるようにするか
第2世代はアプリに組み込むSDKの登場による、ビジネスへの決済機能の負荷が可能に。アンバンドリングというより、非金融事業への金融機能の適用、というべきか
2020は(国内で)決済系Fintechの再編がおきた
インシデントの多発
インシデントの情報共有 among キャッシュレス事業者
origami ga merpayにかわれるなど
FinTechは他の人たちが使ったり、他の人たちと一緒にやったりすることで価値を発揮するサービス
いかに外部サービスとの連携を深めていくかが重要
行政/会社/団体
資格の登録、登録情報変更、資格保有者の戸籍上の変化、就業支援のためにマイナンバーの利活用をする検討会
対象は、意思、保健師、助産師、栄養士、保育士などの社会保障に関わる専門家
マイナポータルとマイナンバーカードをつかったオンライン手続きも合わせて検討されている
次はおっていきたい
経済産業省: 改正割賦販売法, デジタルプラットフォーム取引透明
総務省: 個人情報保護法
LayerXの初自社プロダクト「LayerX Invoice」のリリース。請求書の作成じゃなくて、処理にフォーカス
受理した請求書の取り込み・データ化・仕分けを自動化するサービス
既存の会計サービスとかぶるというより、むしろ請求書 <-> 会計システムの間をうめるニーズに応える
freeeとかmfとか
イベント/勉強会/発表資料
イギリス政府のgov.ukを次世代化するアーキ、認証認可、ホスティングサービス選定に関するブログ。政開発の優先度の理由付けとかも書いてあって面白い
railsとdeviseなんだ...
その他