忙しい人のためのセキュリティ・インテリジェンス No.36 - 2021/05/31
今週のおすすめ/一言所管
Microsoft
AzureAD
Defender
Azure StorageやEvet HubにDefenderで取得したEventsをストリームするAPI
このAPIを任意に使う、、、ということは出来なさそうだ...残念
MDfE上のadvanced huntingをMicrosoft 365 Defenderに移管するための注意点
MDfEのDeviceAlertEvents テーブルが365では、AlertInfoとAlertEvidence に散っている
下記のように ServiceSource で抽出し、AlertIdで AlertInfo と AlertEvidenceでjoinすればおk
code:query
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Sentinel
SentinelとLog analyticsのcommitmentに
高ティア(1tb/d, 2tb/d, 5tb/d)が追加
Azure Machine Learning (とvault, storage)のサービス有効化が前提 :cry:
それを使って、Jupyter Notebookでクレデンシャルの漏洩を検知
AWSS S3クライアントシークレットとか、HTP Authorization Headerや一般的なパスワードも検知できるnotebook
Compliance
Intune/Windows10
他
AWS
JetBrainのIDEからApp Runnerにデプロイできるように。便利
色々触って情報をまとめました
まだやることあり
AWSのインターネットfacingなリソースをOSINT?するためのツール
Google
トラスト/ガバナンス
ヨーロッパが自前のIDウォレットを作ろうとしてるらしい
FacebookやAppleにeIDsによるログインをサポートしろとかも書いてある
ウェブブラウザに「trust certificates」の導入や、その証明書を「信頼できる」とユーザーにDisplayするとこをもとたり
概要把握用
概要把握に加えて、IDウォレットの課題↓について書かれてて良い
eIDを識別できるようにすること
eiIDを利用できるようにすること
充分な数のプラットフォームがそれをサポートすること
SPがウオレットを充分堅牢でセキュアな方法で提供できるようになること
ウェブブラウザに上記の仕様を実装すること
SPもプラットフォーマーも、サーバーサイドもクライアントサイドもサポートしなきゃだから大変
トラスト基盤を支える法制度の構造、法定すべき内容について
EUとのトラストアンカー間の接続の仕組みの提案など
ブロックチェーン/Confidential Computing
AppleのSecure Intent: OSやアプリプロセッサーによる仲介なしに、ユーザーの意思を確認できる仕組み
物理的なボタンから直接Secure Enclaveにリンクすることで、仮にルート権限やカーネルが掌握されていても 詐称されないことを確かにできる
米国におけるConfidential Computingの捉え方を示した記事
ENISA Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy Trsutからは米国プラットフォームに依存しないEUとしての安全保障・社会保障を目的とするSelf Sovrin
米国では、プラットフォームが構築してきたビッグデータが資産から負債に変わりうる懸念からの競争戦略
時代の潮流として、プライバシーファーストになってきたことによる資産 -> 負債化
Don't Be Evilではなく、そもそもEvilになることができないことを証明することで、情報を預ける顧客の信頼を維持したい、という腹
そのために、ユーザー自信がプラットフォーム側のデータ処理を自分で監査・検査できるようにする
これが、米国におけるConfidential Computingの意義っぽい
Attestationがどのようにシステムレベルでの緩和策と堅牢性を提供するか、というブログ
Attestationの検証がボトルネックにならないようスケールするために別HWに切り出してるという話から、そのHW外のリモートで検証する仕組みに関する概要ブログ
https://gyazo.com/c64f0f5bec13dd20fcd6f565ffafd897
後で読みたい
NIST SP800-193
脅威/脆弱性/インシデント
Microsoft者のデジタル署名されたマルウェアCobalt Strike Loaderに関する分析
FireEyeのAPT41と似た特徴をもつ
KasperskyによるCaptchaの話
CAPTCHAは人間とボットを見分けるための仕組みだけど、最近は人間が動員されるクリックファームによって、そもそも人間が不正行為を実行するようになったから、効果が下がったよね、という主張
金融
日本の場合、オープン API / オープンバンキングやるなら "OAuth2.0"(Not OAuth 2.0)になりがち
2018年の改正銀行法にともなう2020年5月までのオープンAPI実装の努力義務に向けて、API・セキュリティ分科会 | 一般社団法人Fintech協会に潜り込んだことがある。この際に、「OIDCはスコープにいれない?」という質問をしたところ「そこまでいくと技術を深堀りすぎているので、まずはOAuth 2.0を把握する」という回答をもらった記憶がある。今、思えば、これが上記ブログにおける内容につながってそうな気がする。 FAPI ではなく、独自にプロファイリングした "OAuth2.0"(← "OAuth 2.0" ではないことに注意)が、ことオープン API / オープンバンキングにとっては誰の得にもならないばかりか、逆に普及の妨げになりかねないことは、今後も機会があれば表明していきたいと思う。
なんだこりゃ、おもしろいな
いつから日本人は投資から貯蓄へシフトしたか
関東大震災 -> 震災手形による銀行への資金供給 -> 不良債権化 in 台湾銀行 -> 政府による救済措置の秘訣 -> インターバンク直撃 -> 台湾銀行に資金提供していた銀行が資金改修できずシステミックリスク発動 -> 昭和金融恐慌
そこから、民間銀行の信頼が失われ、かつ郵便貯金へのty金が製f付によって症例されるようになる
同時に複利計算が教えられなくなるといった教育への影響もでる
銀行(バイサイド)と証券間(セルサイド)の法人顧客情報共有を、書面による事前同意を必須とする制限の緩和
いわゆるファイアウオール規制の緩和
嬉しいのはメガバンなどの銀行と証券をもつ機関
野村みたいなのは影響はなさそう
日本はグラス・スティーガル法 を真似しすぎて、本来業務が分掌されていればいいのを情報共有にまで適用しちゃったのが辛かった
メガバンによる銀証連携から、リテールの拡大へ。リテールによる顧客への金融ソリューションの提供。
それぞれのメガバンでは顧客層、手動部署、商品構成と、かなり異なる
でも、銀証連携の規制は緩和されるんだよね?
デリバティブに含み益課税が検討されてるっぽい。現物とかは関係なさそう
オンラインで完結可能な本人確認方法の導入を検討・計画する金融機関向けのQ&Aとして、別紙のとおり公表
Q&A眺めてたらこんな時間になってしまった。
想定本人確認書類に旅券がふくまれてなかったり、撮影と画像送信のタイミング(直ちに送らないとダメ)とか知らないことも色々あった
定期的・業務に応じて見直しそう
(有料)キャッシュレス時代のATM戦略
ATMの設置台数が減少するキャッシュレス時代において、地銀およびメガバンにおけるATM戦略とボトルネック(通帳)
店舗外ATMとコンビニATMって違うもん?
セブンATMの新手数料体系について
どっちかっていうとメガバン向けではなく地銀などむけ
行政/会社/団体
以下の基本的な考え
サイバー空間: 「自由、公正かつ安全」の確保
サイバー空間における戦略的原則
情報の自由な流通の確保
法の支配
開放性
自律性
多様な主体の連携
目的達成のための施策
経済社会の活力の向上及び持続的発展
この中に サプライチェーン等の信頼性確保に向けた基盤づくりがある
国民が安全で安心して暮らせるデジタル社会の実現
国際社会の平和・安定及び我が国の安全保障への寄与
ツール/サービス/OSS
OSSか、、、と見に行ったら、Azure Functionだった
上のAzure Functionは、Pwned Passwordを保管したAzure Storageに取得しにいくもの
GitHub Action経由でタグ管理を自動化するやつ。っ良さそう。
OSqueryを拡張して、AWS/GCP/Azureの構成情報を引っ張り出してテーブルを作成するCloudquery。
cdktfだって、きたわあ
CDKがCloudFormationを作ってたのに対し、コレは完全にTerraformを作る
したがって、AWSに限定されないIaCが可能
github actionsを使ったrecon/vul assessmentツール
サブドメのリスト化、DNSレコードの抽出、ポート洗い出し、Webサーバーprobe、脆弱性スキャン
イベント/勉強会/発表資料
脆弱性管理のための5つのmetrics
Scanner Coverage,
Scan Frequency
Number of Open Vulnerabilities
Number of Closed Vulnerabilities
Exclusions
OSSなOSINTツール5選別
サービスコンテナを使い時には工夫が必要
セルフホストランナー(in Docker)が大正義
最後の表が参考になる
GitHubのリポジトリにあるパッケージをスキャンするTrivyベースのGithub App
スキャン結果はS3?に保存され、それを確認するWeb UIも用意
また、結果はGitHub Checkを使ってCI結果として表示される
その他
CISAのシニアエグゼクティブの募集。以下が職責
連邦全体と各州、民間と国際間のパートナーシップ
awareness/開発/脅威・脆弱性・インシデントの情報共有
国内・国際的なサイバーディフェンスキャンペーンの計画と実行
年収: 132,552 ~ $199,300