忙しい人のためのセキュリティ・インテリジェンス No.34 - 2021/05/17
今週のおすすめ/一言所管
ガッキーが結婚しました :(
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について の話。CI経由のリモートコードインジェクションという脅威の経路が国内の著名なサービスで刺さった初の(公表)事例。SNS等では「なぜ秘密情報・個人情報をGitHubにコミットしたか」という声が多かったが、何らかの目的で特定のリポジトリをファイルストレージ扱いし、そのリポジトリのみで限定された権限で運用してたみたいなケースはありそうだ(ルールで禁止されているが)。つまり、ソースコードそのものに個人情報はなく、GitHubにはあった可能性はある。その場合、Google DriveやあるいはS3バケットに保管してたケースとほぼほぼ同じではないか。もし、GitHubのソースコードにアクセスできるCI・CDがGitHubに限らず、各種ファイルストレージへの読み取り権限があるのであれば、仮にGitHubにコミットしてなくても、同様の経路で個人情報の流出が起こりうる。 よって、気になる部分としては、①どのように当該個人情報をGitHub上で格納していたのか(リポジトリベースなのか、何かしらのソースコードだったのか)②またその目的はなにか ③なぜGitHubが妥当と判断したのか ④GitHub上での権限管理はどの様な状態だったのか、、、というポイントではある
Defenderのアラートページのデータソースがより複数に。
例えば「大量のファイル閲覧」だけでは必ずしも情報漏えいイベントにはならないが、クレデンシャル窃取とあわせるとヤバい
以前はOffice365で検知されて、AzureADでsign in riskとして検知されるのような形でcorrelation判断が人間によるものになっていたが、これが集約されたイメージ
macOSとLinuxに推奨構成項目が追加
既知のフィッシングキットのリストをクラウドソーシングで取りまとめているPhishTankからKQLでデータを取得している
externaldataの実行の仕方や、分析ルールによる
定期実行はLogic Apps
Data Connectorのヘルスチェックをする方法
異常検知
Workbook: Data Collection Health(公式), Workspace Usage Report
アクション検知
KQL
アラートの方法
SentinelでIncidentとして扱う or Azure Monitor Alerts
SOCを立ち上げるためのFramework. SOC Contractsのような連絡帳などのSOC関連のドキュメントを整備できるWorkbook
Compliance
Intune/Windows10
他
IAM10周年に伴うレコメンデーションその1
rbacとabac流行り方が違うけど目的は同じ、って書いてあるけど、いいのかw?
同じAWS垢ならAbacで行こうぜ、と書いてある。そうだよね。
SQS: 1つののコンシューマで処理される非同期的なメッセージ処理
https://gyazo.com/289f753bbbe899e1270d5c656b8213d0
SNS: メッセージを複数の異なるコンシューマに送りたい場合
https://gyazo.com/bc500f9c46c9cd27637571e8bd4acf81
Kinesis: 大量のデータをストリームして、N個のソース、N個のコンシューマに投げたい時
https://gyazo.com/f6bc28375cf6bc08c6f0c9406c5e9ca3
EventBridge: サブスクライバは任意のメッセージ型を選べるイベントドリブンアーキテクチャ様
https://gyazo.com/b5ff05b38c6b27c4f238ebffa435e792
Googleが提供するdistrolessイメージが全てLinux OpenSecure Foundationで作られたsigstoreベースのCosignで署名されたよって話。
free OIDC PKI (Fulcio)が気になる
Google Cloud Threat Intelligence for Chroniclがリリース
google cloudで集めたintelが自動的に注入される
イギリスで導入された http://GOV.UK Verify の見直しの報告書を見ると、当初のもくろみに反して銀行の口座開設やソーシャルメディアの身元確認の eKYC として使われていない。 だれでも「アクセス」ができて予約ができるシステムなので、脆弱性とはいえない...という法的見解
セキュリティは複雑なシステムによってうまれた特性だよ、複雑なシステムをセキュアにするんじゃないよ。セキュリティをするんじゃなくて、セキュリティを得るためにナニカするんだよ。
複雑さがセキュリティを毀損させるんじゃないよ。Bad Designだよ。じゃあ、セキュリティを得られるGood Designとはなにか、、、、という話
13のデザイン原則
抽象化: APIやインターフェースによる。
抽象層感のリンク条件を確立
制御のデフォルト値の設定
宣言的な構成
冪等性
直感的なUI/UX設計と可視化(6と7)
観測可能性とフィードバック
エラーメッセージの削減とガイダンス化
正しい値の設定(System-wide Invariants)
顧客が本当に求めているものは
カオスエンジニアリング
WhyとYes (accountability?)
DarkSide関連のIoCが提供された
https://gyazo.com/a51d33155a8459c2bbb400a5c686ad59
Codecovに注入された不正なコードにより、2013~2018における次の情報が漏洩
売上金の振り込みに関連する情報
CS対応情報
イベント情報
取引先情報
従業員に関する情報
時系列
4/15にCodecovから発表
4/16に認証情報の初期化
4/23にGitHubから連絡を受け連携開始、全社横断的体先本部を設定 、関連当局に連絡
4/27 顧客情報判明、個人情報保護委員会等に報告
民事信託における受益者保護のための慣習的な信託財産の管理手法(信託口口座)には、課題(開設が一苦労)がある
信託口口座開設等に関するガイドラインが日弁連から発表された
そのガイドラインの中で抑えたいポイントは...
国や公的機関の巨額ファンドの様な大規模予算執行によって、メガバン預金に増加の傾向
マイナス金利を払わなければいけない政策金利残高に引っかかる可能性がでてくる
回り回って銀行にお金を預ける預金者(∈法人)にも影響がでてきて、あれ、それ本当にしたいことなんだっけ...という話
SBIの人事
SBIソーシャルレンディングに業務停止命令(方針)
ペイの見込みの薄い案件に融資して、投資家への説明内容と異なる虚偽表示と判定
行政/会社/団体
クオリティクラウド
有事の際にも安定して提供できる態勢の確保
プライバシー保護やサイバー攻撃への対処能力
他のクラウドサービスと連携できる相互接続性
使用電力の削減などを要件
クライアントサイド
Vue 3 Composition API with TypeScript, VueUse, Pinia, Windi CSS, markdown-it, prismjs, chart.js
API再度
Echo, GORM, gcache, go-gidentiction, sendgrid-go, gorill/websocket, gorilla/sessions, jwt-go, anaconda(twitter)
イベント/勉強会/発表資料
大量の請求書PDFアップロードの非同期処理の話
step functionでふまくいかなかったので、sqsとGo Machineryという理ぶらりを使った話
若ーはOCRの実行とDBへの保存くらい
前処理、ラベル検出、後処理はLambdaにオフロード。
同じ業務でもSaaSによって色々ことなる。それらをアグリゲートしてデータと持つための課題と対応
ことなる会計ソフトのマスタのマスタのフォーマット
スプシノ早見表
出力フォーマットの違いによる実装パターンの増加
仕分けテンプレを会計SaaSごとにjsonで用意して、マッピング・加工して出力するように
CSVでテストデータを用意してテスト。
上記の部分を共通化
チーム内の仕様理解の混乱
Playbookを用意し、マスタ特徴と仕分け特徴
その他