[レポート][株式会社パロンゴ]なんでこのポート、空いてて外から触れるようになってるの？ 〜 Dev と Sec の大きなギャップについて 〜- CODE BLUE 2020 #codeblue_jp

セッション概要

セキュリティオペレーションに携わる人間にとっては当たり前だと考えていることでも、一般には全然当たり前とは思われていないような事柄によく出くわします。たとえそれが技術に詳しいエンジニアであってもです。 本セッションでは我々がマネージド SOC のオペレーションの中で出会ったケースをご紹介しつつ、Dev や Ops と Sec のギャップについてお話させていただきます。 Presented by : 代表取締役社長 近藤 学

セッションレポート

• PARONGO 会社概要
  • 尖ったセキュリティソリューション・ライセンスの販売
  • Managed SOCサービス 24x7 日本語サポート
  • セキュリティ導入コンサルティング
  • 取り扱いソリューション
    • Verizon
    • MixMode
    • THREATX
    • AUTOMOX
    • CROWDSTRIKE
    • VMware Carbon Black

なんでこのポート開いてるの？

• あけっぱなしなAWSセキュリティグループ設定
  • 開発用のインスタンスなんでとりあえず全ポートであけちゃうとか
• アクセスキーの荒っぽい管理
  • GitHubに入れとけば便利じゃん？
    • ノリで
• パスワード使った場合のSSHログインの自動化における穴
  • 「オレしか使わんしな〜」が穴になったり
• Firewallは置いてるけどよくわからんのでとりあえずany/anyで運用
• エンジニアにおけるセキュリティ感度
• コードが書けてもセキュリティの感度が高いとは限らない
• インフラ設計や運用ができてもセキュリティの感度が高いとは限らない
• クラウドで簡単にインスタンスが立ち上げれる時代
• 「とりあえず」とか「オレだけが使うやつだから」とか「テンポラリですぐ落とすし」とか
• インスタンスを立ち上げたときのリスクについては承知していたかもしれないが、そういった事情が時の流れで忘れ去られ、退職したりして誰も知らなくなって甘い設定・甘い環境が残ってしまう
• こういったセキュリティ設定について、エンジニアを責めれば解決なのか？
  • エンジニアを責めたとしてもちゃんと話を聞いてくれる？
  • 専任のセキュリティチームを持つ会社は少なく情シスさんなどが兼任している
    • 情シスさんから指摘を貰っても、「いやオレエンジニアだし分かってるよ」と反応してしまう
  • 「情シスやセキュリティチームはこう言ってるけど大変だからわざとあけてるんだよ」のように開き直る場合も
• バーチャルチームの意識
  • 1つのチームが頑張るだけではだめ

• 「こういう製品を入れたら全部OKだよね」のような話ではない
• 製品だけじゃなくて、普段の運用や心がけ、お作法をブラッシュアップしていく必要がある
• 「セキュリティはお金がかかるだけで売り上げにはならない」と言われる場合もある

攻撃事例など

• Dockerのポートを使った攻撃
  • https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability
• 観測したNew version of Kinsing?
  • 暗号資産のマイニングをしない
  • DockerではなくRedisを使ったRCEをするもの
  • Open Portで認証がないRedisをスキャンして発見したら乗っける
  • slaveofコマンドを発行して、攻撃側が用意しているMaliciousなRedisのslaveになる
  • FULLRESYNCで.soな攻撃モジュールを送り込む

• VirusTotalで検知したのが1個だけ
  • バックドアが実行される
  • Mac Book Proに送り込まれたが、動かなかったのでセーフだった
  • セキュリティチームのMacだったが、Redisを入れた記憶が無い
  • なぜかRedisが動いていた
  • 何かのソフトウェアのパッケージにRedisが含まれていた可能性

感想

AWS環境のセキュリティグループなんかでも、「とりあえず面倒だからポートフルオープン」とか、「まあすぐ消すし･･･と思いながら0.0.0.0/0」であけてたりと、よくやってしまいがちで耳が痛い内容でしたが、たとえ検証環境や個人環境だとしてもきちんとやっていきたいなと思いました。