忙しい人のためのセキュリティ・インテリジェンス No.45 - 2021/08/02
今週のおすすめ/一言所管
今週から「トラスト/ガバナンス」の項目を「トラスト/ガバナンス/Supply Chain」にしました。もしかしたらnotionに移行するかもしれません。
Microsoft
AzureAD
元々、groups, Teams, app roles, and site rolesをaccess packageとしてリクエスト対象とすることが可能
本sod機能はリクエスト前にユーザーを検証する
Defender
Sentinel
ユーザーリスクやsign inリスクなどのidentity protection周りのログをlog analyticsにとかstorageに送れるように。event hubにも送れるぞ。
↓をしたいときの、deploymentステップバイステップ
https://gyazo.com/11beec1e269f56345e437e558853dae6
MSTICPyが実はなんなのかわかってなかったけど、ちょっと実像ができてきたので、そろそろいじってみるか
Ssentinel playbookでapi connectorをするにあたり、Microsoft系とつなぐ場合の、接続ユーザーのメリデメなどが書いてある
managed Identityがある場合は、managed identity使え
Azure SentinelでMicrosoft Threat Intelligence Matching analytics ruleがリリース
現時点はIOCのうちドメインを、CEFフォーマットのログ、DNSログ、syslogとマッチング
CEFフォーマットのログに称号するにはRequestURLフィールドにドメインをマップする
DNSはAとAAAAのみ
SyslogはFacilityがcronのみ
Compliance
Intune/Windows10
他
マイクロソフトのMost Valuable Security Resercher 2021版。誰かいるかな〜って思って眺めてたら @ryotkakさんがいらっしゃいました
インパクトがでかくてボリューミーなのを5件以上提出したことが讃えられてますね
AWS
データセキュリティやるのにiam access analyzer, guaddity , config ,macieをどうつかいわけるか
aws上でのインシデントplaybook
credcompromise, data access, dos , ransomwareがあった
Azure Defender for dnsはazure内リソースから悪意あるドメインへの通信を検知するソリューション
guarddutyみたいなもんか
Google
attack landscapeが変わるし専門家はふえないので、SOCの元々の目的である検知と対応にる脅威マネジメントをadapthiveでアジャイルで自動化をengineeringしてかないとね。そのためにはPeople、Technology, Process、 Influenceにおける層で10倍スケールさせにゃならんよね、という内容
Peopleはアナリストの生産性、脅威と資産カバレッジ範囲, 知識共有範囲でのスケール、
Technologyは可視範囲、スピード、シグナル量、TCO(?)をさす
で、それにして戦術・戦略・変容(?)で改善していく
ここらへんのkey take awayは学びになる
start to hire skills, not levels
Solidify the basics; don’t hunt before you can detect well
focus on threat intelligence
evolve to 50% time towards automation work
Document the lifecycle of an attack for all created detections
思ってたのは違ったが、、、Have traceability of the controls and clear pass/fail criteria というkとお
トラスト/ガバナンス/Supply Chain
ゼロトラスト化計画のスターティングガイド for 管理者のホワイトペーパー from NIST
Zero Trust ArhiectureするためにNIST SP 800-37「 Risk Management Framework (RMF)」 つかってこう、という話
グループペースや企業を越えたでのマネロン情報共有にあたって顧客の名寄せをする際のプライバシー的な懸念
個人データの第三者提供先が捜査事項照会や税務調査
任意でないデータ移転の場合の課題
https://gyazo.com/b5097a42d4d0080f6f22954968846a32
日本であたると実際のE2E暗号化の説明が間違ってた部分は善管注意義務 になる?
phase1: サプライチェーン commight sign(dev), binary sign(build), verify sign(deploy)
phase2: secretsの使い回しを防ぐ
phase3: app integrity commit hash, hash verification, binary hash
いまいちphase1と3の違いがわからない
プルリクエストに関するパースを適切に行うのは困難であり、脆弱性を作り込みやすい箇所
DefinitelyTypedは、方定義パッケージごとにメンテナが存在する(リポジトリメンテナとは別)
これらのメンテナは、db-mergebot というbot経由でmergeすることができる
db-mergebotは中で、パッケージ単位の権限管理をしていると言って等しい。この権限管理を回避する話。
db-mergebot は、そのロジック上、101個以上のファイルに変更を加えた場合、101一個目以降のものについては、変更対象として権限チェックの対象とならない -> 権限管理の回避に成功
PyPIはpypa/warehouseというリポジトリで管理されている
mainブランチにpushすればpypi.orgにデプロイされる
github actionのワークフローで、Untrusted input を適切に処理しない記述を見つける
また当該ワークフローで、.git/configに書込み権限を持つGitHubアクセストークンがある
そういうリポジトリをワークフローがクローンしていた( actions/checkout )
えっ、actions/checkout こわいな
ので、上記からクレデンシャルを取得するようなスクリプトを埋め込んだブランチ名を作成し、ワークフローの実行を待つ -> 完了するとGitHubアクセストークンが手に入る
mainブランチを直接変更
ブロックチェーン/Confidential Computing
JCBが国産秘匿化技術であるLayerX Anonifyを使ったConfidential Computingに関するホワイトペーパーをリリース。与信のcreditworthiness評価がよくある例だが、amlでの利用が面白い等と書いてある
どうコンフィデンシャル・コンピューティングは秘匿性・監査性を担保するか
TEE内のdata at restはHWレベルで取り出せない
監査性は「実行バイナリ」と「実行環境に依存したハッシュ値」を比較するremote attestationでプログラムを外部から検証
tee内で実行されるプログラムが想定したものであるかは、それと環境情報に関するハッシュ値「MRENCLAVE」をattestation serviceのreport内にあるそれと、ソースコードを入手する検証者が比較することで確かめられる
「1week前にデプロイしたそれが違ってた」だとそれ以前の話なので、監査性の前にどう正しいものをデプロイするか、というところがsecurity considerationになるはず...
それがTEEのスコープかは違うかもだけど
NISTが差分プライバシーの アルゴリズムコンペ と スコアリング計測のコンペ をやってたっぽい
脅威/脆弱性/インシデント
一連の不審な大量アクセスの対象となったメールアドレス(5,762件)に対して、不正ログインが確認された当サービスのユーザ数が2,439兼
目立ったSupplychain攻撃で、Colonial Pipeline/Kaseya, Nobellium, Solar Windsは外せてません
SAML用のXMLパーサーでシリアライズ <-> ディシリアライズ(パース)を繰り返すとオリジナルのXMLと異なる脆弱性を、いくつかのSAMLライブラリがもっていた
SAMLのXMLは署名されて交換されることがおおく、その交換プロトコルにおいて、上の脆弱性を使うと成りすましFederationが可能になる
具体的には、SAML/XML-DSigと呼ばれる round-trip なプロトコルにある。このとき、XMLのパースと署名検証はそれぞれ別のステップで行われる
具体的には、初回パース時にユーザー情報がメモリに保存されるが、XML Documentの署名はround-trip後に検証される。
この仕組を細工したXML Documentを渡すことで、初回パース時に不正ログインしたい対象のユーザーになりすませる
↓のXMLは例。alice@example.comにかわりbob@example.comが不正ログインできる
code:xml
<?xml version="1.0"?>
<!DOCTYPE foo [
<!NOTATION x SYSTEM 'x">]><!--'>
]>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ...> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ...> </ds:Signature>
<Subject>
<NameID
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
alice@example.com</NameID>
</Subject>
</Assertion>
<![CDATA[-->
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ...> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ...> </ds:Signature>
<Subject>
<NameID
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
bob@example.com</NameID>
</Subject>
</Assertion>
<!--]]>-->
</samlp:Response>
Solarwindsのキャンペーン中、全米の会計事務所から従業員の約8割のO365垢が侵害されたと米司法省
APTグループはAPT29/The Duke/Cozy Bear。
偽のデジタル証明書を使用した上で、写真転送サービスの脆弱性を悪用し、個別に問い合わせを行うことで顔写真データを取得
取得クエリに対して十分な有効性検証を行っていない脆弱性
a security vulnerability in one of RIA’s applications that did not sufficiently check the validity of the query
偽のデジタル証明書は、公開データから取得した氏名と個人識別コードを使って作られたっぽい
タイムライン
2021/07/16に発行リクエスト数の増大を検知 <- このタイミングで
7/21に身分証明書DBからの大量データDLを検出。サービスを一旦停止。
7/22 IPアドレス追跡。警察共有
7/23に逮捕
公共間の連携が上手く働いてるっぽいタイムライン
あるElectronアプリ内にread and write権限のあるGitHub tokenが埋め込まれてたけと、その人の所属先調べたらshopifyだったよっていうバウンティ。
笑えね〜
金融
さわる: 深凹印刷、識別マーク
透かし: すかし、すき入れバーパターン
かたむける: ホログラム、潜像模様、パールインキ
見る: 特殊発行インキ、マイクロ文字
2024年にお札登場
日本にはリスクマネーの供給源となるプロ投資家が不足している原因に独立系が少ないとの指摘
タイトルの「サラリーマン思考はここにかかる」
ネット証券のビジネスについては、限界を迎えリアル店舗に回帰してるとのこと。
そやろか。
自主規制団体のデジタル化をまずお願いします
山陰合同銀行が野村證券とのアライアンスによる金融商品仲介モデルに移行
証券会社と(証券子会社を持つ)銀行の確執は金融庁の各レポートから読み取れるが打破なるか
法人にも個人にも銀行が『1対1』で向き合いソリューションを提案する付加価値提供型のビジネスモデル と予想
スマホアプリから金銭を信託する「金銭信託」機能がリリース
企業への貸付金に対する利息収益が裏付けの商品
マザーズ市場は企業価値より高い価格で上場しがち
ただ、創業数年でも上場できる市場では、IPOも小ぶりになりがちでスタートアップが育たない
これを経産省が「スタートアップが過小評価されてる]と避難し、買収時にスタートアップと買収投資家の双方が合意して価格を決めるSPAC(特別買収目的会社)解禁をもくろもうとしている、という話
ただし、SPAC先駆者である北米では収縮しつつある
ロビンフッドのようなネオブローカーは個人に取って魅力的な収益モデルで台東。収益モデルは、米国は安い手数料、欧州は手数料ぜろなフリーミアムモデル
地域の金が外部に流れる課題を解決するために、融資のシェアが7割近くに達する信組あるいは信金が独自に発行するコインで支えるお話。
地銀…
行政/会社/団体
ツール/サービス/OSS
Terraformからパラメタシートを作ってくれるくん
oktaとelkをつなぐDorothy
Moduleをみると実際にシミュレーションを走らせるっぽい。
defense evasion等はおそらく実環境にインパクトがあるから取扱注意っぽい
OSINTツール「SpiderFoot」の紹介
piiを取り除くoss 、気になるな
NIST産
2018年のカンファレンスから足掛け③年でFIDO2サーバーのOSS化をLINEが実現
Universal Serverではなくなった
リポジトリ内で、settings > Environmentでデプロイ環境ごとにシークレットを変える機能
まーた、Enterprise Cloudとパブリックリだけか...
ハッカーの視点でサーバーの脆弱性を見極め、セキュリティー強化につなげる狙い。3カ月コースで受講料は1人15万円(税別)を想定
CISAがk8のハードニングガイドをリリース
resourceのテンプレを生成するTerraform addが提案されてる
Cosignがv1
イベント/勉強会/発表資料
関心事の分離
記録と状態参照を分離
事実を記録するテーブル(主)
発生タイミングや参照単位が異なる事実は別テーブル
発生タイミングごとのテーブル
Not Null成約
更新・削除不可
外部キー制約(事実と事実の関係の記録)
状態参照テーブル(補助、インデックスやキャッシュと同じ位置づけ)
事実の記録から導出可能なら不要
削除あるいは有効性は、記録とは別テーブルで表現で、結合
最新を表現するテーブル
更新日時は不要(全てInsert)
解像度を高める為のガイド
解像度が高めるべき領域: 顧客、計画、業界
解像度を決める要素: 深さ、広さ、構造化
深さはwhy soと顧客interviewで
広さは事例,専門書,教科書で
構造化は手法(mece, 因果関係,関連性,バリューチェーン,ステークホルダーマップ)
解像度が高まってるか?
明確簡潔ユニークな仮説(テンプレ,競合比較,原因分析)で高いか検証
ブランド価値を構成するブランドエクイティ。
消費者の頭と心に刻まれたエッセンスの事.以下のステップでブランド化
①Awarenessから
②PerformanceとImagery概枠を組み (Performanceは消費者が第一義的にまず実感する物)
③Judgement/Feelingが中身を埋め
④Attachmentする
8ファクターで優位性を発揮するとエクイティが伸びるよ. 一部b2bに応用可能そう
1. コミュニケーション
2. 商品のパフォーマンス
3. 商品に刺激される五感
4. パッケージ
5. 店頭展開 (オフライン・オンライン)
6. リテーラーへの付加価値
7. 消費者への価格面での提供価値
8. 社会とブランドの結びつける
エンジニアがアウトプットをしたり、技術課題を解決しようとしたりする際には、専門外の分野に目を向けたり、より深い部分まで知ろうとすることが大切
極端にならない遊び方といたずら心で、目的を定めず自由な試みから新しい価値が創造される(ことまある
その他
Hshicorp創設者のミッチェルハシモトがCTOからプログラマに職務変更(本人の希望)
戦略を現ctoやceoに伝授しつつ、waypointにフォーカスするそう