こんにちは、ひろかずです。
5/22にトレンドマイクロさんで開催されたSecurity-JAWS#5に行ってきましたので、一筆書きます。
月曜に関わらず、盛況な集まりでした。
#お品書き
Session1:トレンドマイクロ株式会社 姜 貴日さん「Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する」
Session2:三井物産セキュアディレクション株式会社 大橋 和正さん「インシデント別対策から見るセキュリティ運用体制〜Alert Logicのことも少し〜」
Session3:エフセキュア株式会社 河野 真一郎さん「脆弱性について疑似クラッキング(デモ)をやってみる ~脆弱性対策はとても大切。でも多くの人はそれに気づかないんだ〜」
Session4:洲崎さん「AWS使って社内CTFを開催してみた」
#Session1:「Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する」
トレンドマイクロ株式会社 姜(かん) 貴日さん
##DeepSecurityとは
サーバ向け総合セキュリティ対策製品
IPS/IDS, セキュリティログ監視, アンチマルウェア, 変更監視
単一の機能ではなく、多層防御の考え方でセキュリティを確保する製品。
AWSコンソールとDeepSecurityManagerが連携して、インスタンスの増減を自動で反映する機能もある。
##自動防御の仕組み
今回の構成は、AWS上にALB(AWS WAF)-EC2(ECS)を配置した構成。
SNSとLambdaを用意
SecurityGroupは、隔離用のもの(Outbound,Inboudなし)を用意しておく
###シナリオ1(自動ブロック)
- Deep Security Agentの侵入防御(IPS/IDS)で検知する。
- Deep Security ManagerからイベントがSNS送信される。
- SNSは、Lambdaに通知する。
- Lambdaは、送信元IPをAWS WAFのIP Condition(Blocked)に登録する。
###シナリオ2(自動隔離)
- DeepSecurityAgentのアンチマルウェアで検知
- イベントがSNS送信
- SNSはLambdaに通知
- Lambdaは、検知したインスタンスIDのSGを隔離用のものに差し替え、Auto Scaling Groupから切り離す。
- Auto Scaling Groupの設定により、差し替え用インスタンスが起動される
##まとめ
より、リアルに近い環境でのPoCを実施したい。
共同PoC大募集中!声かけてください!
##QA
IPは、トレンドマイクロのデータベースと突き合わせるのですか?
- 今は検知ベースです。
テンプレートは公開されていますか?
- まだです(公開予定)
IPはころころ変わると思いますが、リフレッシュとか考えてますか?
- そういうフィードバック大歓迎です!
DSaaSは、どこまでの規模感に対応できますか?
- DSaaSは、中規模向け。大規模ならDSMがいい。(中規模って、どれくらい?100大規模?)
- 国内で1000超えはない。100大規模は実績ある。
DSaaSのバージョンアップってどうなんだろう?
- Manager側は自動でバージョンアップされます。
#Session2:「インシデント別対策から見るセキュリティ運用体制〜Alert Logicのことも少し〜」
三井物産セキュアディレクション株式会社 大橋 和正さん
もともとオンプレメインのセキュリティエンジニア出身。
三井物産セキュアディレクションは、セキュリティ診断、SOC、セキュリティコンサルティングをやっている。
Alert Logicの拡販はじめました。
##セキュリティ脅威の動向
IPA発表の10大脅威では、標的型攻撃、ランサムウェアが多く、公開サーバではインジェクション系が多い。
VerizonでもWebサーバに対する攻撃がダントツ
###ランサムによる被害
WannaCryの詳細は三井物産セキュアディレクションのサイトで公開中!
###Apache Struts2脆弱性をついた情報流出の事例
Twitterで気づく等、対応の遅れがあった
##セキュリティインシデントとは?
コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの
意図的脅威
- パスワードリスト攻撃
- サービス拒否攻撃
- 情報の持ち出し(内部犯行)
- サイト改ざん(ハクティビズム、マルウェア配布)
偶発的脅威
- 設定ミス
- プログラムのバグ
- メール誤送信(情報漏えい)
- PC紛失(情報漏えい)
##なぜ事前準備が必要?
100%攻撃を防ぐことはできない
- 攻撃技術の進歩(いたちごっこ)
- 人間が使う以上、100%はない(オペミスはない)
天災には備えるのに、セキュリティインシデントへの備えはしないの?
- 対応の遅れが、ユーザーからの信頼失墜に結びつく。
どのようなインシデントがあって、どのような対応をするのか準備しておく。
##AWSにおけるセキュリティインシデントについて
###クラウドvsオンプレ
アジリティと自動化
高可用性
###おなじみAWS責任共有モデル
コンピューティング、ネットワーク、ストレージ等、クラウド基盤はAWSの責任範囲
OSレイヤ以上は、利用者側の責任ではあるが、SIerやベンダーと協力して対応して行く必要がある。
インシデントの種類をマッピングして、対応すべきセキュリティインシデントを明確にすることが大事。
##Alert Logicについて
セキュリティの専門家がSOCで監視している。
リクエストとレスポンスのペイロードがコンソールで見れる。
#Session3:「脆弱性について疑似クラッキング(デモ)をやってみる ~脆弱性対策はとても大切。でも多くの人はそれに気づかないんだ〜」
エフセキュア株式会社 河野 真一郎さん
セキュリティ営業3年目(2月からエフセキュア所属)
本社はフィンランド
衣装はガルパンモチーフ
##まずは質問
脆弱性をついたクラッキングデモを実際に見たことある方ー!(会場は半々)
##今回のシナリオ
標的型メールの添付ファイル(履歴書)を送りつけて、開いてしまった。
###前提条件
アンチウィルス、メールサーバ前段のFirewallでは阻害されない
- 標的型攻撃なので事前調査している想定
AWS接続が簡単なのは、デモのため。
###デモ
開いた時点で、Windows7の一般権限は取れている。
攻撃ツールを使用してコマンドプロンプトを操作できる。
1分に一回だけ使える脆弱性をついてAdministoratorに昇格。
PowerShellでDomain Adminを取るまで約6分
###OSのパッチ適用してる?
Linuxでも脆弱性管理をしていなければ、ハッカーにかかれば危ない。
OSのパッチ適用だけでは不十分(脆弱性は全体の約12%)
ミドルウェア、アプリケーションの脆弱性が85%をを占める。
##宣伝
エフセキュアでは、Rapid Detection Serviceというサービスがある。
デモのような脆弱性がないかを見て欲しいひとはコンタクトして!
#Session4:「AWS使って社内CTFを開催してみたよ」
洲崎さん
謎の勉強会ssmjpの運営やってます。
##某社で社内CTFを開催しました
会社のHP
30人規模から70人規模に参加者が増えた
セキュリティエンジニアに楽しんで貰える
集合研修方式
Jeopardy形式
CTF終了後には問題と解説を配布(希望者には環境も)
##ガジェット
状況を表示するLED看板
ラズパイでスコアサーバのWebAPIに定期的に投げる
スコアサーバは自作
運用管理ダッシュボードを用意
競技PCはWorkspacesを使いたいなー(NGだった)
##得られた知見
AWSでイベントやるには申請が必要。
日本語NG。英語で申請。
EC2のみ。WorkspacesはNG。
申請時にはかなり細かく聞かれる。終わるときにはイベント設計が終わってるレベル。
申請から承認まで7日と言われたが、割とすぐに承認がおりた。
##Docker(ECS)を使いたかった
時間の関係でEC2に
使えたらECRでデプロイが超ラクになる
##監視サーバ
Zabbix Docker Monitoringを使ってみた。
TCPとWebサービスについて
##実際にかかった金額
準備期間を含めて$2555だった。
Workspacesの検証がなければもっと安くあがっただろう
##QA
参加者の平均年齢は?
- 若手が多かったが、ベテランまで
運営は何人?
- 5人。問題は2人で作った。大変だった。他の人も巻き込んでいきたい。
参加者スキルのピンきり具合
- 満足度は70%(研修としては悪め)
- 事前にフルイにかけたけど、ミスマッチした方は残念だった。
- トップは、CTF運営経験者だった
正答率は?
- 71.38%。8割の問題が解かれた。
- 2割の問題が解かれなかった。(作った人は凹んでた。作ったのに解かれないのは悲しい。)
#最後に
質疑応答も活発でした!
次回も楽しみですね!
今日はここまでです。
お疲れ様でした。