[レポート]基調講演：サイバーセキュリティの圧倒的な課題を理解するために – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

セキュリティ業界が成長するにつれ、われわれの世界のあらゆる側面がより複雑になり、（攻撃者によって）圧倒されるのを目の当たりにしている。われわれにはこれまでも提供されてきたソリューションやテクノロジーがある。それらは、活動を楽にするものであったり、攻撃者を阻止するものであったり、攻撃者を素早く捉えようとするものであったり、自動的に被害を低減するものであったりする。しかし、現実には功を奏しているとはいえない。率直に言えば圧倒されている状況だ。プログラムの現状を知り、どこに時間とリソースを費やすべきなのかを知ること。そして、組織のリスクを低減するための最善策を知ること。この2つはあらゆるプログラムにとって重要な要素である。この講演では、世界有数の大企業がどのような取り組みから現状を理解し、そして最善策を得ようとしているのかを紹介する。

Presented by : ニール・R ・ワイラー - Neil Wyler

レポート

• これはいつもの基調講演とは少し違うものになるかもしれません
• この話で何も解決するわけではない
• 重要なことはなにかという話
• 自己紹介
  • アクティブスレッドアセスメントのグローバルリードをしている
  • 脅威ハンティングを10年ぐらい
  • 毎日やっている
  • 夜はカンファレンスの運営
  • Black HatとDEF CONレビューボード
  • 世界中で公演している
  • セキュリティが大好き
• 過去10年のユニークなポジションについて
• 正しいことをやっているか？よく聞かれる
• 過去20年ぐらい様々なカンファレンスに行くと、ベンダーはこれで全部解決すると謳っている
  • でもそうではない
  • ベンダーは救世主ではない
  • 箱をおいてもセキュリティの問題は解決できない
  • 最近はAI・機械学習がやってくれるという
  • 自動的にと
  • 機械は使っていかないといけない
  • スプリンクラーがあれば消防システムがいらない、という話ではない
  • 人はプログラムの重要な部分であり続ける
• セキュリティは複雑である
• 新たな技術がどんどん出てくる
• 目新しいものに目を奪われないで
• 脅威ハンティングをやってきた学び
  • ハンティングプログラムやベストプラクティスを評価してくれと言われた
  • どこから評価してくれるか
  • アクティブなSOCがある
  • 異常値などがあるか評価しようとした
  • 例えばFTPを見よう
    • FTP使ってないと言った
    • では確認してみましょう
    • クリアテキストで確認できた
    • .ruで終わるものが含まれていた
    • パケットキャプチャから見てみた
    • 過去24時間の金融トランザクションが記録されていた
• テクノロジーの失敗ではなく、ツールの代わりに使っていた
  • USのガバナンスのドキュメンテーションは素晴らしいもの
  • テストが1台のサーバーで忘れられていた
• 外国の政府について
  • 非常にノイジーなトラフィックがあった
  • 脆弱性スキャンなどしているのか確認してみた
  • それはExchangeサーバーだと担当者が言った
  • 外部に重きをおいた通信しか確認していなかった
  • East-Westのチェックがおざなりだった
• ゲーム開発会社
  • ネットワークをみるとクリアテキストのクレデンシャルだらけ
  • なんでも見れた
  • 1レイヤーでもブリーチできれば全て見れていた
  • GitHub, Docker, Confluenceなど
  • 幸い攻撃されてはいなかった
• Zero Day, or Same Day?
  • Black Hatは敵対的に見られている
  • しかしラボでなにか学んだことを試しているだけかもしれない
  • ButのButを見極める必要がある
  • 脅威ハンターが異常を見つけようとしている
  • 針の山から針を見つけようとしている
  • 異常なトラフィックを確認した
    • 404が変えるけど毎回違うレスポンスをしている
    • インフラを攻撃しようとしていた
• Black Hat別の話
  • ネットワークである個人の重要な情報が含まれていた
  • 普通は行わないけど今回は個人に話しかけてみた
  • 確認するとVPNのスプリットトンネルがうまく行って無くてデータが流れていた
  • 大学への書類送信のためにクリアテキストで送っていた
• RSAカンファレンスでのSOC
  • wireのみを利用する
  • Mitigationはできないがトラフィックは見られる
  • ワームかと思って調査したらワームではなかった
  • 会場がフラットでアイソレーションがなかった
  • 心配すべきか、細かく見ていかないとわからなかった
• 何が見えてくるのか？
• やらなければいけないこと
  • このプロトコルが存在していないか、本当に確認しないといけない
  • Asset Management
  • East-Westの確認
  • クレデンシャルコントロール
  • VPN管理
  • ホストの隔離
• ずっと我々が戦い続けている問題にまだ直面している
  • 優れた製品・機能があれば解決すると思っていてもだめ
• どうすればこの根本的な問題を解決できるのか
  • 実際のDefenceをどうするか
  • 攻撃のスケールに応じて調整する
  • ログ・パケット・エンドポイントなど情報が必要
  • 自動化をして意味のある使い方をする
  • ソリューションで全部解決することはできない
  • アナリストにハントする時間を与える
  • 外部のヘルプを求めることは問題ない
  • スキルのギャップは把握する必要がある
  • 自分たちが何ができないかを把握する
  • MSPなどとパートナーになる
• 根本的なのはログ
  • 何十年もゴールドスタンダードで今後も変わらない
  • 可能な限りすべてのログを取る
  • ログが出るならすべて取る
  • コストがかかっても、見る必要がなくてもログを取る
  • 侵害が発生したときに外部のチームが調査する
  • 半年や1年のログを確認する
  • 一部しか無いと意味がない
  • ログが色んな場所に保存されているならまとめる
  • 自分たちが使える状態で取る
  • 使えないとドブに捨てることになる
• ネットワーク
  • ネットワークアナリシスは大事
  • フルパケットキャプチャは重要
  • 金融機関の例ではフルパケットキャプチャがあったので喪失したデータを復元できた
  • なくなったものを記録することは法的にも意味がある
  • ネットワークに対する映像監視と同じ役割
  • 例えばカメラを設置して、5分おきに写真を取る、という風にはならないだろう
  • ネットワークでも同じ
• エンドポイント
  • デバイスで何が起きているかを把握する
  • なんのアプリがどれくらいの頻度で
  • 何がスケジュールされているか
  • これらを理解することは意味がある
  • サンドボックスに入れて挙動をみる
  • できればインタラクションする
• 脅威インテリジェンス
  • 極めて重要
  • 価値のあるスレットインテリジェンスである必要がある
  • ハッシュをとってそれをスレットど呼ぶのは正しくない
  • セキュリティジャンクフードだと
  • いい気分にさせてくれる
  • あとから良くないことがわかる
  • TTPsをすべてでやるのではなく、だれが攻撃してくる可能性が高いのかを考える
  • 何百もあるところから6ぐらいにターゲットを絞れる
  • どんなキャンペーンをするか、どんなテクニックを使ってくるか
  • 誰が攻撃してくる可能性があるかを理解することは、軽減することができる
  • 例えば東京で沢山のお金を使ってトルネードの予防はしないでしょう
  • ただ地震は対策する
  • 攻撃してくる可能性が高いところに投資する
  • 多くのデータがある
    • 重複しているところが多い
    • 脅威インテリジェンスはそれが多い
    • 自分でキュレーションできないのであれば、できる会社に任せる
    • TTPsがなにか教えてほしいとリクエストする
    • 具体的なテクニックに対して対策できるようになる
    • 外部に求めて問題ない
• 脅威ハンティング
  • 環境の中にアタッカーがいるか
  • アタッカーがいてみなさんのコードを見ているとしたらヒントを与えている
  • 何ヶ月も滞在していることもある
  • 後をつけていてドアの後ろからすり抜ける
  • イネーブラーを見つける手助けもしてくれる
  • 脅威ハンターをつかってアタッカーを見つけるだけを求めると残念になる
  • 質問をしていくことでアタックの可能性を減らすことができる
• 自動化
  • すべてを自動化して楽になることはできない
  • しかしプレイブックを作ることはできる
  • SOCのリソースを重要なアクションにつかうことができる
  • ノイズに気をとられないように
  • 多くのデータを集めてハントしないといけない
  • ボタンをクリックしてセキュリティが手に入るものではない
• Red Team
  • 攻撃にもいろいろある
  • ボタンをクリックしてソフトウェアで行うものではない
  • 人が行うもの
  • Red Teamingはツールと人を組み合わせて、攻撃者のマネをしてもらうことが目的
  • 脆弱性を特定したら直していく
  • ゴールを設定して、このアタックの方法を真似てやるなど必要
  • ただRed Teamすればいいのではない
• 何をすれば良いのか？
  • プログラムを構築する
  • まず脅威インテリジェンス
  • どうアタックされるか知る
  • それを見つけるために必要な情報があるか確認する
  • なければ予算や人材など必要なものを上げていく
  • 具体的に伝えて調達する
  • リソースが整ったらアタッカーがいないか確認する
  • ハンターにより確認する
  • 攻撃者の滞在を許す要素を探す
  • 何も見つからないことは無い
  • 攻撃の可能性を減らさないといけないとなった時、対策を取ることで入ることを難しくできる
  • レコメンドはすぐにRed Teamをやらないでください
  • まずディスカッションしてBlue/Redと一緒に確認していく
    • 協力することによってどのように防衛できるかを発見できる
    • Purple Teamingでわかる
    • 何度も繰り返す
• ツールではすべてを解決できないが、ツールは大事

質問

• pcapは実際どれくらい取るのが良いのか？
  • 大企業なら14日から数週間あるといい
  • 最低3日でも、取ることは大事
  • そして詳細を確認していく
  • 90日保存している会社も見たことある

感想

セキュリティって難しいよなぁと改めて感じました。

何でもツールで解決できないので、頑張っていきたいと思いました。