Security-JAWS第5回レポート #secjaws #secjaws05

jawsug

こんにちは、臼田です。

Security JAWS第5回が開催されましたのでレポート致します。

Security-JAWS 【第5回】2017年5月22日(月) - Security-JAWS | Doorkeeper

セッションレポート

Session1:「Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する」

トレンドマイクロ株式会社 姜 貴日さん

Deep Securityについて

  • サーバ向けのセキュリティ対策製品
  • 一つの製品にたくさんの機能が詰まっている総合セキュリティ対策製品
  • 多層防御の考え方で作られている
  • AWSのAuto-Scalingに対応している!!

自動防御の仕組み

  • 環境はAWS WAF配下にELB, AutoScaling, Deep SerutiyのエージェントがインストールされたEC2がある状態
    • DSaaS(Deep Security as a Service)管理下でもOK
    • ECSはあっても無くても大丈夫
  • テンプレートを実行するとLambdaとSNSとSecurity Groupが展開される
  • 動作パターン1: 自動ブロック
    1. EC2上で検知した情報がDSaaSへ
    2. SNSへ送る
    3. Lambda叩く
    4. AWS WAFへ設定反映
  • 動作パターン2: 自動隔離 + 自動復旧
    1. EC2で検知
    2. DSaaSへ飛ぶ
    3. SNSへ送る
    4. Lambda叩く
    5. EC2を隔離SGへ
    6. AutoScalingでEC2復旧
  • デモ
    • パターン1
      • 攻撃を検知した攻撃のX-forwarded-forのIPを拾ってLambdaでAWS WAFへ登録
      • 403でブロックされて表示されないことを確認
    • パターン2
      • マルウェア感染を検知した場合
      • 攻撃を検知したインスタンスIDをLambdaで隔離用のSGへ移動
      • AutoScalingで新しいインスタンスが立ち上がり正常に戻る
      • DSaaS上で新しいインスタンスが見えてくることを確認

まとめ

  • 次のアクションとして、よりリアルに近い環境でのPoCを実施したい
  • 共同でPoCを行っていただける方、大・大・大・大募集!!
  • 詳細はトレンドマイクロの姜さんか南原さんへ

感想

  • もちろん、すべてのセキュリティインシデントに対応できるわけではないですが、簡単な問題については非常に有用だと思います
  • 検知して自動で即時対応するので、オペレーションが緩和されそうです
  • とっても素敵なテンプレートですが、まだ公開していないようです
  • でも公開予定はあるとのことです!
  • 試してみたい方はトレンドマイクロの方に相談してみましょう!

Session2:「インシデント別対策から見るセキュリティ運用体制 〜Alert Logicの位置付けも少し〜」

三井物産セキュアディレクション株式会社 大橋 和正さん

会社紹介

  • 脆弱性診断等をやっている
  • これまではオンプレばっかりだった
  • 前回のre:InventでAlert Logicと組んでブースを出した

イベント紹介

  • AWS Summit Live HackでホワイトハッカーによるLive Hackを実施
  • AWS Summit 2017 Tokyoフォローアップセミナー

本題

  • 日本のセキュリティ脅威の状況
    • そこまで変わりがないが、マルウェア感染・公開サーバへの攻撃が少し多くなっている
    • ランサムやSQLiなどが増えている
  • 海外のセキュリティ脅威
    • 海外も、日本に近い
  • ランサムウェアによる被害
  • Apache Struts 2 の脆弱性をついた情報流出の事例
    • 流出に気づいたのはTwitter等のSNSが多かった
  • セキュリティインシデントとは?(日本CSIRT協議会)
    • 環境的脅威
    • 人為的脅威
      • 意図的脅威
      • 偶発的脅威
  • 意図的脅威の詳細
    • パスワードリスト
    • サービス拒否攻撃(DoS, DDoS)
    • 情報の持ち出し
    • サイト改ざん
      • 政治目的
      • マルウェア配布目的
  • 偶発的脅威の詳細
    • 設定ミス
    • プログラムのバグ
    • メール誤送信
    • PC/書類の紛失
  • いろいろあるから、セキュリティ対策必要だよね
  • インシデントを100%防ぐことは出来ない
    • 攻撃の技術は常に進歩している
    • 攻撃者とのいたちごっこが続いている
    • いくら訓練してもマルウェアに感染するユーザはいる
    • 人間が扱うものに100%はない
  • 何が言いたいのか
    • 天災がある場合には備えているのに、情報セキュリティのインシデントへの対応はしなくていいのですか?
    • 対策できていないと、インシデント発生後の対応も遅れてビジネスを続けていくことが難しい
  • Apache Struts 2のときも、大きく報道された後に気づく会社が多い
  • そうならないためにもインシデント対応への事前準備が必要

AWSの話

  • クラウドの特徴はアジリティや高可用性
  • 責任共有モデルの話
    • AWSは天災やDDoSへの対策が出来る
    • パスワードリストやマルウェア感染など、その他の部分は殆ど各ベンダーで対応する必要がある

Alert Logic

  • MBSDがAlert Logicを利用した監視サービスをやっている
  • 窓口が一本になっているので使いやすいですよ
  • デモ
    • Alert Logicの画面公開
    • ビッグデータ解析されてログが表示されている

感想

  • 昨今増えているインシデントに対しては、オンプレミスでもクラウドでもあまり根本的な対策は変わらないですね
  • ただ、AWS上で利用できるセキュリティ製品は、オンプレミスで検討・検証・導入するよりも「安く・簡単に・早く」利用できるのでいいですね!
  • また、製品をそのまま利用するだけでなく、MBSDさんのAlert Logicを利用したサービスのように、サービスとして提供されているものを利用するのも選択肢の一つだと思います

Session3: 「脆弱性をついて疑似クラッキング(デモ)をやってみる 〜脆弱性対策はとても大切。でも多くの人はそれに気が付かないんだ〜」

エフセキュア株式会社 河野 真一郎さん

スライドはこちら

エフセキュア株式会社

  • 創立29周年
  • 世界で2番目のセキュリティベンダ

クラッキングの話

  • 実際のクラッキング見たことありますか?
  • デモをお見せします
  • 今回のシナリオ
    • 前提
      • PCのアンチウイルス、メールサーバ前段のFirewallとかでマルウェア検出しないの?
        • A.標的型攻撃なので事前調査しているという前提
      • さすがにAWSへの接続が簡単すぎない?
        • A.デモなので許してください
  • デモ
    • (詳細なツールは省略しております)
    • マルウェア感染した履歴書を送りつけて感染させる
    • リモートでアクセスが可能になる
    • さらにツールを利用してAdminを奪取
    • 感染した端末から別の端末へ侵入する
    • 6:20で終わりました

脆弱性の話

  • 脆弱性管理をしていないソフトウェアはセキュリティリスク
  • 86%のソフトウェアは重大なセキュリティリスクがある
  • さらにOSのパッチだけでは不十分
    • OSよりもサードパーティアプリのほうが多く割合を占めていて約85%
  • F-SecureではRADARという脆弱性管理のソリューションがある
    • 3種のスキャン技術でネットワーク内の診断が可能
    • エフセキュアのパートナー様が脆弱性診断サービスを導入可能
    • Vulsと比べると、CVEをベースにOSあたりがメインだけど、RADARはWebスキャンも可能なので、使い分けてほしい

F-Secure本社の話

  • Rapid Detection Serviceというサービスが有る
  • 「あなたは境界線を守っています、既に侵入されていたらどうしますか?」

まとめ

  • 脆弱性をつかれるとすぐにやられます
  • 脆弱性対策はしっかりやりましょう
  • 診断ツールはパートナー様と提供しています

感想

  • ちゃんとした(?)ハッカーからの攻撃は、本当にすぐ終わってしまうということが分かるデモでした
  • 参加されていない方でデモを見られたい方は、エフセキュアの河野さんにご相談したらいいと思います!
  • いかに脆弱性管理が大切かを説明するには適切な題材だと思います。

Session4:「AWS使って社内CTFを開催してみた」

洲崎さん

社内CTFやってみた

  • CTFとはCapture the Flag
  • 某社で社内CTFを行った
  • 過去数回実施している
  • 最初は有志
  • だんだん規模が大きくなった
  • 公式HPにも載りました
  • なぜ社内CTFを開催したのか?
    • 社内のエンジニアの方に楽しんでもらえるセキュリティイベントをやりたかった
    • セキュリティ技術に興味を持ってもらうにはちょうどいいかも
    • ネガティブ要素ゼロのポジティブな企画
    • 自分たちで運営をやってみたい!
  • どんな内容なの?
    • オフラインCTF
    • 集合研修という形で開催
    • Jeopardy形式
    • 講義とセット
      • 「CTF for ビギナーズ」を極限まで参考
      • 午前中は講義
      • 午後から本番
    • 出題する内容
      • 初心者向けとして難易度は低め
      • 短い時間で溶けるように
    • CTF終了後に問題は全て解説
  • 実際の様子
    • 70人くらい
    • 盛り上げるためにフラグを入れたら電光掲示板に表示されてパトランプが光るようにした
    • ラズパイでスコアサーバのWebAPIにポーリングする仕掛け
  • スコアサーバは一応自作
    • Django
    • 点数推移は可視化出来る
    • 運営用の管理ダッシュボードを用意
      • パット見でわかるようにした
      • 正答率の低い問題に対してヒントを出すようにした
  • 当日は楽しんでいただけたっぽい!

AWSと絡んだお話

  • 規模が大きくなったので環境を完全リニューアル
  • 新しい環境をAWSで作ってみた
  • クライアント環境を毎回用意していたが、しんどいからWorkSpacesを利用したかった
    • しかし使えなかった、なぜか?
      • イベントをやるには申請が必要らしい
      • 侵入テスト自体はよく上げられているが…
      • 問い合わせてみた
        • 日本語でメール
          • 英語でおk
        • イベントやりたい
          • WorkSpacesでは無理
      • ちょっと食い下がってみた
        • WorkSpacesには攻撃しないですよ
          • それでもダメ
        • わかりました、ローカルPC使います
          • OK
  • 今回も70台キッティングしました
  • 最終的な競技環境
    • シンプルにELB配下に問題サーバ
    • 別でスコアサーバとRDS
  • Dockerを利用してやりたいのでやってみた
  • ローカル環境からEC2のリポジトリにpushして本番環境にデプロイした
  • 本当はECS使いたかったが間に合わなかった
  • 今回は13個の問題コンテナを作成
  • 監視サーバはZABBIX
    • 本当はAWSサービス利用したかった
    • が、時間がなかった
    • zabbix-docker-monitoringを利用してコンテナも監視した
    • 障害があったらSlackに通知するようにした
  • 実際にかかった金額$2555くらい
  • WorkSpacesとか検証したりしたので本当はもっと安くなりそう

まとめ

  • AWSを使って結構お手軽にイベント開催できました
  • 皆さんも是非自社で社内イベントをやってみませんか?

感想

  • 社内CTF、すごく楽しそうです!
  • AWSでの諸々の申請は、ナレッジが少ないと障害にぶつかりそうですが、沢山やってみんなでナレッジをためていきたいですね!

さいごに

今回は各セキュリティベンダーの話が色々聞けました。

AWS上でも守るものは変わらないので、各サードパーティの製品やサービスを利用してセキュリティ対策をしっかりやっていきたいですね。

ブログ上には書けないお話もあったので、ご興味のある方はぜひSecurity-JAWSに登録して次回参加しましょう!

AWS Cloud Roadshow 2017 福岡