忙しい人のためのセキュリティ・インテリジェンス No.50 - 2021/09/06
今週のおすすめ/一言所管
50回!!
一週間休むよ
ここまでセキュリティについて公式がしっかり書いてるCICDはないかも?
いや、他のCIにくらべてリポジトリのパーミッションと密結合してしまってるとマイナス面の側面もあるかも...
とりあえずcode scanなどのorg向けオプションサービス、もうちょっと安くしません?
その他
Misconfigurationは設定不備じゃなくね?
misconfigurationって、「目指すべきものはあるのに、そうできていない、というニュアンス」なので、「足りなかった感」「届かなかった感」「徹底できてない感」が重要
よって、不備だと単に「足りなかった(missed)」の側面しか強調されないなーと思った
個人的には「非準拠」推しだけど、「非準拠により、〜〜〜の恐れ」ってのもわかりにくいな....
落ちなし
EDRって、ID管理の一部(と捉えることはできる)できるんじゃない?
まずID管理ではありません。Identity管理です。IDはIdentifierなので、そこら辺間違えないように
DeviceのIdentityを管理するという意味では、一部のEDRでもある程度できる
IdentityとはClaimの集合体
DeviceのClaimの中に、SWインベントリや構成情報が含まれると考えるのは自然
EDRはSWインベントリや構成情報を管理できる
よって、EDRは一部のIdentity管理をになっている(EDRがIdentity管理ソリューションではないとは言えない)
ユーザーIdentity管理とはまた別の話し (優先順位の話)
Microsoft
AzureAD
そりゃそうでしょ系。数ヶ月前にtwitterでも同様の議論があった
で、すませるのではなく、
明確にクラウドファーストを意識したMicrosoftの製品で、
オンプレ要素≒独自要素をリスク考慮せず追加(geolocation制限など)しようとすると、
期せずしてセキュリティホールになっちゃうよ、という観点で見ると面白いな、って思った。
Defender
Sentinel
Compliance
Intune/Windows10
他
AWS
OrgベースのIAM Access Analyzerのポリシー生成ができるようになったっぽい
すごいじゃん
Google
トラスト/ガバナンス/SupplyChain
イギリスの国立コンピュータ保安センター(NCSC)が出したサイバーリスク管理ガイド
リンク先はその文書を日本語でまとめたもの
CISAがmsp利用者向けのサイバーセキュリティリスクフレームワークをリリース
NIST SP1800-34系のドラフト
Validating the Integrity of Computing Devices となってる通り、デバイスのAssuranceの話
えっ、NISTで定義されてたんだ
デバイスの信頼性を保証するための、ハードウェア / ソフトウェアコンポーネント
物理・論理攻撃に対し、安全な設計がされていること。
小さく、かつ、保護されていること。
ハードウェアで実装するか、ハードウェアで保護することが望ましい。
セキュリティ上重要な、以下のような機能を提供
ソフトウェアの完全性検証機能(セキュアブート、セキュアアップデート)
デバイス認証機能
検証、認証、暗号鍵、ホワイトリストの保護機能
OS, ハイパーバイザ、HWで分離
サイバーレジリエンスを構築するためのエンジニアリング的アプローチ(フレームワーク)
うーん、結構ハイレベル(抽象的)っぽいので、ちゃんとDraftが終わったら読むか...
Identity/Privacy/Confidential Computing
委託時における第三者提供に該当しない場合の利用範囲に関するQAが白眉みたい
業務の範囲内において、委託先が自社のために統計情報を利用することは認められない
委託元の利用目的の達成に必要な範囲であれば、分析技術の改善のために利用することはできる
Twitter APIがついにOAuth 2.0に対応
pkce/state対応
codeが30secのみ
トークンEPにはclient認証がない...けどrefresh tokenは発行できる...oh...
脅威/脆弱性/インシデント
GitHub Copilotの研究結果
89のコード補完シナリオから生成された1692のプログラムのうち40%が脆弱だった
メール詐欺やフィッシングで不正にドメインを利用されないようにするためのガイダンス
spf, dkim, dmarc, nullレコードでpriority 0なmxレコード
マルチテナントk8sをホストしてて、その中でACIたててたら、別インスタンス(ノード?)で任意のコードを実行できたそうな
AKSは含まれないのか?そこら変がはっきりしない
特に無し
This is why you should never checkout and build PRs from untrusted sources on a local machine without carefully examining the code for the PR.
pull_request トリガーは同リポジトリの別ブランチからのprならターゲット
pull_request_target はwrite permissionとsecretsを読む権限がつくので、OSSANのときはきをつけよう
攻撃者が攻撃ペイロードをAction内に注入できるかもしれない、event context data一覧
GitHub Actionのinline scriptを使うときに注意
例: - run: echo "${{ github.event.issue.title }}" にz"; exit 1;# とか\`id\`でコマンドインジェクションが可能
以下のように、envで定義し事前にメモリ展開することで安全に利用可能
code:shell
- name: print title
env:
TITLE: ${{ github.event.issue.title }}
run: echo "$TITLE"
Githubマケプレのを uses; すると以下の権限がわたるよ
Computing time
Secrets used in the same workflow job
your repository token
ちゃんと制御しないと github.token (レポジトリトークン)も抜かれるから気をつけよう
workflow permissionが設定できるのか...知らなかった
job内で permissions: [issued: write] みたく明示的に設定可能
金融
行政/会社/団体
NISCのサイバーセキュリティポータルがオープン
自社職員にセキュリティレベルから掘ると施策や教材とか(セキュキャン?)、戦略マネジメントから掘ると施策やイベントが並んでる正にポータル。
rssほしい
ツール/サービス/OSS
社内FAQサービス。FAQのデータ取り込みから辞書作成がSP側でされ、利用者はタイプするだけ
slackとか既存ドキュメント(notion, confluenct)と連携できるのか?
インターネットにあるドメイン、IPなどのリストおよび履歴を収集するサービスかな?
自社むけOSINT as ServiceとかInternet facing Asset as Serviceとかそんな漢字?
SAST
SSA(Single Static Assignment)を使いFalse Positiveをへらす
: 静的単一代入。へ〜
変数と値の割当をトラックして精度をあげてる
SSAのない、gosec は精度に加え、ユーザー入力値から関数へのパスをトラックできない
Pentest as service
イベント/勉強会/発表資料
WASMの特性とユースケースがわかりやすかった
FaaSに載せられることは夢があるな〜って思った
WASM + OPA, WASM + SIgstore興味わいてきたな
複数永続ブランチは12factor appの概念からややずれるけど、現実的に考えるとしょうがないよね。
とはいえ、(コンテナなら)共通の成果物から環境特有の設定を埋め込むようにすれば、アプリコードと主要な依存ブツを同一にできるよね、という話し
真面目に仕事しろ
あー、出向先から本体のアプリケーションにアクセスさせるためのパターンでSAML要求のカスタマイズ手法があったか...真似しよう
その他
SaaS企業の重要な数字
40%ルール: 年間の売上高成長率が40%を超えて入れば赤字でも許容される
SaaS企業の顧客獲得効率の指標(ユニットエコノミクス): LTV(Life time Value)/CAC (顧客獲得単価) >3
SaaSは将来の売上高でコスト回収が見込める -> 直接減価が少なく利益率が高い
(確率が一定であるという仮定のもと)解約を見込んでも、顧客獲得のタイミング関係なく最終的な利益総額はかわらない
が、解約しない顧客を先に獲得するとよりLTVは高くなる
ゲーム理論により=優位性を得られる
というわけで自信のあるターゲット層にはアクセルを踏むべきであり、つまり赤字をほるべき
じゃあ、そのアクセルはなにか、というとそれは企業次第。
https://scrapbox.io/files/613d80342cbf11001d425d3b.png