情報収集 - 2020/09/22
今週のおすすめ
Microsoft > Ignite > キーノート
金融 >マルチステークホルダー時代のガバナンス
インシデント > ゆうちょ銀の海外送金に資金洗浄疑い インシデント
twitter: SBI証券から出金された先のゆうちょ口座のkyc方法について,
インシデント> 客の使い回しパスワード悪用か SBI証券の1億円流出
Microsoft #microsoft #ms
Ignite #ignite2020
キーノート: Building Digital Resilience
ZeroTrust #zta
Zero Trust - the road ahead
Ninja skills: manage your Conditional Access Policies at scale #conditionalAccess
Implementing the Zero Trust Maturity Model at Microsoft
Verify Identity, Verify Device Health, Verify Access
AzureAD #aad #idp #ems #identity #iam
What's new in Azure AD at Microsoft Ignite 2020
各種動画のまとめ
Azure AD: our vision and roadmap to help your secure remote access and boost employee productivity
Save money by securiting access to all your apps w/ Azure AD
Govern access for employees and partners w/ Azure AD Identity Governance #identityGovernance #governance
Get to least privilege in Azure Active Directory and Microsoft 365 using RBAC and PIM #pim
Global Admin減らして、permanent global admin減らそうね って話
Taking identity and privacy to a new level | Verifiable Credentials with decentralized identity using blockchain
Verifiable Credential(information 3rd party can validate cryptographically)とDIDの話
Winning Azure AD strategies for identity security and governance
Integrating CASB into IAM for a comprehensive identity security strategy #mcas
MCASと条件付きアクセスのコラボ
The state of passwordless in the enerprise #fido #authn
Hybrid JoinのPCでもYubikeyベースのMFAができるようになった(build 2020から)
Bridge the gap between HR, IT and business with Azure AD
WorkdayなどのHRサービス -> AADへのプロビジョニングは前からできていた
Azure AD <-> AADCの双方向同期もできるようになった?去年はまだ片方向だけだった
Build experiences that customers and partners will love with Azure Active Directory External Identities
external identitiesのやつ
Azure AD B2Cとどうちがうの?って思ってたけど理解した
external identitiesをホストするテナントのsharepointも共有できるんだ。すごい
Microsoft Defender #xdr #siem #microsoftDefender #security
Microsoft 365 Defender: Stop attacks and reduce security operations workload by 50% with automated cross-domain security
Achieve resilience with Security, Compliance, and Identity
Modernizing your Security Operations #sentinel
Improve SecOps With Azure Sentinel #sentinel
Microsoft Defender | Bringing Microsoft 365, Azure and all of your security signal together into a single integrated XDR view
How Microsoft Defender for Endpoint protects your non-Windows
Microsoft 365 Compliance Manager #compliance #riskMgt
Microsoft Ignite 2020 guide to Security, Compliance, and Identity
Be a risk management hero with intelligent data protection and compliance solutions
supercharge information protection and governance across cloud, on-premise, endpoints and remote work environments
Stop managing compliance with spreadsheets! Simplify and extend compliance beyond Microsoft 365
Don't lose sleep over insider risks! Use the power of ML to identify and reduce your risk today #insiderRisk
マイクロソフト、RPA機能でWindowsアプリ操作を自動化する「Power Automate Desktop」パブリックプレビュー開始、日本語版も #nocode
Microsoft Flowと呼ばれていたサービス連携ツールをベースに、ユーザーの操作を記録し再現するRPA機能を追加
自動化シナリオをマウス操作で作成編集できるビジュアルデザイナーを搭載。シナリオ実行時のエラーハンドリングやデバッグのためのスクリーンキャプチャなども可能
Microsoft delivers unified SIEM and XDR to modernize sec ops #xdr #microsoftDefender #security #siem
新しい用語がうまれたXDR -> XExtended detectionand response
deliver intelligent, automated, and integrated secuirty across domains to help defenders connect seemingly disparate alerts and get ahead of attacks
このXDR製品のブランドがMicrosoft Defenderになるみたい
おもに、Microsoft 365 DefenderとAzure Defender。
以下のリブランディング
MTP -> Microsoft 365 Defender
MDATP -> Microsoft Defender for Endpoint
O365 ATP -> Microsoft Defender for O365
Azure ATP -> Microsoft Defender for Identity
Microsoft Defender for Endpoint adds depth and breadth to threat defense across platforms #mdatp #xdr #edr #mac #threat #vulnerability #threat #vulnerabilityMgt #security
MDATP for iOSがpreview化
MDATP for AndroidがGA化
MDATP for Macで脅威・脆弱性管理がPreview!
これはでかい。MDATP for Macがソフトウェアインベントリを作ってくれて、CVEにヒットしていればSecurity Recommendationとして押してくれるやつ。
Jamfにまだアドバンテージがあるとはいえ、これはでかい。少なくともパッチ周りはJamfは機能的にも最近でたばかりなので、Microsoftも勝てる分野のはず。個人的にはJamfはデバイス管理に集中すべきで、脅威・脆弱性管理機能であるMDATP -> インベントリ・デプロイ機能のJamfに流す、というのは全然アリなシナリオ
ひゃっほい
https://gyazo.com/5587b1e946840bd986b4c63c8fd313e5
Stay ahead of threats with new innovations from Azure Sentinel #security #siem #sentinel #microsoftDefender
Sentinelの新機能 がめじろおし
UEBA機能
Threat Intelligenceソースの追加(RiskIQ, ThreatConnect, ThreatQuotient, EcleticIQ)
RiskIQはAzure Logic Apps Connectorつき
ウォッチリスト機能
外部ソースのチェックができるみたい...が、どの様な挙動になるかはわからない。気になる
また、Logstashのoutput pluginとしてazure sentinelがサポートされた。beatsシリーズはまだかな?
Build-Your Own Machine Learningで、自社のユニークケースに向けたMLモデルを作れるようになった。
Announcing Priority Account Protection in Microsoft Defender for Office365
アラートを上げる際に優先度を高めるべきアカウント(Cレベル、Administratorレベル)を指定できるように
具体的にはそれらアカウントで起きた場合のアラート似タグが付く(可視性の向上)
また、それにより、Defender O365の脅威検索機能で、Priority Accountにヒットした脅威にやはりタグがつく
検索性も向上する
New Enhancements to security baselines in Microsoft Endpoint Manager #uem #intune #ems
baselineの変更をCSVを比較できるようになった
まだ、ken5scalのテナントには来てない模様
攻撃シミュレーション訓練 in Microsoft Defender for O365
前からなかったっけ?って思ったけど、Terranova Securityというところとパートナーシップ組んだ、という話
AWS #aws
AWS Security HubのAWS Foundational Security Best Practicesに14の新規ルールが追加 #securityHub #detective
SSMエージェントver3から自動アップグレード可能に
Amazon Detective が IAM ロールセッション分析を導入 #detective #detection
cloudtrailで分析しなくてよくなった。嬉しい。1年間履歴が残る
assume roleしたentityだけじゃなくてAPI呼び出し、session情報も分析内容にふくまれる。便利
SOCがどのようにAWS GuardDutyを使って悪意ある行為を見つけるか #guarddduty #detection
イベントブリッジ(とKinesis FirehosとKinesis AnalyticsとLambda)を使って自動でWAFルールを更新する
透過型Squid Proxy on NATインスタンスでDNSフィルタリングをする
iptablesではipやポートはできるけど、egress通信をAWSエンドポイントだけに許可したり、特定ウェブサイトを遮断シたい場合
HTTPSはSslPeekAndSpliceでTLSからSNI(Server Name Indication)を取得すれば、HTTPSを終端させなくてもおk
pythonやcURL, OpenSSL, wgetなどのクライアントバージョン縛りあり
TLS1.3ではSNIも暗号化するオプションがあるので注意
ツール/サービス/OSS #tools
一時停止中だった「Firefox Send」が再開することなく終了、「Notes」も同時に終わる #kyc #security
昨年、無料で、アカウント登録なし、共有期間を設定できる、という謳い文句だったFirefox Sendがマルウェア配送に使われたという事案から停止していたが、そのまま終了。Notesは知らなかった
個人的に「リスクより、スピードを優先させよう」という判断にする場合のリスクは年々上がっていると思う。もちろん、Firefoxという著名企業がだしたこともあるだろうが、「機能的に便利」は誰にでもあてはまる
yet another kyc problem
Lateral Movement Detection(横断侵入)GPO Setting Cheatsheet #microsoft #ms #addc #security #cheatsheet
横断侵害を防ぐためのGPO設定。基本Audit系なのでログ収集・ログ保存・ログ分析とセットで考える必要あがある
ちなみにActive Directoryやめたからといってlateral movementはなくならないぞ。Active Directoryの仕組みを使ったlateral movementがなくなるだけ。
本人確認機能の提供プラットフォーム“LINE ID Passport”構想 #identity #kyc
行政プラットフォームと接続する公的個人認証サービス
また、身元確認の必要な企業向けサービスにもするっぽい
自前で開発するんじゃなくて、NRIのサービスを組み込むっぽい
Yahooとの統合で、どんな扱いになるのかな?
クラウドストライク、セキュリティ企業Preempt Securityを買収 #edr #zta
preemptという条件付きアクセスサービスなどの「ゼロトラスト」サービスを提供するスタートアップを買収
preemptの画像を見ると、各種IdPとの連携はできてそうなので、足りないのはエンドポイントのデータだったのかも
CloudStrikeが欲しかったのは条件付きアクセス機能で、上場といけいけな売上で潤沢にたまったキャッシュで買収?
一方、Okta, Netskope, ProofPointとアライアンス組んでいい感じにゼロトラストやってこうぜ!と発表してたけど、それがどうなるかは気になる
まあ、たいていこういう発表は発表のまま終わる
Netskopeはaccess brokerとしていまいちなので、cloudstrikeあるいはoktaが作るか、買うか
ダイムラー社のブロチェIdentityプロジェクト
メルセデスの親会社 ダイムラーがIdentity とデータPlatformを構築中。
1つ目: 車間でpreferences設定を交換できるWelcome Homeサービスを中国のブロチェ「Onthology」とやっている。実装自体は51 nodeというドイツの会社
2つ目: エンタープライズ向けウオレット。スマコ?で同意書のや締結を自動化する。Spherityというスタートアップが担当
レッジャーは、Indy, Sovrin, Quorum, Etherumに対応してるっぽい
3つ目: 車自体をWalletにする。車そのものIdentity。レンタカー会社向け(当面は)
脆弱性
Zerologonやばいからパッチあてましょうね
↑の記事だと、Winサーバーだけっぽくみえるけど、前提としてはドメコン配下のwinサーバー
パッチ & パッチ & パッチ
今後Winサーバー前提のソリューションはパッチに対するアップデートポリシーは確認すべき
団体
ポストコロナにおけるブロックチェーン活用や行政分野における実装を推進するため、公開の場としては初の「ブロックチェーン官民推進会合」を発足 #blockchain
BC官民推進会合は、ポストコロナ、ウィズコロナの社会課題の解決手段として、ブロックチェーンの有用性を官民共同で検討するとともに、地方自治体と協力することにより、スマートシティ、スーパーシティを含む実装に向けた提案につなげることを目指します。
新経連はブロックチェーンを活用したデジタル変革と社会経済の発展に向けて官民の架け橋となれるよう、今後も積極的に政策提言活動を行ってまいります。
金融 #financial
マルチステークホルダー時代のガバナンス #governance
金融アンバンドリングと、協業などにおよぶマルチステークホルダーガバナンス、ブロックチェーン
インシデント
ゆうちょ銀の海外送金に資金洗浄疑い 国際調査報道で判明 外国人の口座開設容 #kyc #financial
一部の取引に所在を確認できない外国人の口座が使われており、口座開設の容易さといった在留外国人にとっての利便性の高さが疑われる原因
今回の金融商品取引業者と銀行間 で発生した問題に関わっているかは不明
twitter: SBI証券から出金された先のゆうちょ口座のkyc方法について #kyc #financial
SBI証券で使われた偽造5口座について。いずれも顔写真なしの本人確認書類一点と郵送による確認(②のウ)だった。並べてみたところ筆跡が酷似していた。
旧本人確認手法っぽい。これは銀行全体にチェック指示がとぶかもわからんね
客の使い回しパスワード悪用か SBI証券の1億円流出
被害にあった6人は、ログインと取引で同じパスワードを使っていたという。
こういう場合って、銀行が悪いのか、証券が悪いのか、ユーザーが悪いのか(契約の問題はおいといて)
STUDIO社の大規模フィッシングに伴うお知らせ
無制限にサブドメでサイトを作れたため、それを悪用したフィッシングサイトが大量に作られた -> レジストリにドメインを制限された
最近できたフィッシング対策ガイドライン が参考になるかも
イベント/勉強会/発表資料
Team Topologiesにみるモダンな組織編成の理論と実際
Infra Study Meetup #6「インフラとセキュリティのこれから」
インフラとセキュリティとこれから
コンテナ、k8sのセキュリティの話 -> まとめ: https://twitter.com/ken5scal/status/1309444296743899138?s=20
MicrosoftのThreat matrix for K8s: https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
AWS Fargadeで実現するサーバーレスな踏み台設計
AWS SSM Agent + Docker
EKSのssm agent daemon: https://t.co/1kB1GXVEEI?amp=1
正拳突き教えてほしい / Information Collection and Muscle Training
情報収集ナレッジ
はじめてのゼロトラスト 実践への第一歩
クラウド時代のセキュリティを振り返る
AWS SSO vs IAM Role Federation
#2020094th #202009 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー