SANS Future Visions 2009 Tokyo

2009/7/16-17 のセミナーを聴講したときの個人的なメモです。

Inside : K11 - K12 - A13 - A15 - K21 - A21 - A25

# K11 最新サイバーアタックの危険性とその対策

〜 The Most Dangerous New Cyber Attacks and How to Prevent Them 〜
SANS Institute 調査研究部門ディレクター
アラン パーラー Alan Paller

1. 最近の脅威の傾向
   
   1. ソーシャルエンジニアリング
      ソーシャルエンジニアリングを利用した偽装メイルの添付ファイル
      
      ex.) Federal Trade Commissin から「あなたの会社に苦情が来ています。xx日以内に回答してください。」
      
   2. 信頼できるサイトを利用
      SQL injection, エラーを利用して java script の挿入
      
      ==> 閲覧者の計算機に感染
      
   3. Supply chain attacks
      Digital picture frames や MP3 players を通じて感染
      
   
   
2. 上記の攻撃を止めることは可能か
   No! ==> ではどうするか?
   今までは防御が第一、今後は早期発見と対処の重要性が増大
   分析力のある技術者が必要になる
   
   
3. 必要とされる技術力
   Refer to slide P5-1
   
   
4. US 政府の変化
   Refer to slide P5-4&5
   報告書作成の人員の削減、技術力のある人員の増員
   

• My comment:
  自分の PC での 1. で示された脅威の被害を軽減策は、「エンドポイントセキュリティにおけるベストプラクティス」 を参照。
  

# K12 PCI DSS準拠によるセキュリティ強化対策とVISA AISプログラムへの取組み

ビザ・ワールドワイド・ジャパン株式会社　リスクマネージメント　 カントリー　リスク　ダイレクター
井原 亮二　氏

# A13 サイバー犯罪の現状とそれに対するKaspersky Labsの取り組み

株式会社Kaspersky Labs Japan 情報セキュリティラボ　所長
ミヒャエル モルスナー 氏

1. 最近の脅威の傾向 -- Phishingの進化
   
   1. ワンクリック詐欺
      - 反応しないことで6-7回のクリックをさせる -- 訴訟対策。本人の意思の証拠。
      - 恐喝請求がメイルから、デスクトップ上に請求のウインドウを表示する → 恥ずかしい内容を消去できない → 支払いに同意するとやっと消える、という方式に変化している。
      
      「アダルトサイトのご利用ありがとうございました。支払いの確認をお願いします。」
      
   2. Gumbler（通称、GENOウイルス）の出現
      内容は https://www.netsecurity.ne.jp/3_13585.html 参照。
      

• My comment:
  自分の PC での 1. で示された脅威の被害を軽減策は、「A21 エンドポイントセキュリティにおけるベストプラクティス」 を参照。
  

# A15 アート オブ ハッキング

〜Hacking with BackTrack〜
SANSシニアインストラクター Configuresoft CSO
デイブ シャックルフォード Dave Shackleford

1. Backtrack byhttp://www.remote-exploit.org/
   300以上のツールが揃っている。
   
   
2. 調査の手順
   
   1. 一般に公開されている情報の収集
      WHOIS, ARIN/APNIC/RIPE-NCC, DNS, ...
   2. Scanning
      IP/MAC addr., ping, TCP port scan, Malformed packet scan, バージョン情報、脆弱性
   3. Exploitation
      
   4. Pivoting
      
   5. 報告書の作成
      
   
   
3. セキュリティ関連サイト
   www.sans.org
   www.securityfocus.com
   www.secunia.com
   www.rootsecure.net
   www.darkreading.com
   www.xvasp.org ???
   

# K21 いま注目される新しいセキュリティの潮流

〜 The New Security Movements Liven Up! 〜
SANS Institute 調査研究部門ディレクター
アラン パーラー Alan Paller

1. 従来の体制の問題
   US FISMA (Federal Information Security Management Act) が
   膨大な予算を使いながら見合った成果がないことが議会で問題になった
   NIST guidance が現場での指針になっていないこと、additional documents を含めて1万ページにわたる
   
   プロジェクトの責任者さえ全文を読んでいないものである
   単なるガイドラインである
   セキュリティの現場の者が参加していない
   
   攻撃を知らない人が作成したので、重要でないことまで書かれているので本質的なことが見失われる
   
   
2. なぜアプリケーションの脆弱性がなくならないのか
   セキュリティを知っているものがセキュアなプログラムを書けるわけでない
   
   ==> プログラマの技術力のテストを作成
   
   
   
3. システムの防御は穴だらけ
   次の5年間に必要なのは、異常を発見でき、他人が容易に使える検知ツールを作成できる専門家
   Malware を検知することにより、Phising site, SPAM発信ホストを減らせる
   
   
4. システム管理者にセキュリティが専門家になることを要求する訳でない
   小さな異変に気づくようになること
   異変の調査の技術者
   
   
5. 人材発掘&育成プログラム
   
   1. 攻撃者と対決できる技術者
      セキュリティ関係者10万人のうち1000人しかいない
      今後20000-30000人必要。
      
   2. US Cyber Challenge
      コンテスト、Cyber camps, 養成コース、インターンシップ
      攻撃より防御の方が困難、技術力が必要と教育
      
   
   
6. "20 Critical Security Controls" をSANS が作成
   防御責任者の協力が得られた
   36ページの、実効性のある文書
   将来の項目追加には、実効性あることの証明が必要
   
   
7. 効果
   セキュアな設定での納品の義務付け (US air force, White House)
   パッチ当てまでの日数の大幅削減
   

• 個人メモ:
  
  文書は実践的対応の観点で作成
  技術力のある者の攻撃に対決することはできない ==> 早期検知と対処のみ
  防御には、
  • アプリケーションを最新にする
  • セキュリテイ設定の確認
  • 不要なサービスの停止
  • 不要なportの閉鎖(inbound, outbound共)
  • 検知ツールの利用

# K22 国際競争力・イノベーションを促進するための情報管理のあり方

経済産業省 経済産業政策局　知的財産政策室 室長
中原 裕彦　氏

# A21 エンドポイントセキュリティにおけるベストプラクティス

〜 Lessons Learned: Endpoint Security - What Works and What Does Not 〜
SANS Technology Institute プレジデント
スティーブン ノースカット Stephen Northcutt

1. ブラウザ利用時の脅威
   
   • ブラウザで見えるのは、コンテンツのみ。スクリプトに危険が隠されている。
     
     ==> Paros で確認できる
     
   • 複数のブラウザあるいは複数のタブを使うのは危険。知らないうちに他方のタブで意図しないものが開かれている可能性。
     
   • 前に開いていた URL やクッキーを、次に開いたサイトが取ることが可能。
     
   • ポップアップのリンクは絶対に開かないこと。
     
   
   
2. ブラウザの管理 (注: 内容についての個人的な再確認はまだです)
   
   1. 実際に行われる全アクセスの確認
      Paros proxy
      
   2. ブラウザのセキュリティ検査
      bcheck
      
   3. Black List
      someonewhocares
      
   4. Firefox 固有のこと
      plug-in は脆弱性を増やす -- 最小限の利用にとどめる
      厳格にするなら NoScript を導入する
      
   5. IE 固有のこと
      Sandboxie を使う
      
   
   
3. Web閲覧で感染する malware 対策に Anti Virus は限界
   
   1. スパイウェア対策の導入
      One Care (販売終了) と
      Spybot ( ==>設定方法)
      
   
   
4. 講演者の使っているソフト
   Vista Premium では MS One Care, Spybot, NoScript, Sandboxie
   XP では Symantec 2008, Spybot, TeaTimer, NoScript, Sandboxie, Regclean
   

# A24 "強いセキュリティ管理チーム"を組織する

〜 Building and Maintaining a Strong Security Team 〜
SANS Technology Institute プレジデント
スティーブン ノースカット Stephen Northcutt

# A25 ログ分析 カンフーテクニック

〜 Log Analysis Kung Fu - Using Log Analysis Techniques to Detect and Deter the Bad Guys 〜
SANSシニアインストラクター Configuresoft CSO
デイブ シャックルフォード Dave Shackleford

1. 断片的なメモ
   
   • 45万の Web page に malware がある。--> Key logger が仕込まれている
   • p0f -- 通信相手にパケットを送らず、送られてくるパケットだけで、相手の OS バージョンの推定するツール。
   • 管理者権限での Web surfing は危険が一杯

http://www.entryweb.jp/sans/fv09/keynote.html#k-21