心に残った良い内容だったと思えたものはこの3つ。

ざっくりまとめていく。

TLPT

TLPTとは

TLPTとはThreat Led Penetration Testのこと。脅威情報をもとにして攻撃者 が実際に攻撃しそうなシナリオを作成し検証を行うことで、より効率的に攻撃 に対する対策を行おうとする手法。

TLPLと脆弱性診断の違い

手法観点脆弱性の評価サイバーレジリエンスに対する評価
TLPL対象となるシステムが攻撃を受けたときに対応できるかをふくめ評価する。するする
脆弱性診断対象となるシステムに脆弱性が存在するかを評価する。するしない

サイバーレジリエンス

対象となるシステムが攻撃を受けたときに被害の最小化また復旧の度合いを評価するための概念。

MITRE ATT&CK

https://attack.mitre.org/

MITRE ATT&CKとは

観測された攻撃に基づいた戦術(Tactics)とテクニックの共通知識のデータベース。

区分

攻撃対象について2つに区分される。

区分説明対象となるシステム
Enterpriseシステムを管理する側もしくは企業が使うであろう対象に対する攻撃Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS,IaaS, ネットワーク, コンテナ
Mobileデバイスアクセスとデバイスアクセスなしで攻撃者が使用可能なネットワークベースの手法を含む攻撃Android, iOS, デバイスなし

構成要素

5つの構成要素で攻撃を分類している。

構成要素意味
Tactics目的を達成するための戦術
Techniques戦術を成立させるためのテクニック
Migrations攻撃に対抗する方法
Groups攻撃を使うグループ
Software攻撃を実装しているソフトウェア

CISA流攻撃のMITRE ATT&CKマッピング

MITRE ATT&CKマッピング手順

  1. 振る舞いを見つける

  2. 振る舞いを調べる

  3. 戦術を特定する

  4. テクニックを特定する

  5. サブテクニックを特定する

  6. 他の分析と自分の結果を比較する

振る舞いの見つけ方

どのような振る舞いをしたかを抽出する。

  • 侵害がどのように達成されたか?

  • 侵害後にどのようなアクションを実施したか?

従来の調査方法ではIoC、マルウェアのハッシュ値、URLなどから調査していた。

振る舞いの調べ方

振る舞いを特定し攻撃者の目的を理解するために、様々なデータに当たって情報を集める。

  • セキュリティベンダ

  • 政府関連組織

  • CERTS

  • Google

  • Wikipedia

  • MITRE ATT&CK

戦術を特定する方法

攻撃者の狙いを明らかにする。

  • 計算リソースを盗む

  • 踏み台にする

  • データを盗む

  • データを破壊する

全ての戦術を特定することで攻撃の流れを理解する。

なぜ他の分析と自分の結果を比較するのか?

分析結果の比較により、バイアスや見落としを減らす。 それにより分析精度を向上する。

EdDSAについて

EdDSAとは

EdDSAとはエドワーズ楕円曲線デジタル署名アルゴリズムのことである。パフォー マンスやセキュリティ面ではRSAやDSAより良い。公開鍵基盤業界では徐々に EdDSAが広まりつつある。

実績

以下のソフトウェアですでに利用されている。

  • OpenSSH

  • OpenSSL

  • OpenGPG

楕円曲線名とアルゴリズム名の組み合わせ

どのドワーズ楕円曲線を用いるかによってアルゴリズムの名称は変わる。

楕円曲線アルゴリズム名
Curve25519Ed25519
Curve448Ed448

この名称はIRTF:RFC7748によって定義されている。

実装

RFC8032

RFC8032のAppendixに実装例がある。 Appendix AにEd25519/Ed448 Python Libraryが掲載されている。 Appendix BにLibrary DriverとしてAppendix Aの利用方法か掲載されている。

ed25519.cr.yp.to

ed25519.cr.yp.toには簡易的なサンプル実装がある。

https://ed25519.cr.yp.to/software.html

AWS IAMの権限昇格について

AWS IAMの権限昇格をどのようにおこなうのかについて説明されていた。

権限昇格周りだと cloudgoat と https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/ この記事を合わせてやると勉強になりました

gosecについて

https://github.com/securego/gosec

gosecはGoのソースコードセキュリティスキャナ。これはすぐに導入できそう ではあった。Emacsの拡張はすぐに実装できそうだった。すでにある気もする。 発表内ではディレクトリトラバーサルについて取り上げていた。