忙しい人のためのセキュリティ・インテリジェンス No.41 - 2021/07/05
今週のおすすめ/一言所管
AzureADのProvisioning agentがpreviewリリース。これはゲームチェンジャーな可能性あり。ただそのためにはazure ad管理者がちゃんと開発者と連携取れないと厳しい
SPIFFEとSPIRE、OPA-Envoy、Conftest-Terraformを出しました。自分はconftestを担当しました。是非ご検討ください
ボリューミーなブログ。全体デプロイ時の方法から、securityhun/configの検知イベント通知など盛りだくさん
Microsoft
AzureAD
SQLをデータストアに使ったり、SCIMをサポートするアプリケーションにAzureAD情報をプロビジョニングする機能がpreview
現時点ではinvitationオンリー
これはクル、がAzure AD Provisioning agentがWindows Serverのみだったら辛い
プロビジョニングログのGA
プロビジョニング時にデータ変換できるのしらなかった
Defender
Defender AVの回避テクニック(要Local Admin) :
Defender AVの無効化
例外(exclusions)の設定
ディレクトリ、プロセス、拡張子
シグネチャの削除
NetworkProtectionの監査モードへの変更
Script Scna、Realtime protection、Microsoft Active Protection Service (MAPS)、Controlled Folder Access。IOAV の無効化
検知クエリ
Sentinel
Compliance
Intune/Windows10
MacOS上のMDfEセッティングがサポート
Intune App SDKをつかってBoxのファイルをIntune App protection policies配下に置く話
他
AWS
VisionalのマルチAWSアカウント運用ガードレール事例...ってタイトル通り
参考になる。
ガードレールのAWSリソースのデプロイ方法、各種ガードレールリソース(SCP, SecurityHub, Config, Trusted Advisor)内の設定および、その集約・通知方法の知見が共有されてる。超ありがたい
ボリュームのでかいブログなので心して読むべし
AWS SSOはDevice Code Authenticationサポートしてるから、攻撃者がフィッシングサービスをホスティングしていて、そこから正当な(被害者のAWS SSOのURL)Authorization Flowを開始されて、device authz URLをのっけたフィッシングをされると、被害者のトークンが渡っちゃうよって話
security groupにidとタグがつくぞ!
これterraform aws providerの対応たいへんじゃね?
Google
Open Source Vulnerabilities (OSV) DBにGo, Rust, Pytho, DWFが追加
また、脆弱性情報の交換(interchange)スキーマを作成。今まで、OSSにおける脆弱性情報でなかったversionやパッケージ名での照合が可能に。
トラスト/ガバナンス
RSA/ECDSA署名、署名フォーマット付き署名(例JWS)、先進署名フォーマット(AdES)、欧州 適格電子署名/欧州 適格eシールがそれぞれどこまで、署名者の正当性・本人性を担保するか解説
署名フォーマットの推奨オプションおよびオプション値(基本要素)を定義するプロファイル
ブロックチェーン/Confidential Computing
脅威/脆弱性/インシデント
KaseyaエージェントがAVに引っかからないように公開してる、Kaseya系フォルダパスとexeファイルのリスト
フォルダパスは特に Exclusion リストと言い切ってしまっている
Jenkinsfileを使ったCICD構築してるとWrite Permissionなgithub権限を取得されると、Jenkinsfile改ざんされて任意のコード挿入されちゃうよ(ブログ内ではGCPのSAを取得する)って話
ソリューションとしてはseed jobで毎回SAを作成・削除する手段をとってる
Hashicorp Vault使おうとも提案
金融商品取引法上の重要事実に該当するものは現在まで確認されていません
URLロジックを推測・解析するだけでダウンロードできたとのこと
色々なとこで、それは「不正アクセス」ではない、と言われておる
金融
受益証券発行信託スキームによるSTO公募開始
ブロックチェーン基盤「Programat」でCordaを採用
引受人(証券会社)の資産裏付型 STの保護預りって何やるんだろう
https://gyazo.com/f3057b360e0b515f4463a8cd57501547
納税手続きを電子化
UFJが自治体の税公金の収納業務から撤退したように、納付書類を仕訳・集計・送付する銀行側も、それを受理して照合する自治体もコストが大きい。
その流れが共通納税システムにより自動化される
行政/会社/団体
ツール/サービス/OSS
350のウェブサイトからユーザーネームでプロファイルを見つけるOSINTツール
各サービスブランド毎の主サービスにおける顧客をねらった攻撃に対するセキュリティ対策が掲載されてる
掲載の仕方が勉強になる
イベント/勉強会/発表資料
ポチポチおしてくとForensicしたい対象のリソース(memory, disk)からOSを選ぶツリーができて、最終的に適したツールを表示してくれる
LayerX InvoiceはRedashを使ってデータに関するコミュニケーションを効率化たり、データ不正合を監視してるるよって話
ヘルススコアが気になる。
ヘルススコアはDEARフレームワークやNorth Star MetricsというものからKPIを逆算することもあるらしい
Redash、強力ダネ
PMまでの流れ
業種Aの業務1はこうすれば楽になる、などの仮設
業務の観察
仮設の言語化と顧客への確認
プロトタイプ作成(はりぼてや紙芝居などでおk)。3日が目処
プロトタイプを見せる -> ヒアリング(多数)
一番上に戻る
Jamf ProでGoogle管理画面からトークンをもってきてProfile配布すれば、Chrome Enterprise登録下になるよ!って話
ChromeのProfileをUEMで投げてる場合の利点がいまいちわかってない
Google Workspaceの管理上からポリシーを配布できるので、そのために登録が必要なのだろうか
自分の場合は上記をせずとも登録下になってた。しかし、UEMで配布するProfileではその様な設定をいれてない気がするので、何がトリガーかは謎
Google Workspaceアカウントで登録してるとそうなる?
Google Workspace上からの管理とUEM上からの管理は競合するので、どちらかに寄せないといけない。
OSプラットフォームによってUEMの構成が変わるから、Google Workspaceでやるほうが筋はいいか?
ただ、その場合、「何がトリガーでブラウザが管理下に置かれるか」わからないと厳しい
Google Workspaceアカウントによるログインなのか、それとも上記のやり方によるトークン配布なのか。
前者だとシンプルなので嬉しい
その他