忙しい人のためのセキュリティ・インテリジェンス No.30 - 2021/04/19
今週のおすすめ/一言所管
日本のトラストサービス(意思証明 ≒電子署名サービス、発行元証明、存在証明 ≒タイムスタンプサービス)が実現する要求を整理するガバナンスフレームワークはEUのeIDAS規制を下敷きにしていきそう。同時にVerifiable Credentialの技術的立ち位置は今後重要になっていきそう
Yet another evidence of rise of「ゼロデイを"埋め込んでいくか"の時代」
IntuneのAudit,Opertional,COmpliance,DevicesをSentinelに送る
SigninログやOffice系Actiityに外部サイトのIPブロックリストを適用する話
externaldata(ip:string)[@"https://インテリジェンスサービスのファイル"]with(format="csv") でデータを取得できるのか
Compliance
Intune/Windows10
Microsoftがみた5つの脅威と対策
フィッシング:
Windows Hello for Business
信頼できないコード
Application Guardによる隔離
Microsoft Defender Application Control powered by AIによる実行可否
クレンでシャルの防御
Credential Guard, Windows hello
データ窃取
Windows10
virtualized based security, secured-core PC, HW Security Processr, Secure Memory Exncyryption
脆弱性対応
Secure by Design
Tools, Process and Automation
Migtigastions
Red Team and Vulnerablity Mangement
他
MCASは実はビルドインフィルタ(クエリ)がある。これを使って、Activityを洗い出すことができる
オンプレADとの連携もできるので、CASB的なクラウドActibityだけじゃなくてAD Activityも洗い出せる。すごい
例えば、パスワード変更強制変更されたユーザー と パスワード変更 フィルタを組み合わせることで、強制変更されたユーザーが一次発行されたパスワードを変更したかが洗い出せる
他にも特権操作がMacからか、とかも組み合わせでサーチできる。
Microsoftが半期に一回のDigital Trust Reportsをリリース
プライバシーレポート、法執行からの要求レポート、国家安全保障系レポート、デジタルセーフティレポート
Audit Mangerちょっと気になってる。まだ使えてないが。マルチアカウントだとどうなるのか
NIST SP800-53は政府の情報システム向けの管理作策な
ラベル: WAFに到達するリクエストにWAFがつける...ラベル?例えばBotのカテゴリがラベルになる
そのラベルをつかってカスタムWAFルールを作って、ラベルがついたリクエストを許可・ブロック・レート制限することができるようになった
よっしゃって思ったら、CloudFormationとスタックか〜〜〜ってなった
Route 53 Resolver DNS Firewallしらなかった。信頼出来るドメインにのみクエリを発行できる
Firewall Managerに統合された
原文で読了ずみだったけど、その日本語訳
IAMにSourceIdentity ができた話
こうするとcloudtrailに sourceIdentity がでてくるし、さらにroleAssumeでチェーンしたときも本当の大本は誰か、ということがわかる
IAM Access Advisorで、Actionレベルの最終アクセス情報がみれるサービスにEC2、IAM, Lambddaが追加
S3は前からある
Google CloudのCISOブログ。シリーズ化するらしい。
ハイライトにsigstore, Trusted Cloud, 特定のベスブラに従ってた場合の保険プログラム、権限昇格などを、自動検知するActive Assist Account Securityなど
犬と恐竜の「ゼロトラスト開設」アメコミ
パスポートによる認証と、ボーディングパスによる認可って説明はわかりやすかったかも。
どっちかっていうと sender constrained access tokenって感じ
cloud computing discussions ultimately distill to trust
cloud providerは利用者から少ないトラストを得ることによって、よりトラストを得ることができる
?だったが、トラストできないことにより自分たちでトラストを得るための努力をする、という意味っぽい
例: 秘密鍵を自分たちでインポートする、とか
ちょっと無理があるけど、解釈としては面白い...?
大上段にはデータ戦略タスクフォースにあって、その中のトラスト制度(ガバナンスフレームワーク)を検討する会っぽい
具体的には、↓が概要
トラストサービス(意思証明 ≒電子署名サービス、発行元証明、存在証明 ≒タイムスタンプサービス)の認定制度
および全トラストサービスに水平適用可能な認定基準と認定済事業者の一覧化(ディレクトリ?)
国内外で利用可能にする
https://gyazo.com/9143baee54b0044cc2621d453b248f37
Verifiable Credentialっぽい
https://gyazo.com/86e9c2f69ab247dd438fd00bd8a7048d
一次法、二次法の区別、さらにその中の法令レベルの強弱が勉強になる
eIDAS規則そのものの情報は少ないが、規則が生まれるまでの背景と規則の読み方がイメージしやすくなる全体像
日本のデータ戦略タスクフォースのトラストサービスは、eIDAS規則を下敷きにしていきそう
FIDO Device Onboard (FDO) の登場。デバイスのオンプレ or クラウドにオンボードするための標準
製造過程でFDOクライアントが組み込まれる。RoTも組み込まれDeviceのIdentifierを提供。
同時に、Ownership Voucherという文書(電子?)がデバイス外で作られ、オンボ時に所有権を主張できるようになる
この場合、オーナーシップは誰になるん?
上記のVoucherはデプロイ先のクラウドやプラットフォームに送られ、クラウドからRendezvous Server(RV)に登録される
デバイスが起動されると、デバイスからRVに問合せて、RVはどのクラウドに登録されるべきかをレスポンスに返す
そのレスポンス内容からデバイスはクラウド・プラットフォームに登録プロセスを走らせる。このときのmutual attestationによってセキュアな暗号化されたトンネルが作られる
Remote Attestationのまとめ。何に使えるか、どうTrustに寄与するか
ゼロトラストと複式簿記をマッピングした話
ブロックチェーンネットワークでは、性能・ツール・セキュリティ・公平性・分権化をテーマにしてる
ブロックチェーンの価値:
decentralizedからのトラストレス・耐故障性
二重仕様の防止: 整合性・改ざん困難性
整合性からのトレサビ
公平性と分権化っていかにも社会学的話っぽくみえるけど、
十分長いブロチェに対して特定の割合で不公平になる確率を定義したり、
公平: マイニング成功率が計算能力(ハッシュレート)に比例
Proof of Stakeのステーキング金額にたいするブロック生成成功率で比較したり。
Microarchitectural Data Sampling (MDS) は、CPUのアドレスと権限チェックをバイパスし、load命令のassistingとfaultを介してバッファの内容をリークする攻撃手法
Condidential Computingがなぜうまれたか
App in OS on Hypervisor under HWすべて似脆弱性があり、デバイスそのものの信頼性が低いから
TEEでのみデータを扱うことで、安全な「飛び地」を作る事ができ解決するモデル
Confidential Computingの特色
Isolation: 飛び地の話
Running memory-encryption: セキュアストレージ外ではデータが暗号化されてるよ、という話
Sealing: セキュアストレージの話 part 2。
Remote Attestation: Integrityの話
Confidential Computingのメリットも含まれていて、シンプル
Confidential Computing上でGolangアプを作るフレームワーク
Intel SGXベース
remote attestation APIなどを構築可能?
サンプルに、hashicorp vaultやazure attestationをつかったものあり
HomebrewのGithuab Action で使っている、差分変更のチェックをするGem git_diff に脆弱性があった
それを使って、レビューワーを必要としない軽微な変更とCIを誤認させて、任意のコードを埋め込んだhomebrew caskを自動登録することができた。
というのを、バグバウティで見つけた話
もともとメルカリがビットフライヤーを買収しようとしていて、HogeHogeがあって、結局メルコイン設立した、という話
仮想通貨業界の未成熟さを浮き彫り という結論
不動産テック(海外ではProp Tech)の種類と、国内の動向について
zillow, opendoor, redfin, costart groupを覚えておこう
日銀の金融研究論文
キャッシュレス決済アプリにおける認証を中心とした、取得されるパーソナルデータの種類・活用方法、同意取得、説明、リスクマネジメントというのがメイン
が、個人的には「決済サービス事業に対するリスクアセスメントの特性」のが気になった
リスク量の測定方法、損失額にかかる分布、VaRの算出など定量的な分析に関する論文が紹介されてて大変よい
行政/会社/団体
Salesforeを利用する際のせていミスに起因するインシデントの防止・軽減に関する取り組み検討もしてる模様
興味深い
WAF運用してたマン的には、複数種類・複数箇所のシグナル突き合わせにマンパワーはもはや無理なので、シグネチャはあくまでもパッチ的な使い方にしないといけないと思う
Enterprise版のみの、REST API for Gitイベント監査ログ
pr/review関連のイベントがauditログに
これはenterpriseだけでなくorgにも
よい
これから初めてリポジトリにpr出す場合、github actionワークフローを走らすにはmaintainerの承認が必要になる
github action worrkflowがマイニングツールに悪用されたのが原因
オープンソースな攻撃シミュレーションツール
github actionによるOSINTツール
複数の既存ツールの組み合わせで、サブドメの列挙、ポートスキャン、Notify, Nuclei
Notify はBurp Collaboratorの結果をSlackなどに連携するツール イベント/勉強会/発表資料
コードは1年ちょっとしか書いてないけど、AmazonのSr. Systems Development Engineerに慣れた人の話
当然読めるだけでは駄目で、読んで -> 全体把握して -> 文書作成して ->> メトリクス収集して -> 負荷試験 というのを、実行計画してやり切る能力が必要。
つまり、メトリクスや負荷試験ができる前提での、シニアソフトウェア開発者って話
コードの読み方で、状態遷移をもったエンティティに着目する というのはとてもわかる
タイトルの通り。参考になる。
基本は上流に委譲とログ出力
いつか実装したい(RustかGoで)
goのtipsがまとまってて嬉しい
エラーは、xerrors.New(). fmtは使わない。ラップは xerrors.Errorf("Configration file problem: %+w", err)
テスト対象コードと同じpackageにテストコードを記述する場合(privateメンバのテストなど)のプラクティス
ビルド時の工夫とか唸る
日本ではIcedIdがくるんじゃないか
ランサムのせいかもで、攻撃者がpersistenceすると(アジア圏内では)76日とか
Initial vecはフィッシングからexploitへ(VPNとか)
複数アクターが絡むケースは増高
M-Trends by FireEyeはよもうな
(マイクロソフトが)Microsoft Store内のアプリで使えるsha-1をリタイアする話。
sha-1の歴史とか15年がけの完全移行の話とか面白い。googleが予算予測したとか。
トラストの話
LayerXがエンジニアブログを開始
※ 本まとめは@ken5scal個人的なもので費用は発生していませんが、LayerXの従業員なので利害関係があります。
要素開発の話
業務と開発の話
他
その他