こんにちは、ひろかずです。
5/22にトレンドマイクロさんで開催されたSecurity-JAWS#5に行ってきましたので、一筆書きます。
月曜に関わらず、盛況な集まりでした。
お品書き
Session1:トレンドマイクロ株式会社 姜 貴日さん「Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する」
Session2:三井物産セキュアディレクション株式会社 大橋 和正さん「インシデント別対策から見るセキュリティ運用体制〜Alert Logicのことも少し〜」
Session3:エフセキュア株式会社 河野 真一郎さん「脆弱性について疑似クラッキング(デモ)をやってみる ~脆弱性対策はとても大切。でも多くの人はそれに気づかないんだ〜」
Session4:洲崎さん「AWS使って社内CTFを開催してみた」
Session1:「Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する」
トレンドマイクロ株式会社 姜(かん) 貴日さん
DeepSecurityとは
サーバ向け総合セキュリティ対策製品
IPS/IDS, セキュリティログ監視, アンチマルウェア, 変更監視
単一の機能ではなく、多層防御の考え方でセキュリティを確保する製品。
AWSコンソールとDeepSecurityManagerが連携して、インスタンスの増減を自動で反映する機能もある。
自動防御の仕組み
今回の構成は、AWS上にALB(AWS WAF)-EC2(ECS)を配置した構成。
SNSとLambdaを用意
SecurityGroupは、隔離用のもの(Outbound,Inboudなし)を用意しておく
シナリオ1(自動ブロック)
- Deep Security Agentの侵入防御(IPS/IDS)で検知する。
- Deep Security ManagerからイベントがSNS送信される。
- SNSは、Lambdaに通知する。
- Lambdaは、送信元IPをAWS WAFのIP Condition(Blocked)に登録する。
シナリオ2(自動隔離)
- DeepSecurityAgentのアンチマルウェアで検知
- イベントがSNS送信
- SNSはLambdaに通知
- Lambdaは、検知したインスタンスIDのSGを隔離用のものに差し替え、Auto Scaling Groupから切り離す。
- Auto Scaling Groupの設定により、差し替え用インスタンスが起動される
まとめ
より、リアルに近い環境でのPoCを実施したい。
共同PoC大募集中!声かけてください!
QA
IPは、トレンドマイクロのデータベースと突き合わせるのですか?
- 今は検知ベースです。
テンプレートは公開されていますか?
- まだです(公開予定)
IPはころころ変わると思いますが、リフレッシュとか考えてますか?
- そういうフィードバック大歓迎です!
DSaaSは、どこまでの規模感に対応できますか?
- DSaaSは、中規模向け。大規模ならDSMがいい。(中規模って、どれくらい?100大規模?)
- 国内で1000超えはない。100大規模は実績ある。
DSaaSのバージョンアップってどうなんだろう?
- Manager側は自動でバージョンアップされます。
Session2:「インシデント別対策から見るセキュリティ運用体制〜Alert Logicのことも少し〜」
三井物産セキュアディレクション株式会社 大橋 和正さん
もともとオンプレメインのセキュリティエンジニア出身。
三井物産セキュアディレクションは、セキュリティ診断、SOC、セキュリティコンサルティングをやっている。
Alert Logicの拡販はじめました。
セキュリティ脅威の動向
IPA発表の10大脅威では、標的型攻撃、ランサムウェアが多く、公開サーバではインジェクション系が多い。
VerizonでもWebサーバに対する攻撃がダントツ
ランサムによる被害
WannaCryの詳細は三井物産セキュアディレクションのサイトで公開中!
Apache Struts2脆弱性をついた情報流出の事例
Twitterで気づく等、対応の遅れがあった
セキュリティインシデントとは?
コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの
意図的脅威
- パスワードリスト攻撃
- サービス拒否攻撃
- 情報の持ち出し(内部犯行)
- サイト改ざん(ハクティビズム、マルウェア配布)
偶発的脅威
- 設定ミス
- プログラムのバグ
- メール誤送信(情報漏えい)
- PC紛失(情報漏えい)
なぜ事前準備が必要?
100%攻撃を防ぐことはできない
- 攻撃技術の進歩(いたちごっこ)
- 人間が使う以上、100%はない(オペミスはない)
天災には備えるのに、セキュリティインシデントへの備えはしないの?
- 対応の遅れが、ユーザーからの信頼失墜に結びつく。
どのようなインシデントがあって、どのような対応をするのか準備しておく。
AWSにおけるセキュリティインシデントについて
クラウドvsオンプレ
アジリティと自動化
高可用性
おなじみAWS責任共有モデル
コンピューティング、ネットワーク、ストレージ等、クラウド基盤はAWSの責任範囲
OSレイヤ以上は、利用者側の責任ではあるが、SIerやベンダーと協力して対応して行く必要がある。
インシデントの種類をマッピングして、対応すべきセキュリティインシデントを明確にすることが大事。
Alert Logicについて
セキュリティの専門家がSOCで監視している。
リクエストとレスポンスのペイロードがコンソールで見れる。
Session3:「脆弱性について疑似クラッキング(デモ)をやってみる ~脆弱性対策はとても大切。でも多くの人はそれに気づかないんだ〜」
エフセキュア株式会社 河野 真一郎さん
セキュリティ営業3年目(2月からエフセキュア所属)
本社はフィンランド
衣装はガルパンモチーフ
まずは質問
脆弱性をついたクラッキングデモを実際に見たことある方ー!(会場は半々)
今回のシナリオ
標的型メールの添付ファイル(履歴書)を送りつけて、開いてしまった。
前提条件
アンチウィルス、メールサーバ前段のFirewallでは阻害されない
- 標的型攻撃なので事前調査している想定
AWS接続が簡単なのは、デモのため。
デモ
開いた時点で、Windows7の一般権限は取れている。
攻撃ツールを使用してコマンドプロンプトを操作できる。
1分に一回だけ使える脆弱性をついてAdministoratorに昇格。
PowerShellでDomain Adminを取るまで約6分
OSのパッチ適用してる?
Linuxでも脆弱性管理をしていなければ、ハッカーにかかれば危ない。
OSのパッチ適用だけでは不十分(脆弱性は全体の約12%)
ミドルウェア、アプリケーションの脆弱性が85%をを占める。
宣伝
エフセキュアでは、Rapid Detection Serviceというサービスがある。
デモのような脆弱性がないかを見て欲しいひとはコンタクトして!
Session4:「AWS使って社内CTFを開催してみたよ」
洲崎さん
謎の勉強会ssmjpの運営やってます。
某社で社内CTFを開催しました
会社のHP
30人規模から70人規模に参加者が増えた
セキュリティエンジニアに楽しんで貰える
集合研修方式
Jeopardy形式
CTF終了後には問題と解説を配布(希望者には環境も)
ガジェット
状況を表示するLED看板
ラズパイでスコアサーバのWebAPIに定期的に投げる
スコアサーバは自作
運用管理ダッシュボードを用意
競技PCはWorkspacesを使いたいなー(NGだった)
得られた知見
AWSでイベントやるには申請が必要。
日本語NG。英語で申請。
EC2のみ。WorkspacesはNG。
申請時にはかなり細かく聞かれる。終わるときにはイベント設計が終わってるレベル。
申請から承認まで7日と言われたが、割とすぐに承認がおりた。
Docker(ECS)を使いたかった
時間の関係でEC2に
使えたらECRでデプロイが超ラクになる
監視サーバ
Zabbix Docker Monitoringを使ってみた。
TCPとWebサービスについて
実際にかかった金額
準備期間を含めて$2555だった。
Workspacesの検証がなければもっと安くあがっただろう
QA
参加者の平均年齢は?
- 若手が多かったが、ベテランまで
運営は何人?
- 5人。問題は2人で作った。大変だった。他の人も巻き込んでいきたい。
参加者スキルのピンきり具合
- 満足度は70%(研修としては悪め)
- 事前にフルイにかけたけど、ミスマッチした方は残念だった。
- トップは、CTF運営経験者だった
正答率は?
- 71.38%。8割の問題が解かれた。
- 2割の問題が解かれなかった。(作った人は凹んでた。作ったのに解かれないのは悲しい。)
最後に
質疑応答も活発でした!
次回も楽しみですね!
今日はここまでです。
お疲れ様でした。
