忙しい人のためのセキュリティ・インテリジェンス No.42 - 2021/07/12
#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
今週のおすすめ/一言所管
Microsoft
AzureAD
Administrator roles by admin task in Azure Active Directory
AzureActiveDirectoryのタスクをキーにした、最小権限を持つbuild-in roleのマッピング
Pass the CA (Based Azure AD CA)
条件付きアクセスで、Device Platformによる条件っはUAの文字列から判断してるから、簡単にバイパスできるよって話
Azure AD ゲスト アクセス レビューを活用したゲスト ユーザーとの安全なコラボレーション
Defender
Microsoft delivers comprehensive solution to battle rise in consent phishing emails
フィッシングメール経由で、悪意あるアプリにOAuth2.0で認可を渡してしまう「Consent Phishing」の話
認証情報を奪取する必要はなく、すでに認証済みユーザーをフィッシングする
AzureADの場合、承認されたRPパブリッシャーで弱い権限の認可だけならユーザーにして、ほかは管理者が許可しないとできない、ということができる。
もちろん、管理者がフィッシングされたら死亡
そおもそもフィッシングメール自体はOutlookの機械学習である程度、フィルタされてるとのこと
あれ?stateは?と思ったけど、これはそもそもstateがないRPを攻撃者が作るケース
不審なTLDベースによるOAuthのりで入れくとURL探しをするクエリもかかれてる 
他にも、MCASなどを使ったベスプラがかかれてる
Sentinel
Sync-Sentinel-Incident-Comments-To-M365Defender
名前のまんま。センチネルのインシデントコメントをMDfEにコピーする Playbook
AzureDeploy.jsonとPlaybokがきになってきた
What’s New: Azure Sentinel Hunting supports ADX cross-resource queries
ADX(Azure Data Explorer)でクエリハンティングページ、livestreamページ、ログページが受けられるようになった。つまり、Log Analyticsに送らなくてよかった
Log Analytics - Open In Excel
名前通り
Azure Sentinel – How to Audit Management Groups
Azure SeninelだとデフォRoot management group
Sentinelにいれてるわけじゃなさそう?
Compliance
Announcing Universal Assessment Templates in Microsoft Compliance Manager
https://compliance.microsoft.com/ でコンプライアンス評価のテンプレが作れる
うーん、よくわからん。excelをテンプレとして各種アプリに対するコンプライアンスを定義できるみたいだが、その結果どうUIに表示されるかがわからない。
Intune/Windows10
Windows 365 Cloud PC系
[速報]マイクロソフト「Windows 365 Cloud PC」正式発表。Windowsをクラウドサービスとして月額定額料金で提供、デスクトップ仮想化をベースに
Windows 365 Cloud PC、一昨年のIgniteでやってたやつか? あのときからAzure(Windows) Virtual Desktopでいつブラウザから使えるようになるんだろ、って思ってたんだけど、別物だったのか...?
チュートリアル -> Get started with Windows 365
Azure Virtual Desktopとの比較 -> Windows 365 vs. Azure Virtual Desktop (AVD) – Comparing Two DaaS Products
テクニカルアーキテクチャ https://gyazo.com/bb1778f2b0ceb264537042c27d5b4591
Azure Virtual Desktopベースらしい
Admin Experience https://gyazo.com/c510992d967aad31ea6d3c890a84ade9
Win365は
Microsoft Endpoint Managerベースでシングルセッション
イメージの管理はない模様
ライセンスはWin10 E対応のライセンスが必要(Azure Subscriptionは不要そう)
オートスケールなし
他
AWS
Implement tenant isolation for Amazon S3 and Aurora
lambdaとtagを使ってs3やauroraのテナント分離をする方法
Lambdaはテナントのロールにassume roleして、row level security policy設定したauroraにつなぎにいくのか。おもしろ~い
How to defend against DNS exfiltration in AWS?
Route 53 Resolver DNS Firewallは特定のドメイン(グループ)やAWSが定義したmalicious domainsに対して、block/allow/alertを設定できる (resolverクエリログ設定をしたあとに)
が、これはAWSに提供されたDNSサービスに名前解決されたときで、そもそも名前解決先自体にカスタムDNSサービスが指定されこともありえる。そういう場合は NETWORK Firewall を使う
使い方がわかった気がする
asecurecloud
AWSのリソースや実装パターンごとに、リソースのパラメタをweb上で入力するとCloudFormationかTerraformのテンプレを出力してくれる
最高か?
https://gyazo.com/ca1c426ae022949d2073a734ef73172f
You are not logged in to https://gyazo.com
If you are already logged in, please enable 3rd party cookies in your web browser settings.
Google
Improving email security with BIMI
Brand Indicators for Message Identification (BIMI)がGmailでサポート
DMARCを設定する必要あり
Launching a new online community for Google Workspace admins
Google Cloud (含むWorkspace)の公式コミュニティ爆誕
トラスト/ガバナンス
ブロックチェーン/Confidential Computing
社会全体のDXに向けた切り札、コンフィデンシャル・コンピューティングの可能性を探る
なぜコンフィデンシャルコンピューティングが注目されるか
TEEのEnclaveでデータを秘匿化した状態で保管・処理する
クラウドベンダーなどの外部企業に社内の機密データや顧客の個人情報を預ける懸念
オペレーション的な統制から、技術的なデータへの安全性担保
脅威/脆弱性/インシデント
MITRE ATT&CK® mappings released for built-in Azure security controls
[Azureにおけるatt&ck
An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors
aptな攻撃の予防やログ(検知?)に現在のedrだと失敗しがちだよ、ついでにテレメトリも改ざんできちゃうよ、という論文
ちなみに一番よかったのはMDfEという結論
【検証】マルウェア「IcedID」の検知傾向と感染に至るプロセスを徹底解説
iceidがパスワード付オフィスファイル経由できた時のマクロ挙動と検知ポイント
Remote code execution in cdnjs of Cloudflare
Goのtar解く公式パッケージがパスの検証をしてないので、パストラバーサルな不正ファイル名をtarとして配信して、定期実行スクリプトを上書きできちゃうよ、って話
jsパッケージをホストするcloudflareのcdnがそれだったというブログ
著者の方は間違えてenvを読み込むpocを送ってしまって、cloudflareのインシデントをトリガーしちゃったけど、それはまた別の話
cloudflareはpocによるenv読み込みをちゃんと検知して報告前にインシデントレスポンスを開始してた模様
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた
SolarWinds Serv-Uにあるsshに0-day exploitがあり、インターネットフェイシングだとやられがち。その際の検知用キーワードやクエリ、及びIOcがが明記されてる
当社(塩野義製薬株式会社)グループ会社に対するサイバー攻撃の調査結果と再発防止策について
塩野義製薬株式会社の子会社より、従業員情報が漏洩
TwitterによるとKaseya VSAのREvilかもしれないとのこと
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた
RMmのkaseya vsaのゼロデイ経由でrceされた話。被害範囲、時系列だけじゃなくiocから被害案内メールのフィッシングまで含んだブログ
ちなみにゼロデイとはいえ、セキュリティベンダーが既に報告したものであったとのこと
DOM Invader触ってみた
DOMベースのXSSテスト支援
サイトのDOMを解析し、Javascriptのソースとシンクをツリービュー
Http Postのことかわからないけど、postMessage による通信を傍受し脆弱性テストを行う
DOMベースのXSSがないので、シンク がどういう意味がわかってないが、それによる重大度・検出の信頼度合いが、解析結果として表示される
RISK VULNERABILITY ASSESSMENT (RVA) MAPPED TO THE MITRE ATT&CK® FRAMEWORK
CISAが感知した各種攻撃とMITRE ATT&CKのマップ
https://gyazo.com/8a953c260ac76daec79b9f32c777e5be
top緩和策は以下の通り
ソフトウェアアプデ、AVアプデとマルウェアの隔離、不要プログラムの削除かアクセス制御、ネットワーク侵害対策、論理・物理NWセグメンテーション、パスワードポリシー、PAM、IAM、トレーニング、App Dev
金融
境界なき金融(下) 日本、気づけばガラパゴス
日本の銀行APIは銀行によってAPIの仕様が異なり、スケールしにくい。
(銀行によっては)セキュリティ維持のためにベンダーに多額の運用費用をはらってるので、タダ乗りされる意識もある(理解できる)。
じゃけん、「規制官庁に音頭をとって」くり〜
勿論、セキュリティチェックの標準化もよろしく
運用会社の預かり資産100兆ドル超
世界的に増えてる模様。債権商品とMMFが貢献。ETFは20%、オルタ投資も11%増加
直接金融 テックのススメ
オンラインで中小規模が社債による資金調達をしやすい私募(勧誘50人未満)サービスの提供。株式は希薄化問題や公募はなかなかバランスが難しいので、小口の電子的権利販売をしてコストを減らそうぜ、という話
米国におけるフィンテック企業の銀行業参入に向けた規制整備
米国フィンテックは、顧客基盤の広がりと成長からフィンテック専用の業務が限定される国法銀行ライセンスから、通常のライセンスの取得に移行してるよって話
行政/会社/団体
ツール/サービス/OSS
JWTweak - Detects The Algorithm Of Input JWT Token And Provide Options To Generate The New JWT Token Based On The User Selected Algorithm
jwtのalg周りの脆弱性支援ツール。入力されたjwtを読み取って、任意のalgをしたjwtを再生成する
Ransomwhere
ランサムウェアで払った仮想通貨市場(ビットコインのみ?)のアドレス追跡ツール。ファミリーでフィルタ可能
passiveDNS
passive dnsウェブアプリ。dnsレコード変更を検知
projectdiscovery/cloudlist
PaaSからIPとホスト名を洗い出す。
gcp, aws, digital ocealをサポート。azureはtodo に入ってる
uber/astro
Terraform実行を複数走らせたり、安全なテラフォアプデ機能を提供をしたり、パスで区切ったテラフォ実行管理てくれるUberのOSS
Hosted Redash End of Life
app.redash.io でホスティングされるRedashサービスが終了。買収先のDatabricks SQLを使えとのこと...
データは2021/11/30にサービス終了後、㉚日後に削除されるとのこと
Code Patterns for API Authorization: Designing for Security
認可パターン: ad-hoc, ルーティングベース、中央化、オブジェクト(エンティティ)ベース
イベント/勉強会/発表資料
What I Have Learned From Doing A Year Of Cloud Forensics In Azure AD
取得して抽出すべきログ
Lambda+Zendeskで問い合わせチケットの添付ファイルをS3に安全に移動する
Impact, Ownership, Decision Making
Dropbox Engineering Career Framework
DropBoxのエンジニアキャリアフレームワーク
SWE ML, Eng Manager, Security , SRE, QAのそれぞれの職位(lv2~6)でどう言うことが求められるかが明記。
具体的には下記の5つの分野における期待される行動(カッコ内)が定義
結果 (Impact, Ownership, Decision Making, Operational Excellence)
方向性 (Agility, Innovation, Strategy)
タレントmgt (個人の成長、採用、タレント開発、組織計画)
文化 (collaboration, org health, コミュニケーション)
技術 (こーディング、設計、swデザイン、技術戦略)
その他
Moat攻略方程式: スタートアップが既存サービスを超えるために
既存マーケットにおける参入障壁を超えるためにヒト・モノ・カネとトキ(時)で分析
Dropbox Engineering Career Framework