忙しい人のためのセキュリティ・インテリジェンス No.33 - 2021/05/10
今週のおすすめ/一言所管
一段落を見せたColonialPipelineとDarksideについてColonial PipelineとDarkSide系でまとめました。感染したITシステムからOT(Operation Technology)システムの隔離した意図的なQuarantine、それに伴う石油価格の変動、RaaSプロバイダーによるある意味良識的な声明発表、仮想通貨による身代金の支払いなど、様々な面で参考にしたい。また、これ(とSolar WindsやExchange)を受けてバイデン大統領が、セキュリティ設計の強化やサプライチェーンセキュリティやプレイブックの作成等のCyberSecurity強化を指示する大統領令を発令した。オバマ大統領のCSF、トランプ大統領のRisk Management Frameworkなど過去の成果物も改めて読んでおきたい.
あとは、2020/04に不正アクセスで話題になってたClassiの最終レポートがでていました。
Azure ADのAccess Token, Refresh Token, Session Token, Primary Refresh Tokenの用途および有効期限についての説明資料
更新タイミングやら、対話型(human interaction)な認証が発生するシナリオなど細かくかかれた良い資料
Azure ADの条件付きアクセスで以下の機能がリリース
public preview
Named Location: 位置情報を使ったアクセス先制御
Filters for device condition: deviceそのものではなく、deviceの属性をつかったポリシーが設定可能に。
待ってた感ある
Enhanced Audit Logs with Policy Changes: 変更されたプロパティがaudit logにふくまれる
Azure AD login to Linux VMs in Azure: Azure ADログインをssh証明書ベースのログインで使えるように
GA
Named Location: IPv6サポート
Search, sort, and filter policies: ポリシー一覧からのポリシー検索向上
Azure AD login for Windows VMs in Azur: Windows10 やWIndows Server 2019 VM in AzureにAzure ADログイン with RDPができるように
前からできなかったっけ...それとも、with additional protection using RBAC, Conditional Access, Privileged Identity Management and Azure Policy. ?
Compliance
Intune/Windows10
他
yahooによるフィッシングにおける推奨対策
1)よく使うサイト、アプリをブックマーク、インストールしておく
2)判断力が落ちているときはサイトやメールなどを見ない
3)メールなどのロゴマークを信用しない
4)社名が何も書いていないSMSが届いたら無視する
2020/04に発生したClassiのインシデントについて最終報告
経緯が詳細に書かれているのがよい。外部組織への報告もよい
一方、データベースのパスワードを変更してサービスが接続できなくなり、障害アラートが発生して検知される、という攻撃者のアマチュア感が気になる
(MFAを設定してたものの)GitHubでフィッシングを突破されて、不正ログイン。ソースコードを入手され、そこにあったAWSアクセスキーを悪用された
前者はとても大変。Contextベースの認証にしたり、セキュリティキーを使うしかない。
一番弱い閲覧権限でよめてしまうので、リポジトリ単位でのチェックをするしかない
後者はgit secretsを使う
Colonial PipelineとDarkSide系
タイムライン
全体的な流れはこちらを追えばおけ
そもそもDarkSideとは
DarkSide自体は暗号化と接種したデータを人質にした脅迫系マルウェア
マルウェアでありRaaS(Ransomwear as a Service)
このサービスを使って獲得した身代金(収入)からもらう手数料(アフィリエイト)で成り立つサービス
身代金の交渉をする窓口もするなど、複数の機能をもつ
被害者に身代金の支払いを迫る電話を管理パネルだったり、
身代金の圧力をかけるために、DDoSを仕掛けることができる機能
空売りできるための情報を用意したり
被害者が加入してるサイバーセキュリティ保険の金額を調べたり
出典
DarkSideによるColonialPipelineへの影響
米東海岸で消費される45%の精製済み石油を運ぶオペレーショ5/9に停止
5/7: 攻撃
5/10: 手動稼働
5/13: OT稼働
5/13: 身代金支払い
Darkside自体は石油パイプラインのOperational Technology(OT)自体をとめてない。
とまったのは一部のITシステム。5/6に開始したサイバー攻撃に5/7に気づき、その封じ込めのためにOTも停止した。つまり、操業停止はColonialPipelineによるインシデント・レスポンスの一貫である
一方、このレスポンス自体がIT/OTの密結合であり、CIはITが使えなくてもOTを継続的に動作するようにすべき、との批判もある
身代金支払いは $5 million
経済的には、原油相場は5/10時点で上昇したものの、その後下落、5/13時点、つまり身代金支払い時点はでは$63あたりに落ち着いた
https://gyazo.com/4692119c381ff4f84f1b5b19b0c3681b
出典
ColonialPipelineの原因
原因は明らかにされてないが、コンサルタントによると重要なドキュメントが3週間も見つからなかったり、パッチ運用がしょぼかったなどとの声もある
出典
Darksideのその後
RaaSアフィリエイトの募集が行われていたフォーラム(XSS、exploint)は今後恒久的にRansomwareに関連するトピック投稿を禁止する
アフィリエイターに対して新しい制限を導入すると声明。社会セクター(医療、教育機関)やあらゆる国の政府セクターに対して感染行為を行う前に承認を得る必要があるというもの。
出典
対策
CISAによるランサムウェア攻撃予防のベスプラ
MFA
スパムフィルター
ユーザー訓練(スピアフィッシング)
Malicious IPへのingress/egressネットワークフィルタ
ソフトウェア・アップデート
リモートアクセスの制限
最新のシグネチャを使ったアンチウイルス
意図しない実行ファイルの予防
マクロの無効化、アプリホワイトリスト
TorあるいはTorへの接続予防、
CISAによるDarkSideに関するアドバイザリ
DarkSide自体は暗号化と接種したデータを人質にした脅迫系マルウェア
次の画像で「Not Creating problems for society」なので、マルウェア製作者にも意図しない影響に発展してた模様
https://gyazo.com/651b3d2b85f180a147590ac107626c85
その他
Critical Infrastructure(CI)に対するサイバー攻撃の被害は2019年に比較して1.5倍
フランスの保険会社はランサムへの保険支払を停止
行政/会社/団体
砕けた口調で法律を説明するシリーズ。わかりやすい
「だれひとり取り残さない」がどういう意味を指してるのかが、ある程度わかりやすいかも
以下の取組
官民間での脅威情報共有
- クラウド・ゼロトラスト設計の強化等のモダン化
サプライチェーンセキュリティ強化
Safety Review Board
インシデント・レスポンスの標準プレイブック作成
検知・緩和力・対応力の強化
契機は、Solar Winds, Microsoft Exchange, Colonial Pipeline
Terraform AWS Providerでprovider にdefault_tags を設定できるようになった
Terraform 0.12, AWS Provider v3.38以降の話。
localやvarで定義しなくなってよくなった。嬉しい。
overwriteはできるのかしらん
GitHubでのYubiKey等のSecurity KeyがSSHベースの操作にも利用可能に
これはWebAUthnのupを使っている
private ssh key file っぽいのがマシン内にもできるけど、ただのsecurity keyへの参照だよ
Microsoft公式のebpf実装 for Windowsマシン
サイバーセキュリティ関係のBot強化学習プラットフォーム。研究用。
Microsoft提供
攻撃者botと防護用botが展開され、前者はできるだけ多くのネットワーク掌握をすること、後者は検知・対応ができるようにすること
シミュレーションのステップ数と、その過程における報酬スコア
イベント/勉強会/発表資料
その他
リサーチから入らず、事業計画からリサーチに入る感じ
事業計画は 1) コアとなるビジネス 2) 顧客がいる層(ペインポイント?) 3) お金になるポイント
リサーチする情報は、実際にやった後には変わるので、あまり時間をかけない。
2weeks~1monthsぐらいで調べて決める