忙しい人のためのセキュリティ・インテリジェンス No.38 - 2021/06/14
今週のおすすめ/一言所管
ソフトウェアのローカルの開発からデプロイまでのサプライチェーンに関するリリースが多かった印象。この領域は社内の情報システム
https://gyazo.com/bc61a0a4cc87156db1804fe69c036a17
Microsoft
AzureAD
Azure ADでカスタムロールを作る方法
Graph APIもある
MSALアプデしたり、ADALとAzure AD GraphからMicrosoft Graphに乗り換えろ太郎
Defender
Inventory, vulnerability, configurationを引っ張るapiがMDFEでリリース
のみならず、POWERBIのテンプレもリリース
Sentinel
Sentinelで手動インシデント作成
Hunting > Query実行 > View Result > Bookmark作成 > Huntingブレードに戻ってBookmarksタブ > Incident Actions
PlaybookをAutomation Ruleに表示されるにはIncident Creation Ruleトリガーが必要
AzureADに保存されたBitlockerはエンドユーザーも取得できてRecoveryに使える
それをSentinelで検知するためのブログ
っていうか、Log AnalyticsがAgentもってて、それをWIndowsにインスコすることでEvent Viewerとか集められたのか...
世の中にはOpen-Source Security Events Metadata (OSSEM)という、セキュリティイベントのメタデータ標準がある
sentinelもそれに従ってるよ。The Azure Sentinel Information Model (ASIM) ってやつ。
それでkqlに最適な処理をしたろ、source agnosticにデータ取り込めるよ…って話
Compliance
Intune/Windows10
IntuneでLAPSソリューションがないので、色々なスクリプトがコミュニティから出ている
Intuneにfilter機能がリリース。groupはリプレイスされず。
使いみちとしては、UserとDeviceを混ぜた対象をつくることができそう。
全ユーザーにあてるけど、管理下のみにするとか
除外対象のグループとして、Azure ADグループも使えるけど、でもユーザーグループに限定しよう、という事が書かれてる
AADのデバイスグループはメンバーの波及にレイテンシーがある模様
同様に動的AADグループは推奨されない
条件付きアクセスでもつかえるぞ!
他
https://gyazo.com/46ef920095b9a2850575b2cc0844ddd0
Visual StudioでWorkskpace Trustがリリース
restricted modeで、.vscode内のタスクやDebuggerの実行を拒否できる
AWS
StepFunctionのビジュアルエディタ。かつる!
結局、まずはGUIポチポチやって、そのあとterraform importするから、これでいいんだよこれで。
Evern
nat gwのみとnat gw +vpc EP (if型) の損益分岐点は通信容量が100gbと1tの間
Google
Google CloudによるCloud Asset Inventoryとは。でも、Google CloudとAnthos限定か。
(Google Cloudの)資産一覧化、条件付きアクセスの分析、posture結果のUIを提供
Client-side encryption : Google Workspaceユーザー自信がファイルに使う暗号鍵を選択できるように。APIも近日公開する模様
なので、AWS KMS連携も可能そうだが、現時点では限られた鍵管理サービスとしか連携不可
trust rules for Drive: 新しいファイル共有方法ができた。詳細は不明
Drive Labels : ファイルに対する分類(ラベル)。それとDLPを連携して、ルールを設定できるようになった。逆に事前設定したDLPのルールに従って、自動分類もできるようになった
日本語だと、パスポート番号、運転免許証番号、個人番号、銀行口座番号が定義済みコンテンツ検出項目
グローバルだと、生年月日・名前・日付・電話番号・年齢・性別クレカなどなど
トラスト/ガバナンス
https://gyazo.com/a6fc45572a3b634a3b4c2bce9d59ed94
HWセキュリティ技術をつかって、プラットフォームagnosticに安全なコンテナデプロイを確立する手法'
コンテナワークロードというより、コンテナプラットフォームのHealthyさを確立させる話っぽい
起動時・ランタイム時の検証
ワークロードのデプロイ先を信頼できるプラットフォームのみにする手法
タグによる情報検証
徹底したUX・UIの改善と国民向けサービスの実現
デジタル社会の共通機能の整備・普及
包括的データ戦略
SWサプライチェーンの脅威管理フレームワーク
4つのレベルにわかれ、それぞれSource, Build, Provenance(Deploy?), Commonというカテゴリにわかれた要件がある
https://gyazo.com/bc61a0a4cc87156db1804fe69c036a17
ブロックチェーン/Confidential Computing
様々なSW/HWセキュリリティで応用可能なAPIがGateとして構成され、そのGateの向こう側にあるTCPスタックやGateといった区画を分離するOSの話
結論は、differencial privacyが直接防御策になっているわけではなく、differencial privacyが効果があることの多い、robustnessのある機械学習アルゴリズムが、結果的にdata poisningの緩和につながっているというもの
PsecはコントロールプレーンであるKPSを中心にし、ステートマシン間のIdentity鍵(マシンの本人確認鍵)とCapability鍵(通信時の認証鍵)でセキュアなやりとりを可能にする。
鍵交換はIntel SGX版DH => Sigma Protocol
脅威/脆弱性/インシデント
社内インフラでの脆弱性トップ10。ツールも乗ってる
弱いデフォルトパスワード
サポート切れVMWare ESXiハイパバイザ
パスワードの使い回し
不十分なNW分離
IPMIパスワードハッシュの公開
SMB1.0プロトコル
NetBIOS over TCP/IPが勇往になってる
パッチされてないWin
SNMPコミュニティのデフォ設定
平文プロトコル
さすがに全文は読めない....要旨だけ
起点は、ITチームも把握してないVPN
Compromisedされたパスワードを利用し、かつMFAも設定されていなかった
身代金支払いはColonialによる決断
The senators were concerned that the company did not immediately contact CISA, but instead called the FBI's Atlanta office
とあるので、米国のサイバーセキュリティ的にはCISAをまず呼ぶのが標準っぽい
金融
リテールもホールセールも調達案件が増加
MUFJとAkamaiが組んで作った決済インフラのポテンシャルが、既存の巨大な決済インフラを超えられるか
海外では用意な本人確認がとれない顧客の口座の凍結・解約は、日本では難しい
新規開設した口座が不正利用に使われやすい
行政/会社/団体
ツール/サービス/OSS
codevec であったようなmaliciousチックな挙動を検知するaqua製ツールtracee。eBPF。
もともとはランタイムなアプリ・システムをトレースして、イベントを分析、悪意ある挙動を分析する
サイドカー的にも使えそうだけど、本ブログではCI/CDパイプラインでの紹介をしている
CIパイプラインの中に例えば、8.8.8.8の53向けに、全ての標準入力をソケット経由で流すようなPtyhonスクリプトが、goアプリに混入していたりすると、検知したりする
オープンソースプロジェクトの依存関係をインタラクティブに可視化する
次の課題へのアプローチ
OSSは変化のスピードと量が多く、そのため変更を明確に管理できない
さらに依存先が依存してることもあり、実際に何に依存しているか全体像が把握できない
イベント/勉強会/発表資料
複数の鍵(リスト)を用いて署名検証といったあたりの関数があると捗ります。
↑は鍵の入れ替えの考慮
public safety(?)な組織向けのIDaaS概要資料
AALの考え方とかAuthenticatorの選び方が書いてある
Uberにおける脆弱性管理の効果測定をするメトリクス紹介
the health of the vulnerability management (VMH) = 1- VAC/AC
分母: Asset Capacity (AC)
分子: Vulnerable asset capacity (VAC)
最終的な計算ロジック
https://gyazo.com/b3f90b375bc3dcd80dfea3dc7b2b5aee
最後の # of vuls i had during these daysっていうのがよくわからなかった。読んでると計算式に反映されてなさそうな...
Uberはremediation targetを設けて、それを脆弱性と認められたときか減法してる。脆弱性管理の効果測定(health)なので、それでもいいのかも
いま金融系セキュリティが熱い by NTTデータ
対応主体は事業部。技術戦略推進部内にセキュリティチームあり。コアはNTT_CERT in 別本部。
あまり、インシデント自体は発生しない
金融事業推進部内で、内外勉強会、レビューなど
キャッシュレスの歴史
- 小切手。本人確認は利用者のサインまたは押印
- クレカ(初期): オーソリから決済まで手間がかかった
- クレカ(磁気ストライプ) 本人確認はまだ署名。セキュリティは向上してない。まだ要エンボス
- クレカ(ICカード):署名からPINへ
利便性と安全性向上してるけど、番号登用による不正利用が増えた。
キャッシュレスにおけるポイント付与形式がでたことでの、不正アカウント作成による自作自演取引で莫大なポイント
換金をするような不正もでてきた
SIerとしてのセキュリティ
- 開発PJの事情を踏まえた実行的統制
- 横断的連携を意識したインシデント対応(当局対応なども含む)
- 業界標準・動向を踏まえたシステム開発
- 実装まで見据えたコンサル
その他