いろんなまとめ

IT技術系のことを気が向くままに書いていきます。勉強会の感想とか

第9回ゼロから始めるセキュリティ勉強会に参加してきました!

ゼロから始めるセキュリティ勉強会 第9回目

 

セキュリティ対策の検討ポイント @ytakahashi1228さん

実体験をベースに説明


理想
セキュリティ対策の検討ポイント

セキュリティ要件の洗い出し
脆弱性の洗い出し
セキュリティ脅威の洗い出しの評価
セキュリティ対策の方針決定
セキュリティ対策の実施

実際
実際は頓挫することが多かったかも。。。

対策以前にとにかく解析してほしい、とにかく対策してほしい!
→なにかが起こってからの対策が多い

・実施の進め方

ウイルス感染
 初動
  LANケーブルを抜く
  シャットダウンせずにそのまま問い合わせ
 
 とにかく解析
  セキュリティ対策ベンダへのフォレンジック調査
  端末調査(どう感染したか)、環境調査(どう広がったか)があるので、何を調査するかも相談しながら
  金額も調べとく(実際は結構高い)
  
 とにかく対策
  その事象にあった対策がベスト
  フォレンジック結果をもとに対策したいけど、、、待ってくれない(対外的な報告や業務の復旧のため)
  基本だけ抑えとくといい

  基本的な対策と設定の確認
   端末:アンチウィルスソフト、端末調査ソフト
   入口:ファイアウォール、IPS
   出口:サンドボックス
   教育:セキュリティ対策教育(結構見落としがち)
   運用:運用ルールの見直し
   
   上記の観点で確認していき、今回の観点で防げたか、今後も防げるのか
   これ以外にプラスアルファできるものはないか
   
 報告書にまとめる
  先ほどの観点でざっくりまとめる
  フォレンジックの結果をもとにまとめると精度が高い
  
  
まとめ
 どんな機能と効果があるかをまとめておくといい
 何かあったときの問い合わせ先をはっきりさせておく
 金額面も考慮

感想
 実体験に即した、一般的な観点とは違う切り口で新鮮でした。

 

セキュリティ用Linuxディストリビューションの紹介 @momomopasさん

KaliLinux
 Debianベース
 ぺネトレーション
 フォレンジック
 リバースエンジニアリング
 wifi
 
Parrot Security OS
 Debianベース
 フォレンジック
 暗号化ソフトウェア
 プライバシー保護
 プログラミング

Back Box
 Ubuntuベース
 ぺネトレーション
 フォレンジック
 Wifi

Pentoo
 Gentoo
 
Black Arch Linux
 Arch Linux
  Kaliよりツールが多い
  
SAURAI WEB TESTING FRAMEWORK
 Webアプリケーションテストに特化
 
Weak net Linux
 Debianベース
 KaliよりWifiツールがおおい
 
Matorix
 Debianベース
 
DEFT
 Ubuntuベース
 フォレンジック特化
 
CAINE
 Ubuntu
 フォレンジック特化
 
BugTraqs
 UbuntuDebianベース
 モバイルフォレンジックがKaliより多い
 
SANTOKU
 Lubuntu
 モバイルフォレンジック
 モバイルマルウェア
 モバイルセキュリティ 特化
 
REMnux
 Ubuntu
 マルウェア解析

 

感想

思った以上にいっぱいあった。
知らない世界がたくさんあったので、用途に合ったディストリビューションを選んでいきたい。

ペネトレーションテストってなんだろう? @horyさん


とあるWebアプリケーション屋さん

お客さんから脆弱性診断について聞かれることが、年々変化していっている。

 

4,5年前
脆弱性診断してますか?

webアプリ診断とプラットフォーム診断してますか?

第三者によるwebアプリ診断とプラットフォーム診断してますか?

ぺネトレーションテストしてますか?

webアプリのぺネトレーションテストとプラットフォームのぺネトレーションテストしてますか? ←今ここ

 

ぺネトレーションテストの意味するところを事業者に聞くと以下のような答えが、


通常パターン「ツールに加えて手動の診断を加えます。」
本気パターン「電話とかメールとか使ってあらゆる手段で試みてみます。」

 

→ぺネトレーションテストがどの範囲なのか事業者ごとにばらつきがある気がする。

 

聞いてくる側も実はふわっと聞いているんじゃなかろうか

見つかった脆弱性に優先順位とつけ、どれを対策するかを考えるのがぺネトレーションテストでは、、、

 

感想

ぺネトレーションテストに関しては、自分自身も定義づけがあいまいだと思う。。。

整理するいい機会になりました。

 

不審メールのダウンローダスクリプト解析について @hiroさん

不審メールの分類
最近のばらまきメールの傾向

zip、xlsxが添付されたメールが多い

2017年の6月くらいからxlsxが増えてきた。

 

ダウンローダは難読化されている。
解析するとダウンロード、ペイロードの場所を特定できるかもしれない。

 

自分で解析する場合の方法は3種類

  • 表層解析
  • 動的解析
  • 静的解析

動的解析する場合、マルウェアにAnti-Debugging機能がついていることがある。

Anti-Debugging
 仮想環境によるふるまいを検知すると動きを止める
 
 fakeSandBoxで検索

自前で解析するのが大変な場合、以下のような方法が考えられる。

  • 解析済みの情報を収集する(主にツイッター)
  • 解析サイトで解析(Hybrid Anarysys)

・・・いろんなばらまきメールの解析デモ・・・

 

ダウンローダ解析のまとめ
解析する場合は十分注意してやりましょう。

 

感想

マルウェア解析のノウハウが豊富で非常に面白かった。

自分も自前で解析できるレベルまでいきたい。

 

社内社外監査対応について @Ex1_asami9244

セキュリティ監査とは
 経営や業務の活動が適切におこなわれていることを法令や規則に照らし合わせて点検・評価すること
 
 監査を受けるメリット
  第三者に対しての信頼の獲得
  課題の明確化(どこを目指すのか)
  情報セキュリティマネジメントの確立(ステップの方向性がわかる)
  業界基準など適合性の評価(公官庁、金融関係は厳しい)
 

よくある企業の構成として、内部監査を行う部署と、リスクコンプライアンスの部署がある。


内部監査:内向けの部署
リスクコンプライアンス:外向けに発信する部署

 

監査ではどんなことを見るのか

ログの収集
 外部データログ
 webサイトアクセス制限のログ
 フォルダ・ファイルのアクセスログ


ファイル権限の管理
 SharePoint
 Exchange
 ファイルサーバ
 
各社ID管理
 Office365
 ActiveDirectory
 PCのアプリケーション ユーザID

 

感想
監査って、ざっくりしたイメージしかなかったけど、ある程度理解を深めることができたと思います。

フリーのWAFを使ってみた @tokoroten0813さん

WAF(Web Application Framework)とは

アプリケーションレイヤでチェックをかける
Ex)スクリプトタグが入っていたら、そのリクエストを切ってしまう。

WAF運用の注意点
 Webアプリケーションの脆弱性を埋めたうえでWAFを入れる
  WAF側での対応漏れがあったり、WAFにも脆弱性がある。。。
 
 不正な入力として認識してほしくないリクエストをとめちゃう(CMSとか)
 
実際遭遇した事例
 
 SQLインジェクション脆弱性があった
 httpだと、WAFが効いてデータを引っこ抜けなかったのに、HhttpsだとSQLインジェクションでデータ引っこ抜けた
 →SSLで暗号化されていてWAFがリクエストの中身を見ることができなかった
 

 よくある導入事例
  PCIDDSにWAF入れといてねって書いてあるから入れてみた。
  →その結果、HTTPSの対応忘れで意味ない場合がある
 
 WAFはお金がかかる
 「ModSecurity」がおすすめ
 ・無料
 ・Apatchモジュールで動作
 ・カスタム設定はもちろんOWASPおすすめ設定もできるよ!
 
 デメリット
 ・なにかあっても自分が悪い
 ・情報が少ない
 ・おすすめ設定だと、Webアプリの動作がおかしくなる可能性(IPAの資料が非常に参考になる)
 

まとめ
 WAFは水際対策というイメージをもつこと

 

脆弱性って何さ? @oba

 時間の関係上カット

 

参加した感想

 勉強会でLTをやる人が増えて、時間がカツカツだった!

 それだけ盛り上がってきているんだと思う。

 自分より技術力が高い方に負けないよう、モチベーションが上がった!