忙しい人のためのセキュリティ・インテリジェンス No.49 - 2021/08/30

#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー

今週のおすすめ/一言所管

今週はあまりハイライトないかも

jwtの脆弱性が大抵、noneを受け入れて、signatureチェックが不要になるってことが再現されたくらい？

No. 51はお休みする予定

Microsoft

AzureAD

Defender

Sentinel

Watchlist is now Generally Available

Azure sentinelのwatchlistは外部データを取り込みクエリの対象にできる

ashwin-patil/blue-teaming-with-kq

ブルーチムのためのkql

Compliance

Intune/Windows10

他

ThomasKur/M365Documentation

Microsofft365の構成をJSON/CSVに吐き出すツール

対象はEndpoint Manger, AAD, MIP, CloudPC

Poweshell...

Attackers use Morse code, other encryption methods in evasive phishing campaign

htmlファイルを添付にした偽請求通知

ただし、xls.htmlのようにxlsと見せかける

また、HTML全体はbase64とcharコードによって、中のJSファイルへのリンクはドメイン名はURLエンコード、リンクそのものはASCIIでエンコードされて難読化

htmlはxlsのtimeoutが発生したとみせてパスワードを摂取

https://scrapbox.io/files/61349874f2453200232d8e76.png

以下の設定を使おう

https://docs.microsoft.com/en-us/exchange/troubleshoot/antispam-and-protection/how-to-reduce-malware-threats-via-file-attachment-blocking#:~:text=%20To%20create%20a%20rule%20to%20block%20attachments,Any%20attachment%2C%20and...%205%20Select%20save.%20More%20

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-safe-attachments-policies?view=o365-worldwide

AWS

Automate Patching Using AWS Systems Manager (SSM)

Ssmのパッチマネージャ使ってssm経由でRunPatchBaselineとmaintenance windowでパッチを当てる方法。

うーん、この構成とってんだけど自分の環境だとちゃんとされてないような…

AWS Resource Access Manager - granular access control with managed permissions | Amazon Web Services

共有リソースへのアクセス設定をするResource Access Manager

便利そうだ

が、こいつの管理はどうすんだろ

Google

Google Workspace to get new security features

google adminコンソールからalertにvirus totalの情報が出るようになった

トラスト/ガバナンス/SupplyChain

Privacy-Preserving Synthetic Location Data in the Real Worl

差分プライバシー技術を使って集計値を匿名化することで、従来の匿名加工より精度・処理速度の向上を果たしたよ、って話（っぽい）

位置データの外部提供の分野

LayerX Labs Newsletter for Tech (2021/08/25-08/31) より

Identity/Confidential Computing

脅威/脆弱性/インシデント

Exploiting JWT to Account Takeover

認証したあとのJWTの、algを none にして login名を admin にして jwtのsignatureをとったらログインできちゃったよってやつ

CISA Adds Single-Factor Authentication to list of Bad Practices

CISAが単一要素の認証をバッドプラクティスとして追加

従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

Detterence（抑止）によるセキュリティ対策はあまり出てこない話

How I abused 2FA to maintain persistence after a password change (Google, Microsoft, Instagram, Cloudflare, etc)

googleの2fa及びパスワード更新におけるセッションハンドリングに問題かあった話、

とくに2faのtry another methodをするとセッションが20分長くなるのは面白かった

Deciduous: A Security Decision Tree Generator

Deciduous: 現在のシステム的な現状（facts）に関する攻撃者のゴール、手法と緩和策をtree構造にするサービス

具体的にはYamal

Our shared common weaknesses

github上に上がってるコードの中でよくみるCWE

cwe400: 無駄なメモリ割り当てや無限ループに起因するリソース枯渇

cwe20: 入力値の不十分な光量

cwe40: xss

金融

資産運用トラウママップが示唆する「貯蓄から資産形成へ」の道

1984年に開始した世代では、37年間の運用利回りはわずか1.6％。

このトラウマから脱するために金融緩和を今後も続けていく必要があるよ、という話。

なお出口戦略

金融庁、ガバナンス点検に重点　行政方針を公表

モニタリング方針に金融機関におけるITガバナンスの向上」という項目を設置

「ITと経営戦略を連携させて企業価値の創出を実現するITガバナンスを発揮することが重要」とした。

BCPでもリモートできない業務プロセスも、ガバナンス違反としてビシバシ摘発してほしい

行政/会社/団体

Cybersecurity 101

CISAのyoutubeチャネル

ツール/サービス/OSS

Elegance of Go's error handling

goのエラーハンドリング（例）

Go: json パッケージ Marshaler/Unmarshaler の実装例

Unmarshall/marshallインターフェースを実装して、apiアクセス制御する

New Terraform Planning Options: -refresh=false, -refresh-only, -replace

新しいterraformのplanオプション. refresh=false,. -refresh-only,. -replace.

-replaceは故意replaceを可能に、refrsh-onlyはstateファイルの更新だけ

GitHub Actions: Reduce duplication with action composition

GitHub Actuonをモジュール化し、よび出せる機能。

例えばbuidxのセットアップ、login, pbuild pushを一つのモジュールにできる。便利。

もしかしてプレースホルダ用意してecs task defを一つにできるかも？

イベント/勉強会/発表資

Go製のREST APIにUnitテストを追加した話

参考になる

Billionaire Co-Founder of Paypal Recommends Asking Yourself These 7 Questions Before Starting Your Startup

ピーター・ティールによるスタートアップを始める前に自問すべき７つの質問

1. 段階的な改善ではなくブレークスルーな技術を創出できるか

2. そのビジネスを開始する正しいタイミングか

3. 小さい市場での大きいShareを狙おうとしてないか

であるならおｋという意味。大きな市場ではさざ波しかおこせず、最終的には食われるよ、という話し

4. 正しいチームがあるか

Everybody should just be committed full-time

5. 作るだけでなくプロダクトのデリバリーまでできるか

6. １０〜２０年後でもマーケットポジションを維持できるか

7. 誰もみていないユニークなSecretを特定したか

決算報告書で「サイバーセキュリティ」への言及が33%増加--2021年上半期

タイトルまんま…が、今のところどんなリスクに対していくら投資するってのはあんまり見たことない

開発者が知っておきたいSQLの実行モデル～アプリからデータベースへのアクセスを高速化するには？

DBMSの階層構造は以下の通り

API:

アプリの記述に影響

データ構造にどのような操作を加えるか。

SQLがDBMSで語られがちだが、RESTはHTTPメソッドを使ったAPIとして捉えることが出来る

データモデルとデータ型

Relational, Document(JSON/XML)だったり

入力と出力の対応関係の集合の定義

SQLやKVSはここ、ほかにもQueueやGraphなど

アーキテクチャと実装:

Blockchainやらインメモリ、ストレージ・ベース、インメモリ

SQL実行げ企画をするアルゴリズム

Terraform の CI に tfmigrate を導入した話

tfmigrate: tfstate を変更するOSS

その他

苦手を捨てる決断により広がった世界 - 限られたリソースしか持たないエンジニアの戦い方

いい話だった。個人的には割と今のキャリアモデルにしてる

すべてに詳しくなる必要はありません。脆弱性について詳しくなりたいと思ってから（略）突き詰めました。その間、世間で流行っている知識を更新することはできませんが、そこは仕方ないと割り切りました.(略)領域を突き詰めていく中で新たなアイディアやこだわりが生まれ、それをOSSとして形にしました

一定期間集中、I型からT型へ、必要なときに必要なことをする、適正なリスクを取る