こんにちは、ひろかずです。
Deep Security User Night #5に行ってきたので一筆書きます。
会場は前回に続きHAPON新宿。
日本地図をモチーフにした机がオシャレな空間です。
プシュッと開けてからスタートです。
お品書き
- Google Cloud Platformの紹介とセキュリティとDS on GCPの話
- 我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話
- Deep Security APIを活用したルールアップデートの自動化について
Google Cloud Platformの紹介とセキュリティとDS on GCPの話
Google Cloud Japan
金子さん
トレンドマイクロとは長い付き合い
よなよなエール好き(箱買い派)
2017/6にDeep SecurityがGCPに対応
AWSに比べてまだまだ機能は足りないけど、これから
評価ガイドあります!(スタートアップガイド)
- IaaSにManagerを立てて、保護サーバーにAgentを入れる方式
GCPの概要
Google関連サービスは、10億を超えるユーザー
どういうインフラで動いてるの?
- バカでかいデータセンター
- データセンターから自作
- ラックも自作
- 国内サーバベンダーより多くのサーバを作ってる
- コンポーネントを極限まで削っているので、セキュア
- 管理は自動化。分散処理基盤がある。
- データセンター as a Computer
- その一部を切り出すのがGCP
- 東京リージョン開設時は超忙しかった
- インフラ規模のインフラ(プラネットスケールインフラストラクチャ)
- 3年間で3兆円の投資
セキュリティ頑張ってます!
- すべてのレイヤーに厳しいセキュリティが施されている
- Googleのセキュリティ専任部門(750人)
- FISCにも対応!
- NICに特注チップを付けて、変なところにパケットを飛ばさないようにチェック
- データは暗号化され、分割と難読化でディスク単位では読みだせないようにしている。 データは、GCP内でやり取りされる(VMコピー時に、通信はインターネットに出ない)
HTTP(S)ロードバランサ
- 1IPでリージョン跨ぎの負荷分散
- 暖気申請なしで100万リクエストに対応
IaaSの特徴
- ライブマイグレーション
- 勝手にやってくれるクラウドサービスはGCPだけ。
- KVMベースのハイパーバイザで対応している
- 1000VMが5分で起動する
- VMネットワークは16Gbps
- GCPカスタムマシンタイプ(GPU特化型とか)
BigQuery
- SaaSのようなデータウェアハウス
- 72GBのフルスキャンが6.7秒
- 大量サーバとストレージ、ペタビットネットワークによる超並列処理クエリ
- 1TBを1秒でスキャンするために、10000ディスクスピンドルを用意する考え方
そろそろDeep Security
- BigQueryでDSのログを検索(1.32TB, 40億レコード)
- 4.2秒で検索!
我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話
フューチャーアーキテクト株式会社
日比野さん
Deep SecurityとElasticSearch
- ハニーポットに対する通信をDSでの検知状況を可視化
- パロアルトのファイアウォールも用意
- ハニーポットはコンテナ
- 今回は、サーバ型、低対話型のハニーポットを用意
- 低対話型は、簡単だが取れる情報はそれなり
標的型攻撃の攻撃フェーズに対してハニーポットが取れる情報
- 偵察
- 情報探査
- 情報集約
- 情報送信
ハニーポット書籍
- 実線サイバーセキュリティモニタリング
- サイバー攻撃の足跡を分析するハニーポット観察日記
今回のハニーポットは、Open Canaryを採用(コンテナでデプロイ)
- Dockerコンテナ実行環境を用意して、
- ログはLogStashでElasticSearchに送信
- ハニーポットのAWS適正利用規約がある(事業者によって異なるので注意)
- Deep Securityは、10.1を使用
- DSaaS環境を利用(今回は双方向通信を採用)
- Deep Securityのログは、UDP514で通信させた
Paro Alto
- 15日間は無料
- ライセンス高いから、忘れずに消す!
ログの可視化には、ElasticStackがおすすめ!
- Kibana
- Elastich
- X-Pack(有償サブスクリプション:レポーティング、アラート、グラフ、ML)
- 最新版5.5で構築し、Syslog受信したログをElasticSearch
結果
- 中国、台湾が大活躍
- 8/31-9/3ごろまで
- ピーク時6000件のログがでた(ParoAlto)
- 平日は、MSSQL(1433)が多かったが、土日はSSHが爆裂
- 攻撃で使われるアカウントやパスワードは、リストに載っているものがやはり多かった(デフォルトパスワードは、やはり危険)
- 機械学習は、閾値を設けた使い方が有効そう
- Deep Securityのログの正規化は簡単にできた。
- ファイアウォール機能で遮断していたので、侵入防御やセキュリティログ監視は反応しなかった。
まとめ
- ログは事実だが、それだけでは意味がある分析結果は得られない
- とりあえずログを集めるのはNG
- 何をなすためにログを集めるのかという必要性を理解して、小さく始めるのがいい
- ログの結果から対策に活かすPDCAが大事!
Deep Security APIを活用したルールアップデートの自動化について
アイレット株式会社
恩田さん
Deep Securityは、securitypackというサービスで使っている。
ルールアップデートしてますか?
- 手動や自動で適用してもいいけど、いきなり防御されたら大変
- アップデート処理は、アクセスが集中するので処理が重くて大変!
DeepSecurity API
- REST
- Sorp
REST API
- 機能がだいぶ足りない
- 新しい機能が実装されている
SOAP API
- 古典的な機能が実装されている
- 機能の数は多数
SDK
- 統一されたフロントを提供するので区別しなくていい(機能の60%)
- dsm.py:マネージャークラス
- polices.py:ポリシークラス, ルールクラス
- が、GitHubプロジェクトは全然動いてない
- なので、足りない部分は実装しよう!
まとめ
- SOAPが解決してくれる
要望
- アップデート配信日はサーバーを強化してください!
- APIとUIのドメインを統一してほしい
今回も盛り上がった回でした!
今日はここまでです。
お疲れさまでした。