RSA Conference 2020参加記

NECセキュリティブログ

2020年3月6日

NEC セキュリティ技術センター 竹内です。
本記事では2/23(日)~2/28(金)サンフランシスコで開催された、RSA Conferenceの参加レポートとなります。手を動かして何か行うといったことはないのでそこはご了承を。Kr〇〇kの話もありません。
RSA Conference2020のテーマはHuman Elementということなので、Human ElementなセッションとTechnicalなセッションをいくつか紹介していきます。

RSA Conference2020の概要

RSA Conference2020はサンフランシスコのMoscone Centerにて2/23(日)~2/28(金)で開催されました。2/23(日)はトレーニングの日程のため、私が報告するのは2/24からのセッションの内容になります。写真はMoscone Centerの写真となります。

Human Elementなセッション

Personal Professional Development for All Career Stages

Hacking Your CyberSecurity Career

これは現在どのサイバーセキュリティの職についている人にも有効な内容です。
サイバーセキュリティのキャリアを考えるときには下記の4つのフェーズで考えていきます。

  • Self-Discovery
  • Strategic Planning
  • Building Reputation and Network
  • Getting the next role

「Self-Discovery」フェーズでは現在の自分が何をしたいのか、将来どのような道を進みたいかを考えます。そのうえで5年以内にやりたいことは何かを考えます。そこから自分の強みが見えてor見つけます、それを基にして「Strategic Planning」フェーズでは将来と現在のギャップから戦略を立てます。ただしその戦略は絶対ではないので、柔軟に修正しその戦略の旅を楽しみましょう。
「Building Your Reputation and Network」では人とのコミュニケーションを作り自分の価値や他者の価値を伝えあいましょう。それが「Getting the Next Role」フェーズで、他者とつながりより良い活躍をできるようになります。

Transforming from Techie to Security Leader

この講演ではセキュリティリーダ(CISO・セキュリティマネージャ等)がどのように変遷してきており、どのようなスキルが必要か、また技術者がリーダーになる機会があるかという内容が述べられました。

CISOの役割には5つの変遷があるとして、下記のように変遷しています。

  • セキュリティ=ログオンとパスワードの時代(1990-2000)
  • コンプライアンス(PCIなど)時代(2000-2004)
  • リスクベースのセキュリティ(2004-2008)
  • ソーシャル、モバイル、クラウドの脅威を考える(2008-2016)
  • プライバシーとデータに気を付ける(2016-2020)

今はプライバシーとデータに気を付ける時代であり、CISOはグローバルに対応できる必要があります。

現在このような時代にCISOとして必要とされるスキル(要素)として構造、戦略、システム、スタイル、スキル、スタッフ、価値の共有の7つがあります。

CISOになる機会についてです。一番多いのは経営学を大学時代に専攻した方がCISOになるケースが多いとなっていますが、今後大学や大学院でComputer Scienceを専攻した人がCISOを務めることが多くなります。また女性がサイバーセキュリティの重要な位置にいることも増えていますCISSPなどの資格保持者もが重要なポストにいるため、技術者からCISOになる機会はあるといえます。

The First 6 Months as a CISO Determines Success or Failure

この講演はCISOの最初の6か月で何をしていくとよいかという内容になります。まずCISOの役割はすべての脆弱性を一手に率いるのではなく、直面するリスクに対して管理を行い、許容できるレベルにまで落とし込むことです。

最初の90日間は実際の行動をするのではなく、ビジネスリーダーやセキュリティチームに対してひたすら情報を聞くことが重要です。ビジネスリーダーに対しては5つの質問(1.組織がどのようにすべきか、2.過去の組織とセキュリティはどうであったか、3.会社のセキュリティはどのように見えているか、4.どの領域のセキュリティを進めるべきか、5.一貫すべきか更新すべきか一番良い方法はなにか)を聞きます。それが終わったらセキュリティチームに対して一番まずいところは何かを訪ねます。

そのようにして60日からは会社のひとたちに伝える5つのコアを作ります。5つのコアは戦略、運用計画、リソース、組織のオーナーシップ、レポートの方式です。これらを伝え達成できるようにセキュリティカルチャーを作り、リーダーシップのレベルを高める必要があります。

90日からセキュリティチームを作ることになります。役割として適切な人材をチームにいれること。成功するチームは多様な考えや背景を持っていることが必要とされます。

Technicalなセッション

The 5 Most Dangerous New Attack Techniques and How to Counter Them

タイトルの通り5つの最も危険で新しい攻撃テクニックの紹介とそれに対する対抗策の内容です。

1. New Attack: The Golden Age of C2

様々なC2サーバがあり、そのそれぞれにおいて利用するテクニックやツールやフレームワークが異なっています。それらはC2 Matrix(new windowhttps://thec2matrix.com )でまとめられていますが、とても膨大です。

1. Counter: DeepBlueCLI

全般的な対策としては組織内のネットワークから外に出ていく通信を監視するという対策があるが、それをサポートするツールとしてDeepBlueCLI(new windowhttps://github.com/sans-blue-team/DeepBlueCLI )という素晴らしいツールがあります。
これはWindowsイベントログからThreat HuntingするPowershell製のツールです。

2. New Attack: Living off the Land Bainaries and Scripts(LolBaS)

Living off the Landとは自給自足のことを指し、コンピュータ内にあるものを使って攻撃を行う手法のことを指します。LolBasとはコンピュータ内にあるバイナリやスクリプトを用いて行う攻撃です。LolBasのテクニックはnew windowhttps://lolbas-project.github.ioでまとめられています。

2. Counter: Purple Team, Application White Listening

LolBasの対策としてはパープルチームの組織、アプリケーションのホワイトリストを注意深く設定することです。パープルチームはレッドチームとブルーチームが連携して組織の防御を高めていくための組織です。

3. New Attack: Deep Persistence scales up Supply Chain Attacks

USB Rubber duckyやUSB Ninjaを用いた悪意あるUSBケーブルを用いた攻撃です。この攻撃はサプライチェーンがらみの攻撃で利用されることが予測されます。

3. Counter: Personal and Organization Protection

個人としての対策は個々のアーティファクトに関して注意を払うこと、組織としての対策はサプライチェーンに対しての防御を行うことです。

4. New Attack: Your Phone Fell Into the Wrong Hands

デバイスを攻撃者が自由に使う方法としてcheckm8やcheckra1nなどのスマートフォンに対するエクスプロイトやjailbreakの手法があります。また2FAに関しても電話番号を変更したときに古い番号に送ってしまい乗っ取られるという攻撃手法もあります。

4. Counter: Practical Risk Management

デバイスを守ることとアプリケーションを守ることが重要になります。まずはデバイスのロックと盗まれたときにリモートアクセスができるようにする。またデバイスのデータを暗号化しておくことがデバイスを守る方法です。新しい電話番号を入手した時に2FAを行いなおすこと、バックアップのアカウントを作成することそしてユーザアカウントをシェアしないこと。

5. New Attack: Enterprise Perimeter Vulnerability

脆弱性の中でもPulse Connect SecureやZoom, Citrixの脆弱性があったように商用製品の脆弱性が攻撃の切り口になるケースが増えている。

5. Counter: 4step Mitigation

  • 管理者用のインターフェースを公開しない
  • デバイスの機能を最低限のみ有効化する
  • デフォルトの設定を注意深くレビューする
  • 使われていないデバイスはないか確認する

またベンダーに対してアプリケーションのセキュリティをどうしているかを聞いてみるというのも手です。

Break the Top 10 Cloud Attack Kill Chain

Starbucks Coffee社のShawn氏とSecurosis社のRich氏によるクラウド攻撃のキルチェーンの講演です。

Top10の攻撃が下記の10個となっており、それらがAzureやAWSでどのようなキルチェーンで攻撃されるか、そしてどういったツールが利用されるかを述べています。

  • 1. API Credential Exposure to Account Hijack
  • 2. Compromise SSH/RDP/Remote Access
  • 3. Compromise Db
  • 4. Object Storage Public Data Exposure
  • 5. SSRF Credential Abuse
  • 6. Cryptomining
  • 7. NetworkAccess
  • 8. Compromise Secret
  • 9. Novel Cloud data Exposure
  • 10. Subdomain Takeover
  1. API Credential Exposure to Account Hijack
    この攻撃のキルチェーンは1. 鍵の作成、2. 鍵をセキュアでない環境に保存、3. 攻撃者が鍵の入手、4. 攻撃者鍵を使って攻撃を行う、5. 悪意あるアクションや権限昇格をするためにAPIを呼び出すという流れです。
    この攻撃で使われるツールとしてはGitHub/BitBucket、イメージの共有、攻撃コードが埋め込まれたインスタンスなどがあります。
    防御方法としてはIAMロールを最小権限で設定する。MFAを使う。IPを用いてアクセス制限を行う。などがあります。
  2. Compromised Server via Exposed SSH/RDP/Remote Access
    この攻撃のキルチェーンは1. 22/3390ポートを探す、2.ターゲットホストが何で動いているかを知る。3. ブルートフォースもしくは脆弱性をエクスプロイトする、4. 権限昇格、データの抜き出しをするという流れです。
    防御方法としてはセキュリティグループの設定、SSH/RDPの無効化、ホストOSの要塞化、などがあります。
    SHODANでは2百万ものAWSで公開されているSSHがあります。
  3. Compromised Database via Inadvertent Exposure
    この攻撃のキルチェーンは1.データベースのポートを見つける、2. DBをエクスプロイトする、3.クエリを使ってデータを取得する、4.データ転送するという流れです。
    防御方法としてはセキュリティグループ、MFAの利用、IAMの最小権限、DBの最小権限、アウトバウンドネットワークの制限などがあります。
  4. Object Storage Public Data Exposure
    この攻撃のキルチェーンは1. 機密データをオブジェクトストレージに置く、2. アクセスコントロールをpublic/anonymousにする、3. 攻撃者がスキャンしてデータストアへのアクセスを見つける。4. データを取得するという流れです。
    防御方法としてはMacieやMCASを利用する。Azure ATPを利用するなどがあります。
  5. Server Side Request Forgery Credential Abuse
    この攻撃のキルチェーンは1. コンテナ/インスタンスへのSSRFできるものを見つける2. SSRFエクスプロイトを行う、3. 攻撃者の環境へクレデンシャルを用いてセッション確立する4. APIを実行して悪意あるアクション、権限昇格をするという流れになります。
    防御方法としてはSSRFのパッチをあてる。AzureのmetadataサービスでSSRFから防御する、ホストOSを要塞化するなどがあります。
  6. Cryptomining
    この攻撃のキルチェーンは1. インスタンス実行権限を取得する、2. 大きなイメージのインスタンス/VMを起動する。3. Cryptominerを実行してネットワークとアクセスさせる、4. 結果を受け取るとなります。
    防御方法としては脆弱性診断、使わないリージョンの制限、Billing Alert、Azure Security Centerやフローログを用いたログ検知などがあります。
  7. Network Attack
    この攻撃のキルチェーンは1. インターネットに接続しているインスタンスやコンテナを発見する、2. 脆弱性を見つける、3. 脆弱性をエクスプロイトする、4.さらに他のリソースに対してアクセスを行うという流れになります。
    防御方法としては脆弱性管理、内部ネットワークセキュリティグループの制限、フローログの確認やGuard Duty・Azure Threat Protectionを用いた保護などがあります。
  8. Compromised Secrets(Instance/VM)
    この攻撃のキルチェーンは1. クレデンシャル情報をローカルもしくはユーザデータに保存する、2. インスタンス/VMが攻撃される、3. 攻撃者がローカル領域にアクセスする、4. 攻撃者がクレデンシャル情報にアクセスする、5. 攻撃者がクレデンシャル情報を用いて新たな対象に攻撃を行う。
    防御方法としてはクレデンシャル情報をユーザデータとして保存しない、脆弱性管理をする、クレデンシャル情報へのアクセスを特別なプロセス/ユーザのみに制限するなどがあります。
  9. Novel Cloud Data Exposure and Exfiltration
    この攻撃のキルチェーンは1. 公開もしくは共有される可能性のあるリソースにデータを格納する、2. 攻撃者がリソースを公開する3. 攻撃者が公開されたデータにアクセスする。
    防御方法としてはデータガバナンスをする、サービスコントロールをする、IAMの制限をする、暗号化を行うなどがあります。
  10. Subdomain Takeover
    この攻撃のキルチェーンは1. DNSリソースで親のないものを見つける、2. 同じクラウド上でリソースを作成する。3. フィッシングサイトを作成する、4. フィッシングキャンペーンを実施するという流れになります。
    防御方法としては自分たちのサブドメインを自動で検知するものを取得する。異常なトラフィックを検知するものを実装する。などがあります。

Cloud-Powered Compromise Blast Analysis in the Trenches with Microsoft IT

MicrosoftのSarah氏とKristina氏によるAzureにおけるMSのSOCの観測と検知対応の紹介そしてパスワードスプレーの対応についての内容です。

Azureのユーザ数は10億を超えており、発生するイベントも10億を超える量が来ています。Microsoftではそれを600個の独自ルールを用いることで一日80ケースまでに落とし込んでいます。

Azureの攻略に関して攻撃者はあきらめており、Azureの脆弱性ではなくログインを狙っています。「hackers don't break in, but they log in」ログインを狙う手法としてパスワードスプレーを攻撃者は利用しています。Microsoftでは1週間をまたぐようなパスワードスプレーに対して技術的な要素とアセスメントの要素で対応しています。
技術的な要素では、独自フィルターとして季節やスポーツ的な項目を含めて攻撃していることやUEBA検知をします。アセスメントの要素ではリスクスコアをとることやペンテスト、ユーザへの教育を行います。

パスワードスプレーに対する対応としてイベントログをきちんととること、特権アカウントを守り、分離すること、異常なふるまいを脅威として検知することが重要になります。

所感

今年のRSA ConferenceはテーマがHuman Elementということもあり、人に焦点を当てたセッションがとても多かったです。その中でもとくにプライバシーに関しての関心度は高くInnovation Sandboxコンテストにおいてもプライバシーの問題を解決する製品を出したSECURITI.aiがMost Innovate Startupを獲得いたしました。会社のセキュリティを考えるうえでCISOの存在が重要視されており、CISOならびにセキュリティリーダがどうあるべきという話や組織をどう考えていくという話が重要視されていました。また次世代のセキュリティを考える起点としてキーノートセッションでは量子コンピュータの出現を懸念していました。
テクニカルのセッションもレベルが高く、現在のホットな脅威や攻撃の紹介およびそれらに対してどう守るかについて質疑含め盛り上がりました。キーワードとしてはやはりクラウドの防御の注目度は高く、セッション数もとても多かったです。

執筆者プロフィール

竹内 俊輝(たけうち としき)
セキュリティ技術センター セキュリティ実装技術チーム

業務では社内のセキュア開発推進・自動化に従事。
街の国際バリスタエンジニアになるべく、日々研鑽を積む。
RISS、SANS SEC560のメダルを保持
「ご注文はセキュリティですか?」