忙しい人のためのセキュリティ・インテリジェンス No.36 - 2021/05/31

今週のおすすめ/一言所管

Azure StorageやEvet HubにDefenderで取得したEventsをストリームするAPI

このAPIを任意に使う、、、ということは出来なさそうだ...残念

MDfE上のadvanced huntingをMicrosoft 365 Defenderに移管するための注意点

code:query

AlertInfo

| where Timestamp > ago(7d)

| where ServiceSource == "Microsoft Defender for Endpoint"

| join AlertEvidence on AlertId

SentinelとLog analyticsのcommitmentに

高ティア(1tb/d, 2tb/d, 5tb/d)が追加

Azure Machine Learning (とvault, storage）のサービス有効化が前提 :cry:

それを使って、Jupyter Notebookでクレデンシャルの漏洩を検知

AWSS S3クライアントシークレットとか、HTP Authorization Headerや一般的なパスワードも検知できるnotebook

Compliance

Intune/Windows10

他

JetBrainのIDEからApp Runnerにデプロイできるように。便利

色々触って情報をまとめました

まだやることあり

AWSのインターネットfacingなリソースをOSINT?するためのツール

ヨーロッパが自前のIDウォレットを作ろうとしてるらしい

FacebookやAppleにeIDsによるログインをサポートしろとかも書いてある

ウェブブラウザに「trust certificates」の導入や、その証明書を「信頼できる」とユーザーにDisplayするとこをもとたり

概要把握用

概要把握に加えて、IDウォレットの課題↓について書かれてて良い

eIDを識別できるようにすること

eiIDを利用できるようにすること

充分な数のプラットフォームがそれをサポートすること

SPがウオレットを充分堅牢でセキュアな方法で提供できるようになること

ウェブブラウザに上記の仕様を実装すること

SPもプラットフォーマーも、サーバーサイドもクライアントサイドもサポートしなきゃだから大変

トラスト基盤を支える法制度の構造、法定すべき内容について

EUとのトラストアンカー間の接続の仕組みの提案など

AppleのSecure Intent: OSやアプリプロセッサーによる仲介なしに、ユーザーの意思を確認できる仕組み

物理的なボタンから直接Secure Enclaveにリンクすることで、仮にルート権限やカーネルが掌握されていても 詐称されないことを確かにできる

米国におけるConfidential Computingの捉え方を示した記事

ENISA Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy Trsutからは米国プラットフォームに依存しないEUとしての安全保障・社会保障を目的とするSelf Sovrin

米国では、プラットフォームが構築してきたビッグデータが資産から負債に変わりうる懸念からの競争戦略

時代の潮流として、プライバシーファーストになってきたことによる資産 -> 負債化

Don't Be Evilではなく、そもそもEvilになることができないことを証明することで、情報を預ける顧客の信頼を維持したい、という腹

そのために、ユーザー自信がプラットフォーム側のデータ処理を自分で監査・検査できるようにする

これが、米国におけるConfidential Computingの意義っぽい

Attestationがどのようにシステムレベルでの緩和策と堅牢性を提供するか、というブログ

Attestationの検証がボトルネックにならないようスケールするために別HWに切り出してるという話から、そのHW外のリモートで検証する仕組みに関する概要ブログ

https://gyazo.com/c64f0f5bec13dd20fcd6f565ffafd897

後で読みたい

NIST SP800-193

Microsoft者のデジタル署名されたマルウェアCobalt Strike Loaderに関する分析

FireEyeのAPT41と似た特徴をもつ

KasperskyによるCaptchaの話

CAPTCHAは人間とボットを見分けるための仕組みだけど、最近は人間が動員されるクリックファームによって、そもそも人間が不正行為を実行するようになったから、効果が下がったよね、という主張

日本の場合、オープン API / オープンバンキングやるなら "OAuth2.0"（Not OAuth 2.0）になりがち

FAPI ではなく、独自にプロファイリングした "OAuth2.0"（← "OAuth 2.0" ではないことに注意）が、ことオープン API / オープンバンキングにとっては誰の得にもならないばかりか、逆に普及の妨げになりかねないことは、今後も機会があれば表明していきたいと思う。

なんだこりゃ、おもしろいな

いつから日本人は投資から貯蓄へシフトしたか

そこから、民間銀行の信頼が失われ、かつ郵便貯金へのty金が製f付によって症例されるようになる

同時に複利計算が教えられなくなるといった教育への影響もでる

銀行（バイサイド）と証券間（セルサイド）の法人顧客情報共有を、書面による事前同意を必須とする制限の緩和

いわゆるファイアウオール規制の緩和

嬉しいのはメガバンなどの銀行と証券をもつ機関

野村みたいなのは影響はなさそう

メガバンによる銀証連携から、リテールの拡大へ。リテールによる顧客への金融ソリューションの提供。

それぞれのメガバンでは顧客層、手動部署、商品構成と、かなり異なる

でも、銀証連携の規制は緩和されるんだよね？

デリバティブに含み益課税が検討されてるっぽい。現物とかは関係なさそう

オンラインで完結可能な本人確認方法の導入を検討・計画する金融機関向けのＱ＆Ａとして、別紙のとおり公表

Q&A眺めてたらこんな時間になってしまった。

想定本人確認書類に旅券がふくまれてなかったり、撮影と画像送信のタイミング（直ちに送らないとダメ）とか知らないことも色々あった

定期的・業務に応じて見直しそう

(有料)キャッシュレス時代のATM戦略

ATMの設置台数が減少するキャッシュレス時代において、地銀およびメガバンにおけるATM戦略とボトルネック（通帳）

店舗外ATMとコンビニATMって違うもん？

セブンATMの新手数料体系について

どっちかっていうとメガバン向けではなく地銀などむけ

行政/会社/団体

以下の基本的な考え

サイバー空間: 「自由、公正かつ安全」の確保

サイバー空間における戦略的原則

情報の自由な流通の確保

法の支配

開放性

自律性

多様な主体の連携

目的達成のための施策

経済社会の活力の向上及び持続的発展

国民が安全で安心して暮らせるデジタル社会の実現

国際社会の平和・安定及び我が国の安全保障への寄与

OSSか、、、と見に行ったら、Azure Functionだった

上のAzure Functionは、Pwned Passwordを保管したAzure Storageに取得しにいくもの

GitHub Action経由でタグ管理を自動化するやつ。っ良さそう。

OSqueryを拡張して、AWS/GCP/Azureの構成情報を引っ張り出してテーブルを作成するCloudquery。

cdktfだって、きたわあ

CDKがCloudFormationを作ってたのに対し、コレは完全にTerraformを作る

したがって、AWSに限定されないIaCが可能

github actionsを使ったrecon/vul assessmentツール

サブドメのリスト化、DNSレコードの抽出、ポート洗い出し、Webサーバーprobe、脆弱性スキャン

イベント/勉強会/発表資料

脆弱性管理のための５つのmetrics

Scanner Coverage,

Scan Frequency

Number of Open Vulnerabilities

Number of Closed Vulnerabilities

Exclusions

OSSなOSINTツール５選別

サービスコンテナを使い時には工夫が必要

セルフホストランナー（in Docker)が大正義　

最後の表が参考になる

GitHubのリポジトリにあるパッケージをスキャンするTrivyベースのGithub App

スキャン結果はS3?に保存され、それを確認するWeb UIも用意

また、結果はGitHub Checkを使ってCI結果として表示される

その他

CISAのシニアエグゼクティブの募集。以下が職責

連邦全体と各州、民間と国際間のパートナーシップ

awareness/開発/脅威・脆弱性・インシデントの情報共有

国内・国際的なサイバーディフェンスキャンペーンの計画と実行

年収: 132,552 ~ $199,300