情報収集 - 2020/10/27
#2020105th #202010 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
今週のおすすめ/一言所管
東証インシデントの最終レポートが出された。コンチプランを整備して08:00までに注文受付を止められて、かつ、事前に売買再開ルールを整備する方針んいなるっぽい。
AWSのNitro Enclavesがロールアウト。AWS IoTやWindows 10 (Enterprise)に備わってるRremote Attestation (PCR )な機能が備わることで、Trust基盤のプラットフォームができてきたかも?地味だけど、重要なリリースかと思われる。
Microsoft #microsoft #ms
Advancing Password Spray Attack Detection #azuread #idp #ems
高い精度をたもったまま倍のcompromisedアカウントを検知で切るようになったazure and identity protection
Introducing a new threat and vulnerability management report #xdr #microsoftDefender
組織全体の端末の脆弱性重大度、OS毎の脆弱な端末、WIn10 Ver毎の脆弱な端末が一覧できるダッシュボード機能がpublic preview
Microsoft 365 Defender enriches the Microsoft Defender for Identity experience #microsoftDefender #xdr
Azure ADなどのディレクトリ上イベントをMicrosoft Defenderがサポート
すごく良さそう
https://gyazo.com/d9390150c19af8f09452eef36948e577
AWS #aws
AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data #trust
AWS Nitro Enclavesがavailable nowに。tokyoリージョンでも使えるぞ
Attestation Documentはうわっ、CBORだ...
AWS ACMをNitro Enclave on EC2では知らせたサンプル
Nitro Ecnlave上で走るアプリが接続されたNitroSecureModule(NSM)?デバイスと接続するための、ヘルパー集
PCRクエリとかAttestationとか
AWS Nitro Card Security Engine
他のプラットフォームでも盛り上がりが激しい
Oracle Cloud Infrastructure Security Architecture
Alibaba Cloud Released Industry's First Trusted and Virtualized Instance with Support for SGX 2.0 and TPM
設定可能なシェルプロファイルを使用して Session Manager シェル環境のカスタマイズが可能に
セッションマネージャーを使用して作成されたポートフォワーディングセッションは、複数の同時接続をサポートするように
AWS App Mesh が、ACM プライベート認証機関のクロスアカウント共有をサポート #cncf
サービス間mTLSが可能に
Amazon SNS はメッセージの厳密な順序付けと重複排除が行える先入れ先出し (FIFO) トピックを導入
SQS +SNS FIFO queで順序ある重複のないメッセージ送信・処理が可能に
Amazon CloudFront は、署名付き URL と署名付き Cookie に対する IAM ユーザーのアクセス許可を通じたパブリックキー管理のサポートを発表
今まではルートユーザーでないと発行できなかった、署名付きURL・Cookieの証明書がIAMベースで発行可能になた
AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service 公開のお知らせ #siem #security
AWSのManaged Elastic Searchで立てるSIEM
Lambdaでログの正規化等を行っている
Dashboardも用意されている
CDKでデプロイ可能(cloudformation? 知らない子ですね...)
Enumerate AWS API Permissions Without Logging to CloudTrail
IAM roleに紐付けられたPermissionをCloudTrailに記録されない形でリストアップできてしまう「仕様」
AWSは正式に脆弱性とは認定してない
条件としては↓が揃ったとき
JSON 1.1 protocolの利用してる場合
APIアクションがpermissionに応じてユニークなエラーコードを吐き出す場合 (403)
actionが * の場合
AWS Shield がすべての AWS のお客様にグローバルおよびアカウントごとのイベントの概要を提供開始 #dos
AWS ShiledでDoS/DDoS Mitigationのイベントの場所、イベントの頻度と量、および過去 2 週間の最も一般的なイベントのグローバルヒートマップが表示される。おお。
AWS ShiledではL4までだが、AdvancedではL7も対象
Speeding up Amazon ECS container deployments #ecs #cicd
ECSデプロイを早める方法
LBヘルスチェックのチューニング
HealthCheckIntervalSeconds : 30 -> 5sec
HealthyThresholdCount : 5 -> 2
LBコネクションDraining (target group)
deregistration_delay.timeout_seconds : 300sec -> 5sec
SIGTERMが送られるまでの時間
streaming接続やuploadの重いアプリは、処理前にSIGTERMされるかもなので注意
SIGTERM Responsivenes
ECS_CONTAINER_STOP_TIMEOUT: 30sec -> 2sec
タスク定義ファイルのstopTimeoutパラメタでも対応可能
SIGTERM -> SIGTKILLが送られるまでの時間差なので要注意
この値は最もおそいトランザクションのレスポンスtime の倍にするのがいい
SIGTERM後はサーバーをcloseしてサーバーによる新リクエストのlisterningを止める
Graceful Shutdown
コンテナImageのpull
ECS_IMAGE_PULL_BEHAVIOR: default -> once or prefer-cached
EC2だとdiskにキャッシュされるが、Fargateはまだっぽい
デプロイのステップ数をへらす
minimumHealthyPercent: 100% -> 50%
デプロイ前にタスクを減らして、新タスクをデプロイできる余地を増やす
maximumPercent: 200%
トラスト #trust
ブロックチェーン #blockchain
Adds support for resolving ION DIDs #did #ssi #ion
DIFのUniversal ResolverがION DIDをサポート
IONって使えるっけ
Sovrin Foundation and Trust over IP Foundation Building a Trustworthy Internet for All #ssi #toip
Sovring Ecosystem -> ToIP Layer Four governance framework
DIF Monthly, October, 2020 #dif #did #ssi
DID AuthやIdentity & DiscoveryにSIOPが多くみられる。
Introducing: Condatis SSI OIDC Bridge #ssi #did
「Condatis」
OIDCサーバー, Evermym verify, SIOP SDKをバンドリングし、SSIとOIDCのブリッジをするsolution
WalletからはただのVerifierにみえ、RPからはただのOPに見えるようになる
SSI Issuerとverifierをいれ、proof requestテンプレをサポートしている
脅威/脆弱性 #vulnerability #threat #security
Bringing PRE into Enterprise #att&ck #mitre
エンプラart&ck向けに以前、preに分類されてたreconnaissanceとresource developmentがtacticsとして追加
resource devはターゲティングをサポートするためのリソースの開発・購入など
stix配信してんだ。知らなかった
Actionable Threat Objects and Mitigations (アクション可能な脅威オブジェクトとその緩和策: ATOM)のご紹 #mitre #att&ck
PaloaltoのMitreベースplaybook : https://pan-unit42.github.io/playbook_viewer/
palo製品のCourses of Actionがあるもののactorとその中のtechniqueとindicatorがひと目でわかるのがいい
coaもpalo製品ではあるが、対応策として参考になる
こちらも参照になる https://unit42.paloaltonetworks.com/atoms/
Actionable Threat Objects and Mitigations(アクション可能な脅威オブジェクトとその緩和策)。playbook_viewreはなくなるかも
金融 #financial
行政/会社/団体
内閣官房 IT総合戦略室 データ戦略タスクフォース「データ戦略の策定について」
官民ともにデータを活用するベースラインを構築し、共有することで価値の増幅を図る
申請のonce only、オープンデータ、データ標準・品質 on top of ID連携トラストサービスとベースレジストリ
Google ChromeとかEdgeでもe-Taxを使えるようになった話
菅首相肝煎りのデジタル庁、担当大臣が乗り越えるべき「敗戦」を語る
ツール/サービス/OSS #tools
EU Agency for Cybersecurity launches ISAC in a BOX Toolkit #isac
ENISAがだしたツール。ISACを設立、開発、評価するオンラインツールキット
試してみたけど、ポチポチすると必要なToDOリストができるイメージ
イベント/勉強会/発表資料
GoのテストをCIで簡単に並列実行するAdd Star #golang #test
golangのtestをパラレルでは知らせるツール -> https://github.com/Songmu/gotesplit
正規表現でテスト名を絞ってグループ分けすることも可能
Asynchronous Sorting in Go #algorithm #golang
分散キューという名の苦しみ #distributed
exactly once, at least once といってもキューはつらいので、ちゃんとアプリ側で設計しないといけないよ、という話
インシデント #incident
東証インシデント: 再発防止策検討協議会 #financial #東証
再発防止策検討協議会(第1回)の資料掲載について
根本原因としては、製品マニュアルがバージョンの変更とともに更新されいてなかったこと
ベンダー側のマニュアルと実際の仕様に齟齬があったこと
共有ディスク停止時でも、確実に売買停止を行う手段を整備してなかったこと
07:04~08:00の間に売買停止できたかも
その場合は注文停止にできて、そうすれば証券側も当日復旧が可能だったかも?ということ?
障害発生時の売買停止 -> 再開にかかるルールがなかったこと
今後の課題
当日中に売買再開が可能になりそうなルールの模索
すでに発注された注文の取り扱いに関するルールの整備
コンチプランの整備
などなど
東証インシデント続報(恒久対策あり) #financial #東証
10月1日に株式売買システムで発生した障害について
東京証券取引所様の株式売買システム「arrowhead」で発生した障害の原因と対策について : 富士通
マニュアルの記載と実際の仕様の齟齬が生じた原因は、当該共有ディスク装置のオペレーティングシステムのバージョンアップにより製品仕様が変更された際に、マニュアルの記載が変更されていなかったこと
(前回の続き)東証側の調査により、メモリ故障時にFOするための設定値が入ってなかったことが原因とわかっていた。じゃあ、その原因はというと、、、というのが今回のレポート。結果、マニュアルには、メモリ故障時には自動切替がおこなわれると書いてあったけど、実際の仕様とは異なり、そしてその原因はバージョンアップによる変更差分がマニュアルに反映されていなかったということ。
金融庁、東証に立ち入り検査へ 改善命令軸に処分検討
つら...
欧州証取システム障害 仏・オランダなど一時取引停止
SW障害で3hrほど取引が停止
その他
(有料)デジタル化や非監査の拡大策は トップ4人が語る
会計ビッグ4の今後の会計監査戦略。デジタル化だとか、監査方法だとか、体制だとか。
(有料) ID管理の未来形「分散型」 世界で開発競争激しく #ssi #did
SSIでドコモ口座 <-> 銀行間の問題を和らげる!ってあったけど照合の問題じゃないよね...という感じの記事