忙しい人のためのセキュリティ・インテリジェンス No.43 - 2021/07/19
今週のおすすめ/一言所管
個人的には7章〜9章周りが有り難かった。GDPRなどの一次情報は勿論よんだけど、背景やら達成したいことを上手く像にできなかった。この本は平易な文章で具体 <-> 抽象のレイヤーを円滑に行き来してるので、すっと理解できた
Microsoft
AzureAD
AzureAD B2Cでのself-service sign-upがフレキシブルに...!って思ったけど、大体前とかわらなくないか?
マイクロソフトがpamソリューション?のcloudKnox買収
マルチクラウドへの自動でシンプルなアクセスポリシー適用(人やサービスプリンシパル)
シグナルベースの異常検知
既存のpamがどうなんやろ
azureadでAAL1-3をクリアするにはどう実装するのか。
Defender
Sentinel
Watchlists Logic App Connectorの使い所.
UpdateもAddも同じらしい
watchlistの名前がわかりにくい...
allowlistもblocklistもwatchlistの範囲なんかい
LAQueryLogsというテーブルが過去実行したクエリをデータとしてもってる
Log Analyticsでオンにしないとだめ
Compliance
Intune/Windows10
他
AWS
検査レベル: IaCの文法が正しいか(構文) -> ルールに沿っているか(ヒューリスティック検査) -> 意味論 -> (適用後の検出)
意味論例 in AWS
IAM Access analyzer; 過剰アクセス権限の検出
単なる命題論理だけでなく、特定の理論に関してもソルががなくてはならない
SAT から SMTへ
AWSでは、ZelkovaやTriosがSMTソルバベースの検査機
Semantic-based Automated Reasoning for AWS Acess policies using SMT
レートベースでこれ設定しとけWAFルール
blanket rate-based: 単一のソースIPからの予防。知らなかった
それを、HTTPフラッド、特定URI、悪意ある送信元IPでルールを作るのが重要
...をAthenaで分析してルールを作成するって話か...
Athenaつかいにくい
Google
トラスト/ガバナンス
Identity FederationをPSO(PublicSafety Organization)に解説するレポート
Federationのプロトコル、各登場人物の責任から、Trust Framework, 伝送時のセキュリティ, Assurance Levelに加え、SAMLとOIDCの解説がされている
データのコントロール的側面を意味する用語法で使っている人がいますが、欧州でもそのようには、使われなくなってきているので注意
もともとはフランスのシンクタンクの言葉(法律的根拠があったわけではない)
個人のデータコントロールより、「国家としての安全保障であり、国家が国家として独立して行動するための能力」じゃないの?という話
そのために必要な技術的主権は、次の3つ
コンピューティングパワー、データの管理、安全な接続性
欧州におけるデータは、天然資源と同様に公共財として整理されている
国民国家が自国の領土にあるデジタルインフラや国民のデータをコントロールできること
結論ワロタ
「デジタル主権」や「データ主権」において、何が正しいかというのは、ほとんど意味がないということになるのかと思います。なので、むしろ、分析としては、自分がどのような定義のもとで、何を議論するのかをはっきりさせて論じるのが必要、当然にみんな理解しているだろうという
GitHubのsupply chain securityにGo Moduleがくみこまれたよって話
あわせて、改めて以下の機能がどんなもんおか解説
Advisories, Dependency graph, Dependabot alerts, Dependabot security updates
オープンソースプロジェクト向けの、シンプルなガバナンスフレームワーク by GitHub
考慮する要素増えたけど、個人OSSANだと1:Nでissue対応とか大変だよね、、、
リポジトリをみると、org-docs とproject-docs にわかれていて、どう意思決定を誰が効かせるか、というものが英文で用意されてる
https://gyazo.com/6413dc8ff079f07123201755cf0ce0dc
ブロックチェーン/Confidential Computing
Googleからのconfidential computingとは何ぞや記事
脅威/脆弱性/インシデント
APT40に対する各種ニュース
交換された情報のセキュリティ。つまり交換された情報の特定や、同意におけるべスプラとかの話
他人のアカウント不正アクセスのうち識別符号窃用型では、フィッシングが大多数を占める。
むしろ去年の検挙数1件だけなら、どんな要因で検挙数が増えたのか気になるな
その後はインターネットバンクにおける不正送金が変わらずトップ。
ショッピングの不正購入は大幅に下落
NISTによる軽量な暗号標準化プロセス。
全然わからないけど、さすがに量子暗号アルゴリズムはなさそうだった
広告の出稿を全面的に一時休止し広告費が削減された結果(中略)増益となる見込み
2021における最も危険なSWウィークネス トップ25 by CWE
システム掌握が可能だけど、発見しやすいリスト
去年と比べて、次のweakness が成長著しいのは要チェック
Missing Authentication for Critical Function
Deserialization of Untrusted Data
Incorrect Default Permissions
オリンピック関連のpdfと見せかけたワイパーの話
大まかに以下の流れ
パス名やマルウェア解析ツールのプロセスを確認して解析環境でないか確認
users/username配下を削除しつつ裏でアダルトサイトにアクセス
自身を削除
不自然に映るほど様々なアンチデバッグを寄せ集めて作ったように見え、まるで対応者の解析能力をはかるCTFの検体を模倣したもののようにも感じます
ランサムキャンペーンまんとネゴって支払うまで
金融
リバースレポに見られるように、FRBが資産購入により市中に提供した資金が、融資から社債にシフトしつつあるデットファイナンス市場において敬遠され始めて、短期的にfrbに逆戻りしてるよって話
行政/会社/団体
ツール/サービス/OSS
各種セキュリティ関連のAPIリスト
商用のもふくまれてたり、製品のmgtAPIだったりするので、ほぼほぼただのリスト
知らなかった。コンテナ署名
WebアプリにおけるDNSの脆弱性チェックツール
...分析サーバーをauthoritativeにすんのハードル高くない?
そのまんま
下記に関する各種ツールがあります
Maps, Geolocation and Transport
Social Media
Domain/IP/Links
Image Search and Identification
CryptocurrenciesMessengers
Code
Search engines
Passwords, emails, phone numbers
Datasets
Archives of documents
People search
イベント/勉強会/発表資料
Dashboardをインシデント検知や兆候を拾うために使うんじゃなくて、SLOが満たされない時にはじめてDashboardを使い(うことを検討し)ましょう。。。という話
Owaspのウェブセキュリティテストガイド。セッションマネジメント一つでもクッキーのどの属性を調べろとか、ブラウザ拡張やプロキシはこれ使えとか、rfcはこれ見ろとか非常に詳しい
1年間SREチームとしてやったこと。
load testingとchaos engineer がいい
chaos engineeringはこの場合、意図的なk8sのリソースfailure engineer
セキュキャン全国大会のWebブラウザを作る内容
正規表現が渋い
MySQLはインデックス周り
テスト周り
テスト自動化
Unitテスト: 関数やメソッドなど、最小単位のプログラムに対するテスト
環境作成: 不要
例: 関数にユーザー名とパスワードを渡してエラーになるか
結合テスト: 機能に対するUIを用いないテスト
環境作成: APIが動作する環境、ユーザーデータ
例: APIにユーザー名とパスワードを渡してエラーになるか
E2Eテスト: ユーザー操作にもっとも近い、UAを使ったテスト
環境作成: APサーバー、アーカイブ、ユーザーデータ
例: ブラウザから入力してエラーがデルことを確認
その他
slack apiがトークンローテーションに対応したっぽい