忙しい人のためのセキュリティ・インテリジェンス No.44 - 2021/07/26
今週のおすすめ/一言所管
Microsoft
AzureAD
Defender
LiveResponseにより情報を収集したり、スクリプトを実行したりする機能
現在はWinのみ
Sentinel
MCASでAPIトークン作成によるアラート検知を、HTML table作成をし、mailで送るplaybookをAnalyticsでは知らせる
いまいちアラートとインシデントの違いが...
Compliance
Intune/Windows10
AAD Graph APIと(policyがない前提で)デバイスをIntuneに登録する
前者はできたりできなかったりするみたい
他
AWS
Google
Google WorkspaceのAlert Centerにドメイン、添付ファイルハッシュ、IPアドレスがついた場合、Virus Totalウィジェットが開けるよになった
VirusTotalに課金してる場合は、IOCやRule/Sigmaからの検知、In-the-wild情報などのデータが加えられる
GoogleからVirusTotaleへは情報は送られないらしい
セキュリティ関係のヘッダを一覧にした記事
機微なデータを扱う場合: CSP, Trustd Types
全サイトに推奨するヘッダ: X-Content-Type-Options, X-Frame-Options, CORP, COOP, HSTS
アドバンスド: CORS, COEP
トラスト/ガバナンス
FATFによる対日審査結果は継続的な本人確認や取引管理が不十分
海外送金の取引内容などがしょぼいってこと
また、実質的支配者の情報入手の体制にも課題とのこと
こっちのが根が深い気がするが...
要は重点フォローアップ国
ニュージーランド政府に「Identification Management Standards(アイデンティティ管理基準)」が新設
NISTSP800-63-3のニュージー版
BA「バインディング保証」がsomething new
AuthenticatorとEntityの紐付け強度。確かに?
IA(IAL)も必ずしも対面を要求事項とはしてない
犯罪収益移転防止法 施行規則 第六条のリ・ホ・へ・ワともマッピングされてて便利
rungさんのやつ
OPADataサーバーとOPAサーバーを分離してるらしい
全部Cloud Serverで動いている
OPAポリシーからビルドインhttpをつかって叩く
It uses OPA Package in Go のItってなんだろ?OPA Policyサーバー?
OPAサーバーがdecisionサーバー で、OPAデータサーバーは次の話っぽい
GitOpsでデプロイ
ブロックチェーン/Confidential Computing
決済サービスを提供する事業者が狙われる不正アクセス事件が起きているが、トラブルの原因究明や取引の追跡が難航していたと伝えられたのは記憶に新しい。上記の3つの機能を分散して提供することを前提にした「取引履歴を適切に記録する機能」がなかったことが一因と考えられる。
これはどうかな、、、といいつつ
取引履歴を決済ビジネスをてがける参画者間で共有したいけど、ただ単に共有すると秘密にすべきことまで共有されてしまう。それを担保した上で共有されれば、公証機能や監査機能に発展できる
という意味で、不正アクセスにおける「取引の追跡」において、決済ビジネスが連携されることは望ましい
脅威/脆弱性/インシデント
読んでて????となる記事
GMOペパボのセキュリティチームの取り組み
色々やってそうだけれでも、SSsbotによるGFIRが良さげ
対応チャネルの作成
初期対応チームのinvite
インシデントの通知 to 複数チャネル
Issue作成(記録), 対処後のPRの作成
金融
行政/会社/団体
ツール/サービス/OSS
公式のtfsec
イベント/勉強会/発表資料
SIEMによるtaxonomyやイベントの正規化ってそもそも死んでたんじゃないのという記事
イベントやログソースに対して一貫性や、SIEMベンダー間での一貫性もないことが根拠
それに加えて、AI/MLがでてきて、結局 cleanで構造化されたデータ の必要性が2020でも叫ばれているから
その他