第9回ゼロから始めるセキュリティ勉強会に参加してきました!
ゼロから始めるセキュリティ勉強会 第9回目
セキュリティ対策の検討ポイント @ytakahashi1228さん
実体験をベースに説明
理想
セキュリティ対策の検討ポイント
セキュリティ要件の洗い出し
脆弱性の洗い出し
セキュリティ脅威の洗い出しの評価
セキュリティ対策の方針決定
セキュリティ対策の実施
実際
実際は頓挫することが多かったかも。。。
対策以前にとにかく解析してほしい、とにかく対策してほしい!
→なにかが起こってからの対策が多い
・実施の進め方
ウイルス感染
初動
LANケーブルを抜く
シャットダウンせずにそのまま問い合わせ
とにかく解析
セキュリティ対策ベンダへのフォレンジック調査
端末調査(どう感染したか)、環境調査(どう広がったか)があるので、何を調査するかも相談しながら
金額も調べとく(実際は結構高い)
とにかく対策
その事象にあった対策がベスト
フォレンジック結果をもとに対策したいけど、、、待ってくれない(対外的な報告や業務の復旧のため)
基本だけ抑えとくといい
基本的な対策と設定の確認
端末:アンチウィルスソフト、端末調査ソフト
入口:ファイアウォール、IPS
出口:サンドボックス
教育:セキュリティ対策教育(結構見落としがち)
運用:運用ルールの見直し
上記の観点で確認していき、今回の観点で防げたか、今後も防げるのか
これ以外にプラスアルファできるものはないか
報告書にまとめる
先ほどの観点でざっくりまとめる
フォレンジックの結果をもとにまとめると精度が高い
まとめ
どんな機能と効果があるかをまとめておくといい
何かあったときの問い合わせ先をはっきりさせておく
金額面も考慮
感想
実体験に即した、一般的な観点とは違う切り口で新鮮でした。
セキュリティ用Linuxのディストリビューションの紹介 @momomopasさん
KaliLinux
Debianベース
ぺネトレーション
フォレンジック
リバースエンジニアリング
wifi
Parrot Security OS
Debianベース
フォレンジック
暗号化ソフトウェア
プライバシー保護
プログラミング
Back Box
Ubuntuベース
ぺネトレーション
フォレンジック
Wifi
Pentoo
Gentoo
Black Arch Linux
Arch Linux
Kaliよりツールが多い
SAURAI WEB TESTING FRAMEWORK
Webアプリケーションテストに特化
Weak net Linux
Debianベース
KaliよりWifiツールがおおい
Matorix
Debianベース
DEFT
Ubuntuベース
フォレンジック特化
CAINE
Ubuntu
フォレンジック特化
BugTraqs
Ubuntu、Debianベース
モバイルフォレンジックがKaliより多い
SANTOKU
Lubuntu
モバイルフォレンジック
モバイルマルウェア
モバイルセキュリティ 特化
REMnux
Ubuntu
マルウェア解析
感想
思った以上にいっぱいあった。
知らない世界がたくさんあったので、用途に合ったディストリビューションを選んでいきたい。
ペネトレーションテストってなんだろう? @horyさん
とあるWebアプリケーション屋さん
お客さんから脆弱性診断について聞かれることが、年々変化していっている。
4,5年前
脆弱性診断してますか?
↓
webアプリ診断とプラットフォーム診断してますか?
↓
第三者によるwebアプリ診断とプラットフォーム診断してますか?
↓
ぺネトレーションテストしてますか?
↓
webアプリのぺネトレーションテストとプラットフォームのぺネトレーションテストしてますか? ←今ここ
ぺネトレーションテストの意味するところを事業者に聞くと以下のような答えが、
通常パターン「ツールに加えて手動の診断を加えます。」
本気パターン「電話とかメールとか使ってあらゆる手段で試みてみます。」
→ぺネトレーションテストがどの範囲なのか事業者ごとにばらつきがある気がする。
聞いてくる側も実はふわっと聞いているんじゃなかろうか
見つかった脆弱性に優先順位とつけ、どれを対策するかを考えるのがぺネトレーションテストでは、、、
感想
ぺネトレーションテストに関しては、自分自身も定義づけがあいまいだと思う。。。
整理するいい機会になりました。
不審メールのダウンローダスクリプト解析について @hiroさん
不審メールの分類
最近のばらまきメールの傾向
zip、xlsxが添付されたメールが多い
2017年の6月くらいからxlsxが増えてきた。
ダウンローダは難読化されている。
解析するとダウンロード、ペイロードの場所を特定できるかもしれない。
自分で解析する場合の方法は3種類
- 表層解析
- 動的解析
- 静的解析
動的解析する場合、マルウェアにAnti-Debugging機能がついていることがある。
Anti-Debugging
仮想環境によるふるまいを検知すると動きを止める
fakeSandBoxで検索
自前で解析するのが大変な場合、以下のような方法が考えられる。
- 解析済みの情報を収集する(主にツイッター)
- 解析サイトで解析(Hybrid Anarysys)
・・・いろんなばらまきメールの解析デモ・・・
ダウンローダ解析のまとめ
解析する場合は十分注意してやりましょう。
感想
マルウェア解析のノウハウが豊富で非常に面白かった。
自分も自前で解析できるレベルまでいきたい。
社内社外監査対応について @Ex1_asami9244
セキュリティ監査とは
経営や業務の活動が適切におこなわれていることを法令や規則に照らし合わせて点検・評価すること
監査を受けるメリット
第三者に対しての信頼の獲得
課題の明確化(どこを目指すのか)
情報セキュリティマネジメントの確立(ステップの方向性がわかる)
業界基準など適合性の評価(公官庁、金融関係は厳しい)
よくある企業の構成として、内部監査を行う部署と、リスクコンプライアンスの部署がある。
内部監査:内向けの部署
リスクコンプライアンス:外向けに発信する部署
監査ではどんなことを見るのか
ログの収集
外部データログ
webサイトアクセス制限のログ
フォルダ・ファイルのアクセスログ
ファイル権限の管理
SharePoint
Exchange
ファイルサーバ
各社ID管理
Office365
ActiveDirectory
PCのアプリケーション ユーザID
感想
監査って、ざっくりしたイメージしかなかったけど、ある程度理解を深めることができたと思います。
フリーのWAFを使ってみた @tokoroten0813さん
WAF(Web Application Framework)とは
アプリケーションレイヤでチェックをかける
Ex)スクリプトタグが入っていたら、そのリクエストを切ってしまう。
WAF運用の注意点
Webアプリケーションの脆弱性を埋めたうえでWAFを入れる
WAF側での対応漏れがあったり、WAFにも脆弱性がある。。。
不正な入力として認識してほしくないリクエストをとめちゃう(CMSとか)
実際遭遇した事例
SQLインジェクションの脆弱性があった
httpだと、WAFが効いてデータを引っこ抜けなかったのに、HhttpsだとSQLインジェクションでデータ引っこ抜けた
→SSLで暗号化されていてWAFがリクエストの中身を見ることができなかった
よくある導入事例
PCIDDSにWAF入れといてねって書いてあるから入れてみた。
→その結果、HTTPSの対応忘れで意味ない場合がある
WAFはお金がかかる
「ModSecurity」がおすすめ
・無料
・Apatchモジュールで動作
・カスタム設定はもちろんOWASPおすすめ設定もできるよ!
デメリット
・なにかあっても自分が悪い
・情報が少ない
・おすすめ設定だと、Webアプリの動作がおかしくなる可能性(IPAの資料が非常に参考になる)
まとめ
WAFは水際対策というイメージをもつこと
脆弱性って何さ? @oba
時間の関係上カット
参加した感想
勉強会でLTをやる人が増えて、時間がカツカツだった!
それだけ盛り上がってきているんだと思う。
自分より技術力が高い方に負けないよう、モチベーションが上がった!