忙しい人のためのセキュリティ・インテリジェンス No.48 - 2021/08/23
今週のおすすめ/一言所管
来週からNotionにします
Microsoft
AzureAD
AzureAD graH apiがMicrosoft apiになるのは周知の事実だが、そもそもライセンス管理apiを2022に刷新するみたい
ネストされたグループにもライセンス適用できるようになるとのこと
パワーオートメートで、Azure AD Registered Appのクライアントシークレットや証明書の失効を通知するやつ
...これ作るくらいならHubとかAzure functionつかったほうがよいやろ..
Azure ADのRiskyUser/RiskySigninイベントを診断対象に指定できるようになった
Defender
ついにMicrosoft Defender for Epがapple m1をサポート!購入プロセスやり直すしかない!
ちなみにまだ降ってきてない (最新は101.37.97)
はよ
Sentinel
Azure Sentinel Information Model (ASIM)
Open-Source Security Events Metadata (OSSEM)
セキュリティデータをsource agnosticにするためパース・正規化するやつ
クエリタイムでパース・正規化する。正規化スキーマ、パーサー、正規化されたスキーマに対するコンテンツ(analytic rule, workbook, hunting query)
Compliance
Intune/Windows10
他
Azure Security Labが3ヶ月間のSSRFリサーチチャレンジを開催。
最大$60,000の賞金を用意
Microsoft 365が価格改訂。
軒並み$2~$4ほどあがる。Microsoft 365 E5には触れられてない(据え置き?)
Azure Cosmos DBにJupyter Notebookによる可視化帰納を入れたところ、DBがpublicになるようになってしまった
2019年からあったとのこと
ESっぽい話だ
AWS
CloudFormationテンプレをいれるS3バケットに攻撃者がアクセスできたら任意の設定反映できるよってやつ
そりゃそうだ
IAM Access Analyzerのpolicy generationが、kmsサービスくらいしかactionレベルの権限を掘り下げられなかった
それが50サービスほどに拡大するよって話
trust policyでarn指定されてれば、assumePolicy権限なくてもassumeできるのか…怖…
Amazon: 社内向けサイバーセキュリティ訓練を公開する && 顧客にMFAデバイスを無料提供
その前にまずはMFA複数登録できるようにしてくんない?
Google
Googleのbug hunterコミュニティ。
公開されたレポートもみれる。Googleが作ってる独自OSの「Fuchsia」対象
Googleの考えるゼロトラストのコア = 複雑で相互関係にあるシステム内でのコンポーネントに対する暗黙的な信頼はリスクを生む、という話。
↓のbasic principleを含む
edgeでのネットワーク防御(外内通信防御)
サービス間の相互ゼロ信頼
信頼するマシン(ex Titan)上で正当なprovenanceコードのみ実行
ポリシー適用をchoke points(関門)にする
シンプル・自動・標準化されたrollout
OSを共有するワークロードの隔離(isolation)
サービス環境に集中してそう
調度1兆円をsupply chainに投資すると宣言したGoogleっぽい
Fuchsiaは、Googleが開発したOSSのOSで、高いシステム・モジュール性と、セキュリティとプライバシーに特化している。
この論文では、Fuchsiaのアーキテクチャとソフトウェアモデルを分析し、この新しいOSのコア・セキュリティ・メカニズムに焦点を当てています。
トラスト/ガバナンス/SupplyChain
ライトウェイトなSAST。
独自のSecurity as codeで、LPではebsの暗号化がされてるかをチェックしている。
OPAとの優位性は?
Rust製
現在はHCLとGoをサポート
イギリスのThe National Cyber Security Centreからリリースされてる端末構成用のガイド。
provisioningスクリプトもあってすごい。特にWindows10はMDMに流し込むOData jsonファイルもあってスゴイ
curl/wgetってスクリプト取得してpipe通して実行しやすいけど、署名チェックとかやらないよね。だからcodecovったんじゃん、という背景から、sget(safe script retrieval)をプロポーズ in Sigstoreプロジェクト
fuclioによって発行された証明書で署名されてるか、rekorにログが残ってるか検証
内部依存と外部依存におけるDependency Confusion対策は例えば以下
他の対策をする
インストールステップを明示的にわける
プライベートリポジトリはミラーリングする
アプリの依存関係を管理するためのベスプラ
- バージョン固定
- シグネチャとハッシュの検証
- ロックファイルとコンパイルされた依存関係
- 使用してない依存の削除
- 脆弱性スキャン
- 内部依存と外部依存におけるDependency Confusion対策
CNCFのセキュリティwgがCNSマップサイトをオープン。
SLSAみたく開発/ビルド/配布/デプロイ/実行のセキュリティ対策がマップされている。
Guidelines on Minimum Standards for Developer Verification of Software by NISTと同じく対策に紐づくCNCFツールもかかれてる
ホワイトハウスとテックジャイアントCEOがサイバーセキュリティ対応について議論。
その中でMicrosoft, Google, Amazon, IBM/Appleなどがコミットを宣言
Microsoftの額がすごいけれども、SigstoreとかSLSAをOSS化しているGoogleの$10billion投資 to サプライチェーン強化も見過ごせない
Identity/Confidential Computing
public safetyデータに緊急時でもモバイル経由からしゅっとアクセスするためのガイド。
FIDO, Saml, OIDC rfc 8252などや、AppAuthについてかかれてる。
OAuth2.0 for SSOとも書かれてて、猫の人が怒りそう
ラスト10minくらいのコンテナレジストリを使ったhomebrewの話はおもしろかった
コンテナレジストリが汎用的なストレージとして使われはじめてるとか。
OCI Distribution Specificationいつか調べたい
仮想的なWebAuthn認証器。
物理的なハードウェアインターフェースにアクセスできないデバイスに対して、安全な認証を提供。
また、外部の物理的なハードウェアキーの代わりに、デバイス上のTPMを使用してWebAuthnプロトコル内のセキュリティキーを生成することもサポート
脅威/脆弱性/インシデント
一億人分の個人情報漏洩 from TMobile. DBに直接アクセスされたっぽい
ハッカーフォーラムからCTIを抽出し探索する。
キーワード検索技術を使って抽出したCTIからCCに関する投稿とそうでない投稿が混ざったバイナリーデータセットとマルチクラスターデータセットを用意し、同時に脅威カテゴリを分類。
深層学習ベースの分類器を使った分類法を用意し、結果を比較
自動化プロセスのリスクとして、悪意のあるアクターがネットワークに不正なデータを注入することが考えられる。本論文では、データ改ざんを検知する新しいメカニズムを提案します。
このメカニズムは、既存の機械学習ベースの技術のように、秘密の暗号鍵や、ネットワークの正確なモデル化に依存しない、提案手法の数学的構造を定義・分析するアルゴリズム「ABBA」を提案
金融
証券業務を野村證券にアライアンス(委託?)した山陰合同銀行、預かり資産が2020/09から12%増
バーゼルは、金融機関が効果的にリスクデータを集計し、リスク報告を行うための11の原則を示している
しかし、コンプライアンスの観点から必要とされているのが「説明可能なAI」
中でも"データの質"と"マルチステークホルダーへの適切な報告"が重要。
ここでは、具体的な規制要件の1つである「企業全体で使用するのに適した完全なデータ分類法を持つ事」の実装上の課題を解説。
金融オントロジーは常に進化するから、継続的なコンプライアンスを確保するための継続的な更新プロセスが必要
投資の対象、投資経路、判断軸が多様化されたので、投資のための資金提供力と資金調達力が重要になるはず。
そこは特に個人だと難しい領域なので、そのためのソリューションとしてのPool
行政/会社/団体
ツール/サービス/OSS
entity framework
DB/ストレージアグのスティックなGraph-based ORM
migrationもできるっぽい?
GitHub Actionのランタイムにmacos-11がin!
gh cli2=0から GitHub extendionが使えるとのこと。便利そう
https://scrapbox.io/files/612ba5f8bf2cf700200aad5d.png
GitHubのPATに有効期限が設定できるようになった
イベント/勉強会/発表資料
Heder poosoning, Password Reset Token Filter Bypass, Email Param Manipulation, Passwordトークンreferralヘッダリークを勘案
その他
業務で書くコードが持つべき要素
構成管理
コード管理
変更管理
シークレット管理
ドキュメント
デプロイメント
コードの配備プロセス
他: 環境・テスト等
GASとかノーコードはちゃいますよって話し(フカヨミ