忙しい人のためのセキュリティ・インテリジェンス No.40 - 2021/06/28
今週のおすすめ/一言所管
Microsoft
AzureAD
Defender
MDfE、LinuxサポートがGA
Red Hat, Ubuntu, CentOS, SUSE, and Oracleが対象。 Debianがcoming soon
Sentinel
Query packによるクエリのパッケージ化。ARMオブジェクトなので権限等もつけやすいよ
mcasとsentinel連携を確認するためのテスト手法。mcasのトークンを作るだけ。
アラートをグルーブ(ip, host account)する事でインシデントを抑制する
sentinelの非公式トレーニング。仮データの投入から実際のツール利用方法までレクチャー
新しい検知ルールが提供されたときに通知する仕組みが公式にない
だからlaybook作ったお
Compliance
Intune/Windows10
Endpoint Analytics/Proactive Remediationを使ったスクリプトのデプロ胃、付与するAPIの設定, 定期実行するためのAutomation account作成が一覧化されてるので、色々参考になりそう
他
AWS
access analyzerがconditionをチェックするように
aws公式のタグ管理アプリ。よさそう
cfスタックなのでいらないと思われるコンポーネントもある
AwS samがGitHub action化
AWSのシステムデザイン時のデザインドキュメントにいれる項目
参考になる
https://gyazo.com/96272324589b0e270cf243015459555e
Google
トラスト/ガバナンス
違いが簡潔にまとめられてある
金融庁による(PwCが作成した)ゼロトラスト調査報告書
ぱっとみ、IPAの「ゼロトラストという戦術の使い方」みたいな章立て。トラストアルゴリズムの設計と継続的な改善がちっと面白かった
ブロックチェーン/Confidential Computing
脅威/脆弱性/インシデント
テックサポートを装うフィッシング攻撃があるけど、そもそもMicrosoftから直接聞きにいくことはねーからとアピール。
サポートに聞きに行く前にまず再起動しろ、大体直るから、って公式podcastで言うの面白い
CISAがサイバーセキュリティにおけるバッドプラクティスリストを作成中。
現時点では、次があげられている
1) EOLを迎えたりサポートされてないソフトウェアの利用
2) デフォ・弱いパスワードやクレデンシャルの利用が
検知的な意味では正当でないワークロードの実行も見る必要がある。でも、攻撃者はなんでわざわざ仮想サーバ立てたんだろ
2019年9月12日:攻撃者がマルウェア「Sunspot」を使って、Orion Platformをビルドするための一時的な仮想マシンにマルウェアのテストコード
金融
貯蓄から投資へ、が謳われた頃から時間も経ってるし、その理論と目的の再構築が必要なんちゃう?という記事。
米金融機関はオフィス出勤復帰の流れ。ワクチン接種も摂取状況の提出のみだったり、摂取が義務化されたりなど様々
市場の万人である証券取引等監視委員会
が、最近、摘発件数もさがっている。その要因は若手不足、検察とのライバル関係からの弱体化、敗訴率の増加
国際組織「金融活動作業部会」(FATF)の審査で、日本が実質的な「不合格」となった
観察対象ではなく、重点フォローアップ
行政: マネロン系違法行為の罰則厳格化や、行政によるマネロン対策検査などに課題
金融機関: 顧客情報や取引内容などの継続的な顧客管理、キャッシュレス決済など業態に応じたリスク対応
うわああ。厳しくなるぞ...
行政/会社/団体
東京都の税収がインタラクティブにダッシュボード化されてる
法人事業税の決算額推移が、業種別所得金額の総計にあわないような...
Microsoft BIで作られてる
行政のサービス・業務改革に伴う政府情報システムの整備及び管理の共通ルール・ガイドライン
ここに「行政サービス・データ連携モデル」が追加
ツール/サービス/OSS
GitHubのCode ScanとCodeQLが全言語を対象に。
分析時はまずコードをもとにしたCodeQL DBが生成され、それがCodeQLにクエリされる
分析時の情報が提供されるようになった
例: コード内の行数う、データベースに使われた行数、そのうち自動生成や外部ライブラリの行数等
SHALO AUTH。SSH/VPN接続にも使える。ちょっと気になる
Yubikeyは4つだしな....
g workspace のオフィシャルなTerraform Provider
IdPとのプロビジョニング統合は弱い(特にグループ)気がするのでありがたい
Providerを見たところ基本的にUserやGroupの作成
セキュリティ系オープンデータセットプロジェクトだっとMordorが名前をSecDatasetsに変更
GitHub action のnodeセットアップがyarnとnpmのキャッシングをサポート。ええやん
イベント/勉強会/発表資料
NIST-SP800-207をベースに、各種構成要素(サービス製品群?)とパターン別実装ケースが紹介されてる
Goで並列処理を使ったワーカープールオーケストレーションを実装するデザイン
ニュースレター登録機能をgoで作る。テストあり。フロントはAdd newsletter signup
Kanmu社のDB設計と戦略
とても勉強になる
ざっくりとしたオーソリとクリアリングの流れ
それに応じたテーブルとSchema
残高テーブルを独自に用意しなかった背景と、残高算出クエリとパフォーマンス比較
データ量が増えたときの戦略
その他