セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

BSides Tokyoが開かれるらしい

カンファレンス・研修

LinkedInのブログでたまたま見つけましたが、BSides Tokyoが開かれるらしいです。

www.linkedin.com

bsides.tokyo

BSidesシリーズとは?

米国から始まった(?)セキュリティカンファレンスシリーズ群で、各地の発起人が確か一定の条件を満たせば、BSidesという名前を付けて開けるカンファレンスです。(違っていたらすいません...)

米国にいた頃、BSides Charm、BSides Boston、BSidesLV、BSides DC、BSides Philadelphiaなど東海岸を中心に色々と参加していました。個人的に旅行次いでにバスで乗り継いでいったので思い出深いカンファレンス群です。

米国の特徴とすると、以下の通りだと思います。

特徴1:安価な参加費

参加費が非常に安価であるという特徴があります。大体無料から高くても30ドルぐらい(BSides LVだけは別格で150ドルとかですがBlack Hatと比べれば全然安いです。)なので、非常に参加しやすい特徴があります。

特に有名企業や政府機関がスポンサーに入っている場合、参加バッジやSwag(参加記念品)も豪華で、昼食もサポートされたりします。

特徴2:幅広いコンテンツ

講演は、正直開催される場所や知名度にも大きく依存します。但し、意外と小さいカンファレンスだと、あまりメジャーでない内容でも面白いものも多く、研究活動などをしていると結構参考になるセッションも多い印象があります。

また、講演ではなくトレーニングやCTFに参加することも可能です。BSides DCに行ったときは、Broというツールのトレーニングを受けて非常に勉強になりました。

トレーナーもお金儲けというよりは、コミュニティへの貢献、それに伴うプレゼンスの向上などお金以外のメリットが働きます(米国の流動的な就活市場ではそういったコミュニティへの貢献なども大きな要素となるため)。きちんとインセンティブが働く形になっているため、かなり質の高い講義が受けられた記憶があります。

BSides Tokyoについて

BSides Tokyoも無料らしいです。

日本で開かれるセキュリティ・カンファレンスといえば、AV TokyoやCode Blueなどが有名ですが、ぜひ盛り上がってほしいですね。

 

#ssmjp 04に参加してきました!!

エッセイ

#ssmjp 4月に参加してきました。

ブログ枠で参加したのでアップデートしました。(勘違いして、アップロードできていなかったので、アップロードしました。ご迷惑をおかけしました。)

講演1:私の情報収集法

最初のスピーカーは「タイムライン・インテリジェンス」という情報収集法に関する話でした。「私は昨晩、6時間寝てしまったから、すでに専門家でなくなってしまった」とまで言い切らずに情報収集を行うというコンセプトが面白かったです。

提案されていたポイントは、「時差を利用して、過去・未来にさかのぼるイメージで情報収集を行う」という点にあるかと思います。

  • 未来の話題は、海外ソースで先取り
  • 過去の話題は、「まとめ」を活用

未来の話題

海外の情報で日本で話題になるまでに先取りを行って、話題を先取りする方法です。

海外のニュースは日本の夜に公開されており、翻訳は大体翌日の午前中に公開されるため、朝の通勤電車などでこれらの情報を把握できれば、実質的に情報を先取りすることができるとのことです。

過去の話題

その反対に取りこぼすことも当然あるので、その部分については「まとめ」を活用して情報を一気に吸収する方法です。

補足(質疑の中から...)

  • 一時情報か否かについては、記事の量でその信憑性を図っているとのこと。
  • Twitterはあまり見ていない。
  • ある程度時間を区切ってみている。 

所感

  • 情報収集をうまくやろうとした際に、一番ネックになるのは「現在の情報を正確にいかに押させるか?」、「膨大な情報に呑まれないようにすること」だと思います。この方法を情報収集に取り入れてみたいと思います。

講演2:ペネトレーションテストの資格

北原さんによるペネトレ系資格に関する説明をでした。個人的には、過去記事でまとめた時に調査に挫折した部分を全部きれいにまとめてくれた内容で非常に参考になりました。

米国では、OSCPはペネトレーションテストの品質を保証する重要な資格として位置付けられているので受験に向けて非常に参考になりましたが、それにしてお56のホストに侵入するとか、報告書をかなり細かく書かないといけないとかハードルが非常に高いですね...(ほかの資格は4択なので、勉強すれば基本的には取れると思います)

www.scientia-security.org

講演3:VyOSで挑むIPv6 IPsec

VyOS Kernelなるものを初めて知ったのですが、VyOSはルータなどを作る際に便利OSだが、本家でサポートが切れているので対応が大変らしいです。今回は、IPv6 IPSecへの対応に関するエピソードでした。

個人的にネットワークにそこまで詳しくないのですが、二分探索法でバグを探すとか思った以上にバグ調査って地道なんだな..と実感させられました。

講演4:なぜSphinxで手順書を作るのか

Sphinxで手順書を作る話(#ssmjpでシリーズ化されている話)でした。Sphinxを使ったことがないので感覚的にわからない部分もあるのですが、便利な側面も多いのですが、一方これの学習コストってどれぐらいなんだろうと思っています。(若干、慣れが必要な記述形式なのではと思っています)

現在、色々ドキュメントを作る作業をしているので少し試してみたいと思います。

まとめ

SSMJPは、いつもユニークなプレゼンテーションが多くいつも興味深く参加しています。もし参加したことがない方はぜひ参加してみると色々勉強になると思います。

Cyber Threat Intelligenceとは何か?(その4・2018年度版)

Threat Hunting

前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技術について触れようと考えています。

CTI Analystが陥りやすいバイアスとは?

CTI Analystは限られた情報から分析を行うゆえ、陥りやすいバイアスが存在します。詳しくは、誤謬 - Wikipediaや以下の本を読んでもらうとして、CTI Analystはこうしたバイアスに問われないように数々の誤謬・詭弁に通じている必要があると考えられます。

ウンコな議論 (ちくま学芸文庫)

ウンコな議論 (ちくま学芸文庫)

 
反論の技術―その意義と訓練方法 (オピニオン叢書)

反論の技術―その意義と訓練方法 (オピニオン叢書)

 
レトリックと詭弁 禁断の議論術講座 (ちくま文庫 こ 37-1)

レトリックと詭弁 禁断の議論術講座 (ちくま文庫 こ 37-1)

 
論より詭弁 反論理的思考のすすめ (光文社新書)

論より詭弁 反論理的思考のすすめ (光文社新書)

 
詭弁論理学 改版 (中公新書 448)

詭弁論理学 改版 (中公新書 448)

 

 ACH(Analysis of Competing Hypotheses)

ACHとは、元CIA分析官のRichard Heuerにより提唱された仮設検証のプロセスです。具体的には、様々な仮説を分析し、最もらしい仮説を選ぶのにつかわれる方法です。

  1. Enumulate(可能性のある仮説をすべて列挙する)
  2. Support(各仮説を支える or 否定する証拠を探す)
  3. Compare(ACH Matrixを使いながら各証拠を比較して、各証拠が仮説をサポートするか否か評価する)
  4. Refine(Matrixを見直し、可能性が低い仮説や不適切な証拠を排除する)
  5. Prioritize(仮説の中で最も確からしい仮説を選ぶ)
  6. Depedence(選んだ仮説の証拠への依存度を評価する)
  7. Report(仮説を報告書としてまとめる)
  8. Qualify(証拠や前提が変わった時点で、仮説を再評価する)

ACHのCyber Threat Intelligenceの応用については、Cyber Threat Intelligence製品を開発しているDigital Shadowなどがブログで具体例を公開していますので、参考にしていただければと思います。

Attribution

Attributionとは、侵入や攻撃活動の活動主体を分析する技術です。最近仮想通貨が流出したCoinCheckなどでもNation-StateレベルのAttributionが行われており、かなり注目度の高い技術だと思います。

www.bloomberg.com

Attributionのレポートを多数だしているMandientのレポート"APT1: Exposing One of China’s Cyber Espionage Units"をもとに定義を見てみましょう。

Methods for attributing APT personnel often involve the synthesis of many small pieces of information into a singular comprehensive picture. Often this unified viewpoint reveals not only the group attribution, but coherent pockets of behavior within the group which we perceive to be either small teams or individual actors. We refer to these as “personas.”

 

APT攻撃を行う攻撃者を特定する手法は、多くの情報のピースを包括的な絵として統合することに近しい。 しばしば、この統合的な視点は、グループの特定だけでなく、個別の攻撃者やチームによるグループ内の一貫した行動を明らかにする。我々は、これらを「ペルソナ」と呼んでいる。 

 SANSでは、Attributionの対象は大きく4種類(攻撃キャンペーン、攻撃者、攻撃グループ、国家)あると述べており、どれについて分析しようとしているか明確にするように推奨しています。

但し、ShmooCon 2017の発表でも触れられていましたが、Cyber Attributionに対抗するため、Cyber Disinformationと呼ばれる技術も存在しますので注意が必要です。

www.scientia-security.org

また、SANS CTI Summit 2017でも触れられていましたが、一般企業にとってAttributionは必要かという議論も存在します。(要するに誰が攻撃してくるにせよ、結局は組織を守らなければいけないのでAttributionは無意味であるという議論です。詳しくは、当該ブログ記事を参照してください。)

www.scientia-security.org

確かにこの考え方も正しく、Attributionはより成熟したCTIプログラムを持つ企業がやるべき内容で、初期段階ではThreat intelligenceをいかに消費するかに焦点を当てたほうが良いかもしれません。どうしても、Attributionが必要だという場合には、Cyber Attribution Reportを自動生成してくれるジョークソフトもあります。(日本の場合は、Hello Kittyとなっています)

f:id:security_consultant:20180207211415p:plain

まとめ

今回は、CTI Analystが考慮すべき思考法(誤謬・ACH)、Attribution(攻撃者の特定)について触れました。CTI Analystは、ある意味情報分析技術の訓練が重要になりますので、これらの技術についても学んでいくことが必要になると思います。ちなみに、改めて読みましたが、この資料非常によくまとまっていると思います。

qiita.com

Cyber Threat Intelligenceとは何か?(その3・2018年度版)

Threat Hunting

2018/02/28 リンクを追加しました。

今回の記事では、Tactical Threat Intelligenceについて取り上げました。

今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。

Operational Threat Intelligenceの定義

以下のように定義されています。

Operational-level personnel should look to translate strategic objectives into tactical efforts and vice versa by identifying the overarching goals or trends of an operation or campaign. They should also aim to be aware of adversary campaigns instead of single intrusions, identify organizational knowledge gaps, and share information with peer organizations to alleviate those knowledge gaps.

 

Operational Level Threat Intelligenceを扱う担当者は、攻撃キャンペーンの包括的目的や傾向を特定することにより、戦略的目的を戦術的な行動に落とし込み、あるいは逆に戦術的行動を戦略的目標に変換することが求められる。また、当該担当者は、単体の侵入よりも敵対的な攻撃キャンペーンに注目し、組織が持つ知識との差を特定し、その知識の差を軽減するために他の組織に対して情報を共有する必要がある。

Strategic Threat Intelligenceの定義

Strategic Level Threat Intelligenceも以下のように定義されます。

Strategic-level players such as executives and policymakers should look for an understanding of the wider threat landscape to identify the risk to the organization and changes that can be made in investments or the corporate culture.

 戦略レベルを求める幹部・政策立案者は、組織のリスクを特定するために、脅威の全体像と投資や企業文化に生じうる変化を理解したいと考えている。

Threat Information Sharing

一つの組織でサイバーセキュリティへの脅威動向をすべて集めることは不可能です。そのため、その多くは外部からの情報をもとに消費(Consumption)を行い、その過程ででてきた新しい情報をもとに新しいインテリジェンスを作成(Production)して共有するという形が一般的です。Operational Threat Intelligenceの定義で触れられていましたが、そのためのキーワードとして情報共有が挙げられます。

Information Sharing Platform(ISP)

Information Sharing Platformとは、Threat Intelligenceを共有したり、蓄積するための基盤のことです。使ったことはないですが、有償・無償それぞれにいろいろな基盤があるようです。

 Threat Intelligence Feed

Tactical Threat Intelligenceは、Blue Team(=Security Operation Team)の日々の運用を支えるために共有され、Timely & Actionableであることが必要だと考えられます。通常は、IPアドレス、ハッシュ値などが共有されることが一般的です。

いくつか有名な情報提供ソースを列挙します。

Intelligence Community

Threat Intelligenceを共有するコミュニティもいくつか存在します。日本だと、金融ISACやFS-ISACが活発に活動を行い、様々な情報交換を行っている様子です。

共有形式・TLP

情報を共有する形式は多数存在して、統一したフォーマットは存在しません。有名ものとして、マルウェアシグニチャを共有するYARA、STIX、CybOX、TAXIIなどがあります。

また、最近では『セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 』という資料も出ていますので、共有を考える上で重要な参考になると思います。

ちなみに、情報共有する際には、情報のアクセスレベルを決めるためにTLP(Traffic Light Protocol)という仕組みを使うことが一般的です。金融ISACでもTLPは厳格に有用されており、個社情報を含むものはRed or Amber、公開情報の共有などはWhiteという形のように運用されているようです。

www.us-cert.gov

まとめ

今回は、Operational・Strategic Threat Intelligenceについて、およびInformation Sharingについてまとめました。特に、Operational、Strategicは文献を当たってもなかなかわかりやすい解がなく試行錯誤しながらやっていくものになるかと思います。

参考:このリンク先に色々と情報がまとまっているので活用するのも一つの手だと思います。

github.com

 

github.com

Cyber Threat Intelligenceとは何か?(その2・2018年度版)

Threat Hunting

前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。 

www.scientia-security.org

 今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。

戦術的インテリジェンスの定義

SANSの"Cyber Threat Intelligence Consumption"によれば、以下のように定義されています。

Tactical-level intelligence is often consumed in the form of indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs). This helps drive the security of an organization and enable it to hunt down threats and better respond to them. 

 

戦術的インテリジェンスとは、IoCとTTPsを消費することである。これは、組織のセキュリティを推進することを助け、脅威を捕らえ、よりよく対応することを可能にする。

以前のエントリーで記載した通り、インテリジェンスは消費者(Consumer)と生産者(Producer)により見方が異なります。上記の定義では、インテリジェンスを消費する消費者側(Consumer)に立った定義ですが、戦術的インテリジェンスは日々のセキュリティ運用の支援に焦点を当て、攻撃者の動向を分析することを目的としています。

そのため、一般にTactical Cyber Threat Intelligence Analystと呼ばれる人は、取得したインテリジェンス情報をBlue Team(=Security Operation Team)のために翻訳し、より使いやすく情報を加工するため、インテリジェンスを消費していきます。例えば、インテリジェンス情報を分析・研究し、攻撃者のTTPs(Tactics, Techniques, and Procedures)を説明する、現時点で同様の攻撃が行われていないか確認したり、将来同様の攻撃が行われた場合に防げるかを確認するためにIoC(Indicator of Compromise)を作成することなどが挙げられます。

ちなみに、インテリジェンスを分析・研究の過程で新しいIoC(IPアドレス、特定のレジストリ情報)が作成されれば、インテリジェンスの生産者としての役割を果たしたことにもなります。この例からもわかる通り、消費者(Consumer)・生産者(Producer)の立場は一方に縛られるものではなく、状況により変化することになります。

戦略的インテリジェンスの分析手法

戦略的インテリジェンスは、主に攻撃イベントの検知、ISAC・セキュリティベンダーなどのIC(Intelligence Community)から提供されるIoCをもとに分析をスタートします。技術的な調査手法はフォレンジックで利用する分析技術(ログ解析、ネットフローデータ分析、メモリ解析、フォレンジック解析)などの各種技術を利用して分析を行います。また、分析の結果新しいIoC(マルウェア・C2通信のIPアドレス)などがあれば、OSINT技術を利用して、さらなる情報や特定の攻撃主体とのリンク分析など分析の幅を広げることができます。

ここでは、情報を整理するためのモデルについて以下3つを紹介します。

攻撃モデル

第一のツールは、攻撃モデルです。一番よく知られているものは、Cyber Kill Chainモデルだと思いますが、実は各社色々なモデルを提示しています。これについては、自社の他の対策やポリシーになったものを自由に選べばよいと考えます。以下では、Cyber Kill Chainモデルを使って考えていきます。

  • Cyber Kill Chain Model(Lockheed Martin社)
  • Mandient Attack Lifecycle(FieEye社)
  • Cyber Attack Model(Gartner社)
  • MITRE ATT&CK LifeCycle(MITRE)
  • 攻撃シナリオモデル(IPA)

CoA Matrix

CoA Matrix(The Course of Action Matrix)とは、各攻撃モデルのフェーズに対して防御者としての行動指針(Course of Action)を決定したり、それに基づく結果を整理する表のことです。一般的には、防御の指針を示す7Dを置いてアクションを決めることが一般的です。

  1. Discover(発見):過去攻撃された痕跡があるか?
  2. Detect(検知):将来攻撃された場合に検知できるかどうか?
  3. Deny(否定):攻撃が発生することを予防する(例:ポート・IPの遮断)
  4. Disrupt(妨害):攻撃の成立を妨害する(例:ASLRを導入する)
  5. Degrade(低下):攻撃が成立するまでの時間を稼ぐ(例:レスポンス速度を低下させる)
  6. Deceive(欺瞞):攻撃者に攻撃が成立したと勘違いさせる(例:Honeypotの利用)
  7. Destroy(破壊):攻撃者に対して、攻撃的なアクションをとる(例:Hack Back)

f:id:security_consultant:20180204104632p:plain

Diamond Model

Diamond Modelとは、各イベントとは4つの特徴(Adversary・Capabilitiy・Infrastructure・Victim)により定義づけられるとして、イベントをダイアモンドで表現するモデルです。このモデルの特徴としては、Social-Political Axis(AdversaryとVictimsをつなぐ縦の線)とTechnical Axis(CapabilityとInfrastructureをつなぐ横の線)が合理的に説明がつくことが重要となります。実際の分析では、この攻撃モデルの各フェーズに従いこのダイアモンドがかかれ、連鎖していく形で記述を行います。

使い方のイメージが付きづらい場合は、このモデルをよく利用しているThreatConnect社がスターウォーズをネタにこのモデルを利用して分析したLuke in the Sky with Diamondsという記事があるため、一読されることをおすすめします。

f:id:security_consultant:20180204105928p:plain

 まとめ

 Tactical Threat Intelligenceは、技術的要素も多く一番セキュリティチームとしてイメージしやすい部分だと思います。CTI Analystの強みは技術的分析をできることに加えて、断片的な情報を組み合わせて攻撃者のシナリオや手法を整理していき、全体感を示して対策につなげていくという部分になるだと考えています。