Deep Security User Night #5 参加レポート

森永です。

9月5日に開催されたDeep Security User Night #5のレポートです。
会場は、HAPON新宿でした。木のにおいのするオシャレなシェアオフィスです。

ビアバッシュ形式で色んな飲み物が用意いただいていました。

Trend Microさんのノベルティも数多くありました。

レポート

Google Cloud Platformの紹介とセキュリティとDS on GCPの話

Google Cloud Japan 金子さんによる発表です。

• 自己紹介
  • Google Cloudのプリセールス
  • 今年の4月に入社
• 6月にDeep SecurityがGCPに対応
  • Trend Micro Deep Security™ が Google Cloud Platform™ に対応 | トレンドマイクロ
  • Google Cloud Platform 向け評価ガイドも用意されている
• Google Cloud Platformとは
  • Googleといえば検索エンジン
  • 他にも色々なサービスが有る
    • 10億人を超えるユーザ
  • どういうインフラで動いている？
    • DCのハードウェアから全てGoogleが作って、全て自社で使っている
    • ハードウェアを分散管理するシステムを作っている
    • Datacenter as a Computer
      • DCを一つのコンピュターのように使える
  • 去年東京にGCPのリージョンが来た
  • 数多くのサービスがある
  • プラネットスケールインフラストラクチャ
    • リージョン毎を専有回線で繋いでいる
    • 過去3年で3兆円投資
  • 全ての階層でセキュリティを実装
    • ハードウェアから監査ログまで
    • 750名を超えるセキュリティエンジニア
    • 認証も取っている
      • PCIDSS/SOCなど以外にFISCにも対応
    • 独自のNICを作成して変な通信をしないように
    • 実はめっちゃセキュリティ対策してます
    • Google File System（分割コンピューティング）
      • ファイルの分割、難読化、レプリケーション
    • デフォルトでグローバルなプライベートネットワーク
      • 何もしなくてもリージョン間通信はGCP閉域で通信
  • ロードバランサー
    • 一つのIPアドレスでリージョン跨ぎの負荷分散
    • コンテンツベースルーティング（L7）
    • 暖気申請なしで100万リクエスト/秒に対応
  • Live Migration
    • ハードウェア側でメンテナンスが発生しても自動で別ハードに移動
  • 1000VM立ち上げるのに5分くらい
  • VM間のネットワークは最大で16GB
  • GCEカスタムマシンタイプ
    • 自由にリソースを変更できる
    • CPUは食うけどメモリは使わないなども出来る
  • BigQuery
    • データウェアハウス
    • Googleの得意分野はデータの分析
    • 72GBのフルスキャンが6.7秒
      • 大量のサーバとストレージとペタビットネットワークに寄る超並列クエリで実現
    • データウェアハウスはクエリを予期できないのでどんなクエリが来ても早く返す
    • Deep Securityのログを読み込ませてみる（デモ）
      • 1.32TB（40億行分のログ）のデータを用意
      • 4.2秒で結果が返る（クエリは省略…すいません）

我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話

フューチャーアーキテクト株式会社 日比野さんによる発表です。

[slideshare id=79454060&doc=deepsecurityusernightdeepsecurity-170905153639]

• 自己紹介
  • 技術部隊でセキュリティ周りの仕事をメインにやっている
• フューチャーアーキテクト
  • ITのコンサル
  • チャレンジングな人材が多い
• Deep Security x ElasticStack
  • ハニーポット（箱入り）を作成し、Deep Securityで守る
  • ログをElastic Stackで可視化と分析
• ハニーポットとは
  • 脆弱なシステムをふりをして攻撃を誘い込み、攻撃のトレンドを分析する
  • 幾つか分類がある
    • サーバのふりをするもの、クライアントのふりをするもの
    • どれだけ本物っぽくするか（高対話、低対話）
      • 高対話だと生っぽい情報が取れるが本気で乗っ取られるリスクがある
  • POC以外でもハニーポットは使いようがある
    • ポートスキャンやログイン試行などの攻撃情報を収集できる
    • LAN内での潜伏攻撃も見れる
  • 幾つかハニーポット関連の情報がある（書籍など）
    • 実践サイバーセキュリティモニタリング
    • ハニーポット観察記録
  • OSSで使用できるハニーポットがいくつかある
    • 今回はOpen Canaryという物を使う
• Open Canaryとは
  • pythonベースの低対話型ハニーポット
  • 標準で多くのプロトコルをサポート
  • ログイン画面のみの提供
• ハニーポットの構成
  • EC2上にコンテナ環境を構築し、コンテナ内にOpenCanaryをデプロイ
  • 囮のパスワードファイルを置いておく
  • SSHのポートは22以外のものに変えておく
  • 囮用のオープンポートを複数開けておく
• クラウドサービスにおけるハニーポット運用ルール
  • 適正利用規約があるのでよく確認すること
• Deep Securityの導入
  • DSMはDSaaSを使用
  • コンテナを守るためにエージェントはDS10を使用
  • ログはsyslogで送る
• Docker環境だとどこまでDSで対応できる？
  • DS10まではコンテナ内は見れない
  • DS10から不正プログラム対策、IPSを使用できる
• ハニーポットで対応できない通信を受けるためにPalo Altoを挟む
  • Marketplaceで使える（15日間は試用できる）ので、Firewall機能のみ
  • Firewall機能はフルオープンでログだけとる
  • ログの形式はCSV
• 設置するとあっという間に攻撃ログが来る
• ログデータの可視化はElastic Stackがオススメ
  • kibana、Elasticsearch、Stashなどは無償で試用できる
  • 有償プラグイン（X-Pack）でSecurity、Monitoring、Graphなどがつかえる
  • 今回は最新の5.5を使用
• 結果
  • 中国、台湾からの攻撃ばかり
  • 平日より休日のほうがおおい
  • 平日はMS SQL(1433)が多いが土日はSSH(22)が多かった
  • 攻撃に使われているアカウント、パスワード
    • MS SQLのユーザ名はsa
    • SSHはrootが多いが、ec2-userも結構多い
  • 無償機能でHeatMapで可視化出来る
  • 相関分析グラフを作れる
  • 機械学習にもかけてみたが、全部攻撃だからあまりいいデータは取れなかった
  • 低対話型のハニーポットなのでDeep Securityだとあまり出なかった…
• まとめ
  • 各コンポーネントが出力するログはファクトで嘘はつかない
    • ちゃんとログを活用しましょう
  • ただログを集めるだけでは意味のある分析結果は得られない
    • ちゃんとログの中身を把握して何のために使うのかをしっかり決める
    • 最初から完成を目指さずに色々試してみるのが大事
  • ログから得られる結果を対策に活かすPDCAが大事
    • 攻撃で狙われていることはしない

Deep Security APIを活用したルールアップデートの自動化について

アイレット株式会社 恩田さんによる発表です。

• 自己紹介
  • R&Dセクションで仕事している開発エンジニア
  • 趣味引っ越し（2年で7回）
• 今日やらないこと
  • Deep Securityの仕様
  • セキュリティに関すること
• Deep Securityの運用
  • ルールアップデートが2週間に1回水曜日あたりで実施される
  • 既存システムへの通常アクセスを誤検知してしまう可能性がある
  • 一旦検出モードに切り替えて様子見することが推奨
  • アカウントが1,2個であればいいが多いとめちゃくちゃ時間かかる
• ルールをアップデートを自動化する上で必要な機能
  • ルールのアップデートの取得
  • 対象のアップデート
  • 侵入防御
• Deep Security APIとは
  • RESTとSOAPがある
    • あらかじめ権限を付与しておく必要がある
  • REST
    • cloudアカウントの作成、一覧取得、更新、削除
    • イベント取得
    • テナントアカウントの管理
    • 全然機能がたりない。。。
  • SOAP
    • だいたいできる
    • でもあまり使いたくない
• Deep Security SDK
  • Pythonベースで使える
  • SOAPとRESTをいい感じでラップしている
  • 公式ではなくコミュニティプロダクト
  • Deep Security APIの約60%がSDKでサポート
  • アクティブなのか？
    • 数年間コミットがない…
    • つまり魔改造しても良い
  • 足りない部分は実装する
• SDKのディレクトリ構成（抜粋）
  • dsm.py
    • Managerクラス
    • Sign in Sign outまわり
  • policies.py
    • ルール周りはここ
  • computers.py
    • コンピュータの管理
• SDKだけでも色々出来るが痒いところに手が届かない
• 魔改造
  • 今回必要な情報は全部SOAPを実装する必要がある…
  • いろいろいい感じでやってくれるがドキュメントがないのでコードを読む必要がある
  • 取り敢えず使いたい場合はおれおれクラスをつくって、Managerクラスに登録すれば良い
• まとめ
  • SOAPが解決してくれる
• 要望
  • アップデートの配信日はサーバが重い
    • サーバを強化してくれ
  • APIとUIのドメインを統一して欲しい
    • ruleとsecurity profileは一致しないよ

最後に

Deep Securityのユーザが集まる回で懇親会などで非常にためになりました！
次回の開催もあると思いますので、興味がある方はどうぞ！