忙しい人のためのセキュリティ・インテリジェンス No.37 - 2021/06/07
今週のおすすめ/一言所管
差分プライバシーについてインプット
ともあれ、プライバシーの確保が人権につながる、ということが徐々にわかってきた今日このごろ
間違ってそのときはretweetされるかもだけれども、そのときはそのときに事実と意見を切り分けて学ぼう
Microsoft
AzureAD
Kerberos TGTをプライマリリフレッシュトークンが含むため、仮にfido2 keysのパスワードレス認証でもゴールデンチケットは成立し得るよ、ってブログ
もっと細かい仕組みがこちら。今週読む
そのための緩和テクニック
ローカルadminの付与をしない
LSAASプロセスを守るASRの作成 in Intune
Azure Sentinelなどによるモニタリング
refresh tokenの失効プロセス
Service Principalのaccess reviewが可能に
Defender
azureとmitreが作ったコンテナスレッドメトリクス。というか、MDfE、コンテナホストに置いとくとコンテナ系脅威検知もするのか。知らなかった。すごい
MDfEとIntel athreat detection techの連携で、機械学習を使ったCPU performance monitoring unit (PMU)メトリクスからクリプトジャッキングを検知する仕組み
Sentinel
Sentinel (多分MDfEでも)でインシデントをクローズする時の分類について
Begning PositieはExpectedな結果でも通知がほしいときには選ぶのか...
Process Treeをwinword.exe, excel.exe, powerpnt.exe, acrord32.exeから作るクエリ
Log Analyticsをつかった緊急用アカウントの利用検知
Sentinelでもできるが、そもそもLog Analytics -> Sentinelへの連携にタイムラグがあるので注意
Compliance
Intune/Windows10
他
Microsoft Certified: Identity and Access Administrator Associateってのができたみたい。へー
AWS
eventbridge全然チェックしてなかったけど、ルールセットがあるのか。
知らなかった。こりゃ便利....というのは間違い、でもボタンポチポチでイベントパターン作れて周辺サービスとすぐ連携できるのは便利
Classmethod社によるお気に入り10選
RunInstances, CreateUser, CreateGroup, CreateAccessKey, CreateKeyPair, CreateSecurityGroup, RequestServieQuotaIncrease, AddCommunicationToCase, CreateLaunchTemplate, CreateAutoScalingGroup, ModifyInstanceAttribute, UpdateAutoScalingGroup
dryrunは結構つかってるみたい。
AWS GuardDutyデータをAzure functionを使ってSentinelに送る
ブラウザ攻撃テクは詳しくないので、全然わかってないが...
Elastic Beanstalkのchange historyに表示されたエラーから、AWSコンソール内にXSSをみつけたバグバウンティの話
CloudTrailのイベントで、上記の機能が要求するパラメタがnulだった
CSPで *.s3.us-east-2.amazonaws.com を許可してるのをみつけたので、自分でホストしたs3バケットからiframeをロードするHTML Injectionを実施
AngularJSを使ってるのを見つけ、,client-side template injection を実行できることを発見
template injection経由で任意のJSでXSS
AngularJSではsandboxが1.6で除外されたため、著者の1.8環境ではできた
これを応用してtemplateではなくHTMLをinject。これでCSPを突破できた
...という内容
cloudshell上でaws コマンドをdebugモードで動かすと、http://localhost:1338 に/atest/meta-data/をGETしてることがわかるよ
なので、imdsみたく curl -XPUT localhost:1338/latest/api/token -H "X-aws-ec2-metadata-token-ttl-seconds: 60" でcloudshell上でaccessKeyID, secretAccessKeyを入手できるよ
マルチテナントなときに、ユーザーがログインする際にstsにtenant_idを渡す
それによってroleは同じでもsessionは違うため、aws:PrincipalTag/TenantID がtenant毎にかわる
リソースにその条件を付与することで、テナントごとのアクセス制限を実現可能
awsのassumroleでsessionベースなpolicyを渡せたのか
それによってtenantごとに動的なポリシー制御が可能になる
どこかで試したい
Google
トラスト/ガバナンス
LayerXのニュースレターより抜粋
差分プライバシーの効果およびリスク
効果: データ解析技術の向上やプロファイリングによって、匿名加工の効果が下がり、個人の再識別が可能になってきている。そのため、数学的にランダムなノイズを意図的に加えることで、匿名加工の効果を向上する期待がある
一方、データセットが小さい場合は(情報分析の?)精度が低下するリスクがある
LayerXのニュースレターより抜粋
センシティブな情報が一般的な個人情報から導き出せてしまうこと -> 負の外部性
にもかかわらず、一般消費者は僅かな対価で自らの個人情報データを提供する
それがプライバシーの侵害につながる
負の外部性と提供のアンバランスさを解決するための3方式
パーソナライズされたピグー税
価格差別なしのオプト・イン同意規制
相関除去メカニズム: 信頼できる第三者がアグリゲータになる。情報銀行的な?
ノイズの数が少なすぎても、多すぎてもバグがでるよ
少なすぎる場合: プライバシーが確保されにくくなる
多すぎる場合: データの正確性が犠牲になる
他にも機微性の計算ミスったり
統計値のバグなので、バグをキャッチするのが難しい
キャッチするには、テストも統計的アプローチ(statistical hypothesis testing approach)かプログラム分析(program analysis)を使う
プロの言語化は参考になる
それをアイデンティティと証明書というミクロ?にブレークダウンした資料はこちら
PKIに関する資料集(概要はない...)
日本国におけるデータ戦略における整理
重点対象は、マイナンバーを利用した個人の情報連携、法人、土地・地図、公共施設、法律等
ベースレジストリの運用パターンとシステムイメージ
まずはパターン3になりそうだな...
他資料
住民基本台帳に関連する議論。議論項目の洗い出しが主か
デジタル社会における業務に応じたリスクアセスメント
ガイドラインへの適合から、分散化やクラウド化・ネットワーク帯域・可用性、リプレイス方法
データ整合性、住登外者の対応、DVなどの支援措置、世帯か個人か
SIOP v2
SIOP Chooser(ユーザーのwallet選択)
WalletごとのカスタムURL登録 with RP
NASCAR問題h先送り
sub にdid利用。id tokenがdid docの鍵に署名あれることで、ウーザーがoPを制御していることになる
vp_jwt , vp_ldp vp_hash クレームの定義
FAPI: CIBA Profile
FAPI: JWT Secured Authorization Response Mode for OAuth2.0 (JARM)
OIDCなしでAuthZエンドポイントからの署名付きレスポンス
他にも、Baseline/Advanced Security Profile, Attack Model, Grant mgt for OAuth2.0, Simple HTTP Message Integrity Procolが進んでいる
PAR, RAR, DPoPが参照されている
ブロックチェーン/Confidential Computing
ベアメタルなARM Systen On Chip用コンパイラ・ランタイム環境のTamaGo ベースでTEEを実現するライブラリ FSecureってこういうのもやってるのね
脅威/脆弱性/インシデント
ITは投資であるとか、セキュリティは売上やユーザーの可用性が最重要であるという、ナイーブな意見から一歩踏み込んで、そもそも事業活動として別軸で両方やらなきゃダメで、優先順位はその上で調整しましょう、最終判断は経営ね、という時代になってきたのかと思う
ファイルストレージの脅威マトリクス by マイクロソフト
思ったよりシェアポによってなくていい感じ
[OWASP Japanの脆弱性診断士スキルマッププロジェクト
脆弱性診断士のスキルマップが更新
コミット見るとスコープとか要件が新たに定義されてる
金融
クレジットカード利用において、遅延なく支払いをしてきたかだけが問われる世界だ。債務を負ったことがない人よりも負ったことがある人の方が評価が高いと
用されている会社の性質や家族がどれだけ立派かといったことはむしろ勘案してはいけないタイプの情報と捉えており、その考え方が社会的にデファクト・スタンダードとなっている点は改めて注目されるだろう。同時に、自由な情報活用のイメージが強い米国においても、社会の信ずる均等の概念の前では丁寧な制度整備が行われていることは覚えておくべき事実である。
スコアリングにおいてどんな情報を、どのような用途で使ってよいかといったガバナンスへの議論を本格化すべきタイミングが迫っている。
証券会社みたいなデータ取引所の創設に、政府が意欲
金融やヘルスケア、農業など様々な企業が持つデータの利用権の証書が、証券みたいにやり取りされる
デジタル庁管轄
が、一方で、内閣官房がやってる「データ戦略タスクフォース」のデータ主権から逆行してるように見える
結局、データの持ち主は個人のはずである
https://gyazo.com/6833e3a3f17e729346974657e8acc72a
行政/会社/団体
ツール/サービス/OSS
select * from cloud;
SQLを使ってクラウドの情報を取得
GitHubのDependabotがTerraform 1.0をサポート
同時にproviderやprivate registriesもサポート。朗報
ZoomのCISスキャン
SigstoreのWebPKI なのか!
証明書をOIDCメアドベースで発行し、20分のみ有効
おもしろい!
イベント/勉強会/発表資料
数学からデータエンジニアリング、データサイエンスの応用分野入門など充実
CyberChefめっちゃ便利。最近お世話になることも減っちゃったな
東芝グループにおけるサイバーセキュリティに対する取り組み in 2020
その他