忙しい人のためのセキュリティ・インテリジェンス No.42 - 2021/07/12
今週のおすすめ/一言所管
Microsoft
AzureAD
AzureActiveDirectoryのタスクをキーにした、最小権限を持つbuild-in roleのマッピング
条件付きアクセスで、Device Platformによる条件っはUAの文字列から判断してるから、簡単にバイパスできるよって話
Defender
フィッシングメール経由で、悪意あるアプリにOAuth2.0で認可を渡してしまう「Consent Phishing」の話
認証情報を奪取する必要はなく、すでに認証済みユーザーをフィッシングする
AzureADの場合、承認されたRPパブリッシャーで弱い権限の認可だけならユーザーにして、ほかは管理者が許可しないとできない、ということができる。
もちろん、管理者がフィッシングされたら死亡
そおもそもフィッシングメール自体はOutlookの機械学習である程度、フィルタされてるとのこと
あれ?stateは?と思ったけど、これはそもそもstateがないRPを攻撃者が作るケース
不審なTLDベースによるOAuthのりで入れくとURL探しをするクエリもかかれてる
他にも、MCASなどを使ったベスプラがかかれてる
Sentinel
名前のまんま。センチネルのインシデントコメントをMDfEにコピーする Playbook
AzureDeploy.jsonとPlaybokがきになってきた
ADX(Azure Data Explorer)でクエリハンティングページ、livestreamページ、ログページが受けられるようになった。つまり、Log Analyticsに送らなくてよかった
名前通り
Azure SeninelだとデフォRoot management group
Sentinelにいれてるわけじゃなさそう?
Compliance
うーん、よくわからん。excelをテンプレとして各種アプリに対するコンプライアンスを定義できるみたいだが、その結果どうUIに表示されるかがわからない。
Intune/Windows10
Windows 365 Cloud PC系
Windows 365 Cloud PC、一昨年のIgniteでやってたやつか? あのときからAzure(Windows) Virtual Desktopでいつブラウザから使えるようになるんだろ、って思ってたんだけど、別物だったのか...?
テクニカルアーキテクチャ https://gyazo.com/bb1778f2b0ceb264537042c27d5b4591
Azure Virtual Desktopベースらしい
Admin Experience https://gyazo.com/c510992d967aad31ea6d3c890a84ade9
Win365は
Microsoft Endpoint Managerベースでシングルセッション
イメージの管理はない模様
ライセンスはWin10 E対応のライセンスが必要(Azure Subscriptionは不要そう)
オートスケールなし
他
AWS
lambdaとtagを使ってs3やauroraのテナント分離をする方法
Lambdaはテナントのロールにassume roleして、row level security policy設定したauroraにつなぎにいくのか。おもしろ~い
Route 53 Resolver DNS Firewallは特定のドメイン(グループ)やAWSが定義したmalicious domainsに対して、block/allow/alertを設定できる (resolverクエリログ設定をしたあとに)
が、これはAWSに提供されたDNSサービスに名前解決されたときで、そもそも名前解決先自体にカスタムDNSサービスが指定されこともありえる。そういう場合は NETWORK Firewall を使う
使い方がわかった気がする
AWSのリソースや実装パターンごとに、リソースのパラメタをweb上で入力するとCloudFormationかTerraformのテンプレを出力してくれる
最高か?
https://gyazo.com/ca1c426ae022949d2073a734ef73172f
If you are already logged in, please enable 3rd party cookies in your web browser settings.
Google
Brand Indicators for Message Identification (BIMI)がGmailでサポート
DMARCを設定する必要あり
Google Cloud (含むWorkspace)の公式コミュニティ爆誕
トラスト/ガバナンス
ブロックチェーン/Confidential Computing
なぜコンフィデンシャルコンピューティングが注目されるか
TEEのEnclaveでデータを秘匿化した状態で保管・処理する
クラウドベンダーなどの外部企業に社内の機密データや顧客の個人情報を預ける懸念
オペレーション的な統制から、技術的なデータへの安全性担保
脅威/脆弱性/インシデント
[Azureにおけるatt&ck
aptな攻撃の予防やログ(検知?)に現在のedrだと失敗しがちだよ、ついでにテレメトリも改ざんできちゃうよ、という論文
ちなみに一番よかったのはMDfEという結論
iceidがパスワード付オフィスファイル経由できた時のマクロ挙動と検知ポイント
Goのtar解く公式パッケージがパスの検証をしてないので、パストラバーサルな不正ファイル名をtarとして配信して、定期実行スクリプトを上書きできちゃうよ、って話
jsパッケージをホストするcloudflareのcdnがそれだったというブログ
著者の方は間違えてenvを読み込むpocを送ってしまって、cloudflareのインシデントをトリガーしちゃったけど、それはまた別の話
cloudflareはpocによるenv読み込みをちゃんと検知して報告前にインシデントレスポンスを開始してた模様
SolarWinds Serv-Uにあるsshに0-day exploitがあり、インターネットフェイシングだとやられがち。その際の検知用キーワードやクエリ、及びIOcがが明記されてる
塩野義製薬株式会社の子会社より、従業員情報が漏洩
TwitterによるとKaseya VSAのREvilかもしれないとのこと
RMmのkaseya vsaのゼロデイ経由でrceされた話。被害範囲、時系列だけじゃなくiocから被害案内メールのフィッシングまで含んだブログ
ちなみにゼロデイとはいえ、セキュリティベンダーが既に報告したものであったとのこと
DOMベースのXSSテスト支援
サイトのDOMを解析し、Javascriptのソースとシンクをツリービュー
Http Postのことかわからないけど、postMessage による通信を傍受し脆弱性テストを行う
DOMベースのXSSがないので、シンク がどういう意味がわかってないが、それによる重大度・検出の信頼度合いが、解析結果として表示される
CISAが感知した各種攻撃とMITRE ATT&CKのマップ
https://gyazo.com/8a953c260ac76daec79b9f32c777e5be
top緩和策は以下の通り
ソフトウェアアプデ、AVアプデとマルウェアの隔離、不要プログラムの削除かアクセス制御、ネットワーク侵害対策、論理・物理NWセグメンテーション、パスワードポリシー、PAM、IAM、トレーニング、App Dev
金融
日本の銀行APIは銀行によってAPIの仕様が異なり、スケールしにくい。
(銀行によっては)セキュリティ維持のためにベンダーに多額の運用費用をはらってるので、タダ乗りされる意識もある(理解できる)。
じゃけん、「規制官庁に音頭をとって」くり〜
勿論、セキュリティチェックの標準化もよろしく
世界的に増えてる模様。債権商品とMMFが貢献。ETFは20%、オルタ投資も11%増加
オンラインで中小規模が社債による資金調達をしやすい私募(勧誘50人未満)サービスの提供。株式は希薄化問題や公募はなかなかバランスが難しいので、小口の電子的権利販売をしてコストを減らそうぜ、という話
米国フィンテックは、顧客基盤の広がりと成長からフィンテック専用の業務が限定される国法銀行ライセンスから、通常のライセンスの取得に移行してるよって話
行政/会社/団体
ツール/サービス/OSS
jwtのalg周りの脆弱性支援ツール。入力されたjwtを読み取って、任意のalgをしたjwtを再生成する
ランサムウェアで払った仮想通貨市場(ビットコインのみ?)のアドレス追跡ツール。ファミリーでフィルタ可能
passive dnsウェブアプリ。dnsレコード変更を検知
PaaSからIPとホスト名を洗い出す。
gcp, aws, digital ocealをサポート。azureはtodo に入ってる
Terraform実行を複数走らせたり、安全なテラフォアプデ機能を提供をしたり、パスで区切ったテラフォ実行管理てくれるUberのOSS
app.redash.io でホスティングされるRedashサービスが終了。買収先のDatabricks SQLを使えとのこと...
データは2021/11/30にサービス終了後、㉚日後に削除されるとのこと
認可パターン: ad-hoc, ルーティングベース、中央化、オブジェクト(エンティティ)ベース
イベント/勉強会/発表資料
取得して抽出すべきログ
Impact, Ownership, Decision Making
DropBoxのエンジニアキャリアフレームワーク
SWE ML, Eng Manager, Security , SRE, QAのそれぞれの職位(lv2~6)でどう言うことが求められるかが明記。
具体的には下記の5つの分野における期待される行動(カッコ内)が定義
結果 (Impact, Ownership, Decision Making, Operational Excellence)
方向性 (Agility, Innovation, Strategy)
タレントmgt (個人の成長、採用、タレント開発、組織計画)
文化 (collaboration, org health, コミュニケーション)
技術 (こーディング、設計、swデザイン、技術戦略)
その他
既存マーケットにおける参入障壁を超えるためにヒト・モノ・カネとトキ(時)で分析