情報収集 - 2020/11/09
今週のおすすめ/一言所管
ユーザーは認証用の電話番号と、ただの連絡用電話番号をわけることができるようになった
Graph APIでFIDOキー/パスワードレス電話の読み取り・削除
sspr用のメアドの読み取り・更新・削除
Microsoft Security and ComplianceのEndpoint DLPがGAに
DLPによってOffice365, Exchange, OneDrive, SharePoint, Teams, Edgeでコピーを禁じたり、アップロードを禁じたり
ついでにAlertがPublic Preview化
Sensitivity LabelとDLPのコンボが充実
MicrosoftのMFAでボイスコールやSMSを使うのやめようぜって記事
周辺技術との統合が難しい、平文通信、ソーシャルエンジニアしやすい、パフォーマンスが安定しない、規制によって左右される、という理由
アナログ回線の平文通信ケース以外は、正直説得性に薄い
ソーシャルエンジニアリングはOTOPでも同じ
脆弱性情報の詳細の見え方が変わりわかりやすくなった
Azure SentinelはPlaybookによってインシデント発生時のSOAR 的活動が実行される
そのPlaybookの監視をするためのPlaybook health monitoringというWorkbook
Workbookはデータ分析やビジュアルレポートを提供するAzureの機能
当該Workbookは以下を監視し、ビジュアル化する
成功失敗数や異常吸う、失敗数、平均実行時間、エラーの特定、変更管理、請求関係の情報
IntuneがBig Surをゼロデイサポート
攻撃シミュレーションがMicrosoft365 E3およびE5にプレビュー
E5と同じ分量があるわけではないみたい <E3
フィッシングシユレーションを自動化し、対象をターゲットしたりなど
ペイロードの添付、スケジューラー、レポートが提供される
boxのデータをMCASでガバナンス
BoxとMcas連携すると、BoxファイルがMCASで一覧化される
一覧だけでなくMcasがBoxのファイルに対する操作(例: ラベルづけ)が一部できるようになる
共有リンクに時間制限をつける、隔離するなど
Kinesis data streamsでデータを最大①年間保存できるようになった。7日から1年間ってすごない
(論文)サイバーセキュリティのグローバル・ガバナンス by 小宮山さん
Saying no to Digital ID is like saying no to cooking with fire. It’s there, so use it
digital identity is actually more about how people access services, rather than what services are being offered
文明社会は法律と規制によってデジタルIDが保護されることを前提(信頼)する必要があり、プライバシーデザインと技術によるプライバシーが確保されている必要がある
組織的にSW脆弱性管理(VULN)の有効性を診断するプロセス。リスク管理向け
Automationって書いてあるが、組織的なAdaptivenessと読み替えたほうが良さそう
ピンポイントで2.4のVULデータ要求の例は参考になった
Actual State, Desire State, オペレーションフローの例が掲載されている
これはNISTIR8011のVolume4なので、その前のSWAMとかHWAMは読んでおいたほうがいいかも
シンガポールが作ったファンド「Temasek」が作った「Affinidi」スタートアップ
AffinidiはDLTを提供して、W3C DIDベースのソリューションを提供する
TemasekはHSBCとブロチェ債発行プラフォの開発をして,取引所でつかわれた
MASは銀行がKYCをリモートで実行するための競技を開始した。公開情報に頼ることをやめたいみたい。
ShareRingというデジタルID DLTで楽天グローバル・サービスが展開されてる
4つのサービスを提供
One Login, One payment, One App, ShareRingID(SSI)
Challenge: 系とリスクの複雑化, 意図しないエラー・ミスの増加(含むクラウド), サプライチェーン・3rdパーティの脅威
攻撃手法の傾向: Credential Stuffing/パスワードスプレー増加
攻撃ベクターの傾向: attackサーフェスの拡大, ビジネスプロセスのexploit, 攻撃はエッジへ(interconnectedな境界)
全体的傾向
84%の攻撃はソーシャルエンジニアリングを活用
67%のマルウェアはhttpsによる配送
71%の企業がlateteral movementを経験
データ漏えいの検知は発生後から平均6ヶ月
よく見られるアクター: TURLA, APT27, VICIOUS Panda, GAMAREDON
目的: 金銭、エスピオナージが目的
手法
フィッシングやBECが増加。BECはクレデンシャルの漏洩が増えた結果によるもの。
ランサムウェアがキャンペーン化されることで、以前の標的型攻撃チックになってきた
キャンペーンのas-a-service化
攻撃の起点
窃取したクレデンシャルのブルートフォース あるいは フィッシングへのコンボ(BEC)
設定ミス(S3やESの認証なし公開)が起点になることも多い
その後はだいたい、他の標的型攻撃と同じ流れ
https://gyazo.com/3c72731dd28b056266bd63e0d80f7aff
CSA(Cloud Security Alliance)のインシデントのケーススタディ。CSA独自の指標で脅威・脆弱性・インパクト・対策をまとめている
大体、設定ミスに気をつけろ、ってことになりそう。時点でIAM管理
Apple系プロダクトのパッチリリース
line でも同様の手口あり
そのためのFIDO
https://gyazo.com/00b3e1e946179cd157a36f08c444d7d9
日本の銀行は多角化やアジア進出をしてきたが、結果は振るわず。欧州勢は経済危機で青息吐息。米国系銀行は内需に立ち返りつつ、IT人材の積極的な雇用により堅調。ペイパルやビザの時価総額の伸びも半端ない
銀行が持つ顧客の取引情報を官公庁の統計と合わせて販売するサービス「みずほインサイト・ポータル」
みずほ口座ホルダーじゃないので、今まで銀行口座を無料で使ってたしいいんじゃないと雑に言ってみるが、まさかのオプトアウト
申し出があれば本人のデータを対象から外す
MUFJ向けWealthNaviアプリ?手数料は変わらず1%
500億円 / 2マン人月で、2025年まで基幹システムをオープン系に置き換えシステム関連携を促進する
ちなみに、経験者等の意見をみると「安すぎ」らしい
目的は、銀行の持つデータを効率よく活用し、フィンテック企業などと外部連携したりする環境を整備する
クラウドはサイバー・セキュリティなど、安定性の面で懸念が残るため見送り
REST APIを通じて異業種を含むパートナー企業のシステムや外部プラットフォーマーと勘定系システム
https://gyazo.com/6391fdc973322b7462a0c5fbfa92921a
行政/会社/団体
eシール(法人側)と電子署名(自然人)をどう紐付けるか議論されてて面白かった
他: eシールの受領条件、適合性評価、導入コストの話
ベンチマークにしてる国: デンマーク、シンガポール、エストニア。他にはアメリカ、イギリス
国と地方のアーキをPoCなしでエイやっとやるみたい
アーキをそろえる前に行政統一Identityが合ったほうが良さそう。どっかでみたけど↓
以前紹介したが、その時より資料が増えてた。
ワンスオンリ、重要データの特定、データの活用と共有の推進、ベースレジストリ、データ標準、データ品質強化、設計、ルール公開、アクセス方法の多様化、プラットフォームの活用、人材育成・支援
社会の基本データは、デジタル時代のインフラであり、地力(ポテンシャル)である。燃
ワンスオンリーとスマートシティに欠かせない
次の3点が必要
1. 表記・文字データ・数値を含んだデータ標準
2. データ管理に関する理念を法律等で明確化(ルール)
データが紙と同等だとか、データ共有原則とか、
3. データ非品質の評価
ISO25012(データそのものの評価), 25024(データの流れの評価), 8000(データガバナンスの評価)
検索性のために重要
USのメタデータ標準: DCAT-US Schema v1.1
EUのメタデータ標準: DCAT-AP
タイトルどおり
Yubikeyの生体認証版が登場。やったぜ。まだベータ版
スマホアプリでマイナカードと連携することで電子署名ができるようになるxIDがFIDOアライアンスに参加
イベント/勉強会/発表資料
OSSではリソースもかなり限定されるためセキュリティ対応が後回しになりがち
action可能な項目をスコアカード化し、自動て可視化する
コードレビュープロセス、セキュリティポリシー、fuzzig/SASTのテストカバレジから算出
気になる。Go-FUZZとLIBFUZZERを使って、Goパッケージをファジングするチュートリアル
その他