Edited at

Deep Security User Night #5 レポート

More than 1 year has passed since last update.

こんにちは、ひろかずです。

Deep Security User Night #5に行ってきたので一筆書きます。

会場は前回に続きHAPON新宿

日本地図をモチーフにした机がオシャレな空間です。

プシュッと開けてからスタートです。


お品書き


  • Google Cloud Platformの紹介とセキュリティとDS on GCPの話

  • 我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話

  • Deep Security APIを活用したルールアップデートの自動化について


Google Cloud Platformの紹介とセキュリティとDS on GCPの話

Google Cloud Japan

金子さん

トレンドマイクロとは長い付き合い

よなよなエール好き(箱買い派)

2017/6にDeep SecurityがGCPに対応

AWSに比べてまだまだ機能は足りないけど、これから

評価ガイドあります!(スタートアップガイド)


  • IaaSにManagerを立てて、保護サーバーにAgentを入れる方式

GCPの概要

Google関連サービスは、10億を超えるユーザー

どういうインフラで動いてるの?


  • バカでかいデータセンター

  • データセンターから自作

  • ラックも自作

  • 国内サーバベンダーより多くのサーバを作ってる

  • コンポーネントを極限まで削っているので、セキュア

  • 管理は自動化。分散処理基盤がある。

  • データセンター as a Computer

  • その一部を切り出すのがGCP

  • 東京リージョン開設時は超忙しかった

  • インフラ規模のインフラ(プラネットスケールインフラストラクチャ)

  • 3年間で3兆円の投資

セキュリティ頑張ってます!


  • すべてのレイヤーに厳しいセキュリティが施されている

  • Googleのセキュリティ専任部門(750人)

  • FISCにも対応!

  • NICに特注チップを付けて、変なところにパケットを飛ばさないようにチェック

  • データは暗号化され、分割と難読化でディスク単位では読みだせないようにしている。
    データは、GCP内でやり取りされる(VMコピー時に、通信はインターネットに出ない)

HTTP(S)ロードバランサ


  • 1IPでリージョン跨ぎの負荷分散

  • 暖気申請なしで100万リクエストに対応

IaaSの特徴


  • ライブマイグレーション

  • 勝手にやってくれるクラウドサービスはGCPだけ。

  • KVMベースのハイパーバイザで対応している

  • 1000VMが5分で起動する

  • VMネットワークは16Gbps

  • GCPカスタムマシンタイプ(GPU特化型とか)

BigQuery


  • SaaSのようなデータウェアハウス

  • 72GBのフルスキャンが6.7秒

  • 大量サーバとストレージ、ペタビットネットワークによる超並列処理クエリ

  • 1TBを1秒でスキャンするために、10000ディスクスピンドルを用意する考え方

そろそろDeep Security


  • BigQueryでDSのログを検索(1.32TB, 40億レコード)

  • 4.2秒で検索!


我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話

フューチャーアーキテクト株式会社

日比野さん

Deep SecurityとElasticSearch


  • ハニーポットに対する通信をDSでの検知状況を可視化

  • パロアルトのファイアウォールも用意

  • ハニーポットはコンテナ

  • 今回は、サーバ型、低対話型のハニーポットを用意

  • 低対話型は、簡単だが取れる情報はそれなり

標的型攻撃の攻撃フェーズに対してハニーポットが取れる情報


  • 偵察

  • 情報探査

  • 情報集約

  • 情報送信

ハニーポット書籍


  • 実線サイバーセキュリティモニタリング

  • サイバー攻撃の足跡を分析するハニーポット観察日記

今回のハニーポットは、Open Canaryを採用(コンテナでデプロイ)


  • Dockerコンテナ実行環境を用意して、

  • ログはLogStashでElasticSearchに送信

  • ハニーポットのAWS適正利用規約がある(事業者によって異なるので注意)

  • Deep Securityは、10.1を使用

  • DSaaS環境を利用(今回は双方向通信を採用)

  • Deep Securityのログは、UDP514で通信させた

Paro Alto


  • 15日間は無料

  • ライセンス高いから、忘れずに消す!

ログの可視化には、ElasticStackがおすすめ!


  • Kibana

  • Elastich

  • X-Pack(有償サブスクリプション:レポーティング、アラート、グラフ、ML)

  • 最新版5.5で構築し、Syslog受信したログをElasticSearch

結果


  • 中国、台湾が大活躍

  • 8/31-9/3ごろまで

  • ピーク時6000件のログがでた(ParoAlto)

  • 平日は、MSSQL(1433)が多かったが、土日はSSHが爆裂

  • 攻撃で使われるアカウントやパスワードは、リストに載っているものがやはり多かった(デフォルトパスワードは、やはり危険)

  • 機械学習は、閾値を設けた使い方が有効そう

  • Deep Securityのログの正規化は簡単にできた。

  • ファイアウォール機能で遮断していたので、侵入防御やセキュリティログ監視は反応しなかった。

まとめ


  • ログは事実だが、それだけでは意味がある分析結果は得られない

  • とりあえずログを集めるのはNG

  • 何をなすためにログを集めるのかという必要性を理解して、小さく始めるのがいい

  • ログの結果から対策に活かすPDCAが大事!


Deep Security APIを活用したルールアップデートの自動化について

アイレット株式会社

恩田さん

Deep Securityは、securitypackというサービスで使っている。

ルールアップデートしてますか?


  • 手動や自動で適用してもいいけど、いきなり防御されたら大変

  • アップデート処理は、アクセスが集中するので処理が重くて大変!

DeepSecurity API


  • REST

  • Sorp

REST API


  • 機能がだいぶ足りない

  • 新しい機能が実装されている

SOAP API


  • 古典的な機能が実装されている

  • 機能の数は多数

SDK


  • 統一されたフロントを提供するので区別しなくていい(機能の60%)

  • dsm.py:マネージャークラス

  • polices.py:ポリシークラス, ルールクラス

  • が、GitHubプロジェクトは全然動いてない

  • なので、足りない部分は実装しよう!

まとめ


  • SOAPが解決してくれる

要望


  • アップデート配信日はサーバーを強化してください!

  • APIとUIのドメインを統一してほしい

今回も盛り上がった回でした!

今日はここまでです。

お疲れさまでした。