忙しい人のためのセキュリティ・インテリジェンス No.26 - 2021/03/22

今週のおすすめ/一言所管

今更だけど、SolarWindsにおけるCISAのレポートを読んだ。正確に言うと、Solarwindsの脆弱性を使わないケースもあり、その場合オンプレADFSとAzureAD環境をラテラルする形になる。ハイブリッド環境における意味では少なくとも自分はCISAがこのようなレポートを出してることは知らないため、貴重な資料。各攻撃のステージおよび、各ツールで何を検知すべきか、ということを明らかにしている。特にstg2以降はAzure ADの話なのでMust Read

Widnows10/Intune/Endpoint

BitLockerのデバッグの仕方。とても参考になる

今後Threat and Vul mgtの機能はsecuritymicrosoft.comでしか見れなくなる

エンドポイントの脆弱性管理がより効果的に。とても見やすい

上記に限らず、どんどんsecurity.microsoft.com によっていく。そして体験が損なわれないのはすごい

Intune経由でデバイスの診断情報を集める。便利...

ファイル、レジストリ、イベントビューワーなどが集められる。便利...

ユーザーデータフォルダからは収集できない

Compliance

他

TeamsがBug Bountyの対象に

シナリオベースなら$6k~$30k, それ以外なら$0.5k~$15k

stepfunction, s3, dynamo, s3, kendraでクローラーと検索エンジンを作る話

SNS, SQS, EventBridgeを組み合わせてレジリエントなサーバーレスパターンを作る

SNS -> SQSにしてスループットをあげたり、メッセージ配送失敗におけるメッセージ保存の冗長性をもたせたり

Eventbridge -> SNSにして、機能保管をしたり（よくわかってない）

Eventbridge -> SQSにして、マイクロサービスのダウンストリームにおける冗長性つくったり

ABACができるようになったみたい

いままでプライマリに向いてたRDS Proxyに、向け先をレプリカにしたリードオンリエンドポイントを作れるように

コンテナにSSHするのはいけてない,,,,でも中に入りたい,,,というニーズを叶えたIAMベースでの制御をするECS Exec登場

初日からFargateサポートするのが嬉しい

AWS Configに、Secrets MangerがCMKを使ってるか、ローテーションを設定してるか、そもそも一定期間以上使われてないかをチェックするルールが追加された

S3オブジェクトのGetリクエストに対してLambdaが発動する機能。

生データ整形して、別バケットにおくとかしなくてよくなるじゃないですか、やだ〜

可能性しか感じない

IAM Access Analayzerで、IAMポリシーの事前検証ができるように。助かる

GuardDuty -> SecurityHub -> EventBridge -> Lambd Step Functions -> DynamoDBにIP登録 -> Network Firewallへ

AWS外部のマシン -> AWSマシンをどう認証するかパターンわけ

ClouTrail上でDynamo DBテーブル操作が記録されるように

もーちょっと、CloudTrailへの記録が早いといいんだけどな...

Google

デジタルガバナンスの話なのに、DXの話してる...? 謎...

Society5.0推進タイミングでDXがはやりだして、悪魔合体してよくわからないものになっちゃった感じ...

SSIにおけるガバナンスとトラストフレームワークの定義。あわせてトラストインフラストラクチャと呼ぶ

提示された情報をどのように・どの様な根拠をもって信頼するか、という問に、ステークホルダーと法的関連性を持ったルールを定義する。

基本的に、トラストフレームワーク上の上に作られたガバナンスフレームワークが作るルール

ガバナンスの定義: establishment of policies, and continuous monitoring of their proper implementation, by the members of the governing body

これは辞書にある

トラストフレームワークの定義: デジタルなやり取りにおける法的枠組みのこと。特定の技術に依存しない

例えば電子的な識別および認証におけるLoA

あんだけセキュリティ、コンプライアンス、リーガルを採用してたのに、それを活かしきれてない理由を深ぼった方がいいんじゃないかな、とも思う

健康保険証としての先行運用でトラブル連発 -> 本格運用先送り

登録データの中が一定でなかったり...

専用パソコンの導入もおくれてる

緊急時に根本から設計を変えるのは、かなり良くないと思う。ゼロトラストとか

SLE, ALE, ARO, EF? って簡単に言うけど、どんな数字にすりゃええねん、というのは全俺の意見

そレに対して一定の回答をした資料。尊い。Sans最高

特にEFやAROのデータを（決して多くはないが）事例とともに提示してくれた

SolarWindsの脆弱性をついた攻撃社がSolarWindsだけじゃなくて他の攻撃もしてる

その攻撃プロセスおよび検知ツールの紹介。まじ尊い

パスワード推測・パスワードスプレー、不適切に保護された管理者のクレデンシャルを使って初期アクセス取得

そこから権限昇格し、WMIでADFSの証明書を取得、でOAuthトークンを偽造して、SPに投げた。そしてラテラル

面白い

Stage2以降のDetection Mehtodsは熟読したほうがよさそう

ENISAによる通信事業者むけセキュリティインシデントの報告の仕方にかんするガイドラインを公開

何かしらの脅威が注目されることで「●●対策」と考えがちですが、個別具体的に対策を考えるのではなく、攻撃のテクニックに着目し、何をしてくるのか？ということを知れば、1つの対策が複数の脅威、今後発生するかもしれない脅威への対策になりえるということは大事なポイント

Trickbotなどのバンキングbotは気づかれないように、Discovery/Credential Accessが充実している、など面白かった

実計画「神戸2025ビジョン」をもとにした市債を全額SDGs債で。自治体では初の試み

暗号資産交換業者だけでなくステーブルコインも対象になる模様

自分は上記２つに関わる予定はしばらくないので中身は読んでないが、FATFが上記を対象にすることは初めてなのでエポックメイキングかもしれない

行政/会社/団体

GO SDK w/ Management APIとか暑いな、Impelmenting IAMとかDecision replaw w/ JWtsとか

Developmentサイクル（サプライチェーン）全体で署名・検証をできるようにするツール

署名・検証単体のツールならいくつもあったけど、異なるフェーズ間で使うにはとても大変だった

その課題にアプローチするツール

transparency logとか気になる

GitHub Container Registryがリポジトリ単位でのアクセスが可能に。

GItHub Action内でならPATを使わなくておｋ。便利。

IPアドレスがただのインターネッツに漂うスキャンか、それともターゲットを絞ったものか見分けるツール

Save Time for Analysisって言葉どおり

覚えておく

Query your cloud assets & configuration with SQL. Solve compliance, security and cost challenges with standard SQL queries and relational tables.

イベント/勉強会/発表資料

目指す情シスってこういうことですよね...

ゆっくり読みたい。すごいボリューム。プロダクトマネジメントの教科書

最初に、著者がオーナーとして担当したプロダクトの規模・人数などのコンテクストが示されていて、自分好み

システムの本番環境と開発環境の両方にアクセスできる権限を持っていた元社員は、本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送。開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など取引に必要な情報を不正に入手した

すげ〜

色々言われてる通り、パスワードが平文のままDBに入ってたのかな

その他

Zero Trust提唱者のJohn KindervagがゼロトラストのセキュリティオートメーションおよびオーケストレーションをするON2ITにジョイン