心に残った良い内容だったと思えたものはこの3つ。
- https://www.slideshare.net/shunaroo/mitre-attck-249336202
- https://www.slideshare.net/ssuser8911f21/5eddsa
- https://speakerdeck.com/azara/zatukuri-hua-su-aws-iam-falsete-quan-sheng-ge-falsekao-efang-todui-ce
ざっくりまとめていく。
TLPT
TLPTとは
TLPTとはThreat Led Penetration Testのこと。脅威情報をもとにして攻撃者 が実際に攻撃しそうなシナリオを作成し検証を行うことで、より効率的に攻撃 に対する対策を行おうとする手法。
TLPLと脆弱性診断の違い
| 手法 | 観点 | 脆弱性の評価 | サイバーレジリエンスに対する評価 |
|---|---|---|---|
| TLPL | 対象となるシステムが攻撃を受けたときに対応できるかをふくめ評価する。 | する | する |
| 脆弱性診断 | 対象となるシステムに脆弱性が存在するかを評価する。 | する | しない |
サイバーレジリエンス
対象となるシステムが攻撃を受けたときに被害の最小化また復旧の度合いを評価するための概念。
MITRE ATT&CK
https://attack.mitre.org/
MITRE ATT&CKとは
観測された攻撃に基づいた戦術(Tactics)とテクニックの共通知識のデータベース。
区分
攻撃対象について2つに区分される。
| 区分 | 説明 | 対象となるシステム |
|---|---|---|
| Enterprise | システムを管理する側もしくは企業が使うであろう対象に対する攻撃 | Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS,IaaS, ネットワーク, コンテナ |
| Mobile | デバイスアクセスとデバイスアクセスなしで攻撃者が使用可能なネットワークベースの手法を含む攻撃 | Android, iOS, デバイスなし |
構成要素
5つの構成要素で攻撃を分類している。
| 構成要素 | 意味 |
|---|---|
| Tactics | 目的を達成するための戦術 |
| Techniques | 戦術を成立させるためのテクニック |
| Migrations | 攻撃に対抗する方法 |
| Groups | 攻撃を使うグループ |
| Software | 攻撃を実装しているソフトウェア |
CISA流攻撃のMITRE ATT&CKマッピング
MITRE ATT&CKマッピング手順
- 振る舞いを見つける
- 振る舞いを調べる
- 戦術を特定する
- テクニックを特定する
- サブテクニックを特定する
- 他の分析と自分の結果を比較する
振る舞いの見つけ方
どのような振る舞いをしたかを抽出する。
- 侵害がどのように達成されたか?
- 侵害後にどのようなアクションを実施したか?
従来の調査方法ではIoC、マルウェアのハッシュ値、URLなどから調査していた。
振る舞いの調べ方
振る舞いを特定し攻撃者の目的を理解するために、様々なデータに当たって情報を集める。
- セキュリティベンダ
- 政府関連組織
- CERTS
- Wikipedia
- MITRE ATT&CK
戦術を特定する方法
攻撃者の狙いを明らかにする。
- 計算リソースを盗む
- 踏み台にする
- データを盗む
- データを破壊する
全ての戦術を特定することで攻撃の流れを理解する。
なぜ他の分析と自分の結果を比較するのか?
分析結果の比較により、バイアスや見落としを減らす。 それにより分析精度を向上する。
EdDSAについて
EdDSAとは
EdDSAとはエドワーズ楕円曲線デジタル署名アルゴリズムのことである。パフォー マンスやセキュリティ面ではRSAやDSAより良い。公開鍵基盤業界では徐々に EdDSAが広まりつつある。
実績
以下のソフトウェアですでに利用されている。
- OpenSSH
- OpenSSL
- OpenGPG
楕円曲線名とアルゴリズム名の組み合わせ
どのドワーズ楕円曲線を用いるかによってアルゴリズムの名称は変わる。
| 楕円曲線 | アルゴリズム名 |
|---|---|
| Curve25519 | Ed25519 |
| Curve448 | Ed448 |
この名称はIRTF:RFC7748によって定義されている。
実装
RFC8032
RFC8032のAppendixに実装例がある。 Appendix AにEd25519/Ed448 Python Libraryが掲載されている。 Appendix BにLibrary DriverとしてAppendix Aの利用方法か掲載されている。
ed25519.cr.yp.to
ed25519.cr.yp.toには簡易的なサンプル実装がある。
https://ed25519.cr.yp.to/software.html
AWS IAMの権限昇格について
AWS IAMの権限昇格をどのようにおこなうのかについて説明されていた。
権限昇格周りだと cloudgoat と https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/ この記事を合わせてやると勉強になりました
gosecについて
https://github.com/securego/gosec
gosecはGoのソースコードセキュリティスキャナ。これはすぐに導入できそう ではあった。Emacsの拡張はすぐに実装できそうだった。すでにある気もする。 発表内ではディレクトリトラバーサルについて取り上げていた。