ゼロから始めるセキュリティ勉強会　第9回目

セキュリティ対策の検討ポイント　＠ytakahashi1228さん

実体験をベースに説明

理想
セキュリティ対策の検討ポイント

セキュリティ要件の洗い出し
脆弱性の洗い出し
セキュリティ脅威の洗い出しの評価
セキュリティ対策の方針決定
セキュリティ対策の実施

実際
実際は頓挫することが多かったかも。。。

対策以前にとにかく解析してほしい、とにかく対策してほしい！
→なにかが起こってからの対策が多い

・実施の進め方

ウイルス感染
　初動
　　LANケーブルを抜く
　　シャットダウンせずにそのまま問い合わせ
　
　とにかく解析
　　セキュリティ対策ベンダへのフォレンジック調査
　　端末調査(どう感染したか)、環境調査(どう広がったか)があるので、何を調査するかも相談しながら
　　金額も調べとく(実際は結構高い)
　　
　とにかく対策
　　その事象にあった対策がベスト
　　フォレンジック結果をもとに対策したいけど、、、待ってくれない(対外的な報告や業務の復旧のため)
　　基本だけ抑えとくといい

　　基本的な対策と設定の確認
　　　端末：アンチウィルスソフト、端末調査ソフト
　　　入口：ファイアウォール、IPS
　　　出口：サンドボックス
　　　教育：セキュリティ対策教育(結構見落としがち)
　　　運用：運用ルールの見直し
　　　
　　　上記の観点で確認していき、今回の観点で防げたか、今後も防げるのか
　　　これ以外にプラスアルファできるものはないか
　　　
　報告書にまとめる
　　先ほどの観点でざっくりまとめる
　　フォレンジックの結果をもとにまとめると精度が高い
　　
　　
まとめ
　どんな機能と効果があるかをまとめておくといい
　何かあったときの問い合わせ先をはっきりさせておく
　金額面も考慮

感想
　実体験に即した、一般的な観点とは違う切り口で新鮮でした。

セキュリティ用Linuxのディストリビューションの紹介　＠momomopasさん

KaliLinux
　Debianベース
　ぺネトレーション
　フォレンジック
　リバースエンジニアリング
　wifi
　
Parrot　Security　OS
　Debianベース
　フォレンジック
　暗号化ソフトウェア
　プライバシー保護
　プログラミング

Back Box
　Ubuntuベース
　ぺネトレーション
　フォレンジック
　Wifi

Pentoo
　Gentoo
　
Black Arch Linux
　Arch Linux
　　Kaliよりツールが多い
　　
SAURAI　WEB　TESTING　FRAMEWORK
　Webアプリケーションテストに特化
　
Weak net　Linux
　Debianベース
　KaliよりWifiツールがおおい
　
Matorix
　Debianベース
　
DEFT
　Ubuntuベース
　フォレンジック特化
　
CAINE
　Ubuntu
　フォレンジック特化
　
BugTraqs
　Ubuntu、Debianベース
　モバイルフォレンジックがKaliより多い
　
SANTOKU
　Lubuntu
　モバイルフォレンジック
　モバイルマルウェア
　モバイルセキュリティ　特化
　
REMnux
　Ubuntu
　マルウェア解析

感想

思った以上にいっぱいあった。
知らない世界がたくさんあったので、用途に合ったディストリビューションを選んでいきたい。

ペネトレーションテストってなんだろう？　＠horyさん

とあるWebアプリケーション屋さん

お客さんから脆弱性診断について聞かれることが、年々変化していっている。

4,5年前
脆弱性診断してますか？
↓
webアプリ診断とプラットフォーム診断してますか？
↓
第三者によるwebアプリ診断とプラットフォーム診断してますか？
↓
ぺネトレーションテストしてますか？
↓
webアプリのぺネトレーションテストとプラットフォームのぺネトレーションテストしてますか？　←今ここ

ぺネトレーションテストの意味するところを事業者に聞くと以下のような答えが、

通常パターン「ツールに加えて手動の診断を加えます。」
本気パターン「電話とかメールとか使ってあらゆる手段で試みてみます。」

→ぺネトレーションテストがどの範囲なのか事業者ごとにばらつきがある気がする。

聞いてくる側も実はふわっと聞いているんじゃなかろうか

見つかった脆弱性に優先順位とつけ、どれを対策するかを考えるのがぺネトレーションテストでは、、、

感想

ぺネトレーションテストに関しては、自分自身も定義づけがあいまいだと思う。。。

整理するいい機会になりました。

不審メールのダウンローダスクリプト解析について　＠hiroさん

不審メールの分類
最近のばらまきメールの傾向

zip、xlsxが添付されたメールが多い

2017年の6月くらいからxlsxが増えてきた。

ダウンローダは難読化されている。
解析するとダウンロード、ペイロードの場所を特定できるかもしれない。

自分で解析する場合の方法は3種類

• 表層解析
• 動的解析
• 静的解析

動的解析する場合、マルウェアにAnti-Debugging機能がついていることがある。

Anti-Debugging
　仮想環境によるふるまいを検知すると動きを止める
　
　fakeSandBoxで検索

自前で解析するのが大変な場合、以下のような方法が考えられる。

• 解析済みの情報を収集する(主にツイッター)
• 解析サイトで解析(Hybrid Anarysys)

・・・いろんなばらまきメールの解析デモ・・・

ダウンローダ解析のまとめ
解析する場合は十分注意してやりましょう。

感想

マルウェア解析のノウハウが豊富で非常に面白かった。

自分も自前で解析できるレベルまでいきたい。

社内社外監査対応について　＠Ex1_asami9244

セキュリティ監査とは
　経営や業務の活動が適切におこなわれていることを法令や規則に照らし合わせて点検・評価すること
　
　監査を受けるメリット
　　第三者に対しての信頼の獲得
　　課題の明確化(どこを目指すのか)
　　情報セキュリティマネジメントの確立(ステップの方向性がわかる)
　　業界基準など適合性の評価(公官庁、金融関係は厳しい)
　

よくある企業の構成として、内部監査を行う部署と、リスクコンプライアンスの部署がある。

内部監査：内向けの部署
リスクコンプライアンス：外向けに発信する部署

監査ではどんなことを見るのか

ログの収集
　外部データログ
　webサイトアクセス制限のログ
　フォルダ・ファイルのアクセスログ

ファイル権限の管理
　SharePoint
　Exchange
　ファイルサーバ
　
各社ID管理
　Office365
　ActiveDirectory
　PCのアプリケーション　ユーザID

感想
監査って、ざっくりしたイメージしかなかったけど、ある程度理解を深めることができたと思います。

フリーのWAFを使ってみた　＠tokoroten0813さん

WAF(Web Application Framework)とは

アプリケーションレイヤでチェックをかける
Ex)スクリプトタグが入っていたら、そのリクエストを切ってしまう。

WAF運用の注意点
　Webアプリケーションの脆弱性を埋めたうえでWAFを入れる
　　WAF側での対応漏れがあったり、WAFにも脆弱性がある。。。
　
　不正な入力として認識してほしくないリクエストをとめちゃう(CMSとか)
　
実際遭遇した事例
　
　SQLインジェクションの脆弱性があった
　httpだと、WAFが効いてデータを引っこ抜けなかったのに、HhttpsだとSQLインジェクションでデータ引っこ抜けた
　→SSLで暗号化されていてWAFがリクエストの中身を見ることができなかった
　

　よくある導入事例
　　PCIDDSにWAF入れといてねって書いてあるから入れてみた。
　　→その結果、HTTPSの対応忘れで意味ない場合がある
　
　WAFはお金がかかる
　「ModSecurity」がおすすめ
　・無料
　・Apatchモジュールで動作
　・カスタム設定はもちろんOWASPおすすめ設定もできるよ！
　
　デメリット
　・なにかあっても自分が悪い
　・情報が少ない
　・おすすめ設定だと、Webアプリの動作がおかしくなる可能性(IPAの資料が非常に参考になる)
　

まとめ
　WAFは水際対策というイメージをもつこと

脆弱性って何さ？　＠oba

 時間の関係上カット

参加した感想

　勉強会でLTをやる人が増えて、時間がカツカツだった！

　それだけ盛り上がってきているんだと思う。

　自分より技術力が高い方に負けないよう、モチベーションが上がった！