SANS Future Visions 2009 Tokyo

Last update: 2009/7/28
Since 2009/7/28 by Shigeo Yashiro @kek jp

2009/7/16-17 のセミナーを聴講したときの個人的なメモです。

Inside : K11 - K12 - A13 - A15 - K21 - A21 - A25

# K11 最新サイバーアタックの危険性とその対策

  1. 最近の脅威の傾向
    1. ソーシャルエンジニアリング
      ソーシャルエンジニアリングを利用した偽装メイルの添付ファイル
        ex.) Federal Trade Commissin から「あなたの会社に苦情が来ています。xx日以内に回答してください。」
    2. 信頼できるサイトを利用
      SQL injection, エラーを利用して java script の挿入
        ==> 閲覧者の計算機に感染
    3. Supply chain attacks
      Digital picture frames や MP3 players を通じて感染

  2. 上記の攻撃を止めることは可能か
    No! ==> ではどうするか?
    今までは防御が第一、今後は早期発見と対処の重要性が増大
    分析力のある技術者が必要になる

  3. 必要とされる技術力
    Refer to slide P5-1

  4. US 政府の変化
    Refer to slide P5-4&5
    報告書作成の人員の削減、技術力のある人員の増員



# K12 PCI DSS準拠によるセキュリティ強化対策とVISA AISプログラムへの取組み




# A13 サイバー犯罪の現状とそれに対するKaspersky Labsの取り組み

  1. 最近の脅威の傾向 -- Phishingの進化
    1. ワンクリック詐欺
      - 反応しないことで6-7回のクリックをさせる -- 訴訟対策。本人の意思の証拠。
      - 恐喝請求がメイルから、デスクトップ上に請求のウインドウを表示する → 恥ずかしい内容を消去できない → 支払いに同意するとやっと消える、という方式に変化している。
        「アダルトサイトのご利用ありがとうございました。支払いの確認をお願いします。」
    2. Gumbler(通称、GENOウイルス)の出現
      内容は https://www.netsecurity.ne.jp/3_13585.html 参照。



# A15 アート オブ ハッキング

  1. Backtrack byhttp://www.remote-exploit.org/
    300以上のツールが揃っている。

  2. 調査の手順
    1. 一般に公開されている情報の収集
      WHOIS, ARIN/APNIC/RIPE-NCC, DNS, ...
    2. Scanning
      IP/MAC addr., ping, TCP port scan, Malformed packet scan, バージョン情報、脆弱性
    3. Exploitation
    4. Pivoting
    5. 報告書の作成

  3. セキュリティ関連サイト
    www.sans.org
    www.securityfocus.com
    www.secunia.com
    www.rootsecure.net
    www.darkreading.com
    www.xvasp.org ???



# K21 いま注目される新しいセキュリティの潮流

  1. 従来の体制の問題
    US FISMA (Federal Information Security Management Act) が
    膨大な予算を使いながら見合った成果がないことが議会で問題になった
    NIST guidance が現場での指針になっていないこと、additional documents を含めて1万ページにわたる
    攻撃を知らない人が作成したので、重要でないことまで書かれているので本質的なことが見失われる

  2. なぜアプリケーションの脆弱性がなくならないのか
    セキュリティを知っているものがセキュアなプログラムを書けるわけでない

  3. システムの防御は穴だらけ
    次の5年間に必要なのは、異常を発見でき、他人が容易に使える検知ツールを作成できる専門家
    Malware を検知することにより、Phising site, SPAM発信ホストを減らせる

  4. システム管理者にセキュリティが専門家になることを要求する訳でない
    小さな異変に気づくようになること
    異変の調査の技術者

  5. 人材発掘&育成プログラム
    1. 攻撃者と対決できる技術者
      セキュリティ関係者10万人のうち1000人しかいない
      今後20000-30000人必要。
    2. US Cyber Challenge
      コンテスト、Cyber camps, 養成コース、インターンシップ
      攻撃より防御の方が困難、技術力が必要と教育

  6. "20 Critical Security Controls" をSANS が作成
    防御責任者の協力が得られた
    36ページの、実効性のある文書
    将来の項目追加には、実効性あることの証明が必要

  7. 効果
    セキュアな設定での納品の義務付け (US air force, White House)
    パッチ当てまでの日数の大幅削減



# K22 国際競争力・イノベーションを促進するための情報管理のあり方




# A21 エンドポイントセキュリティにおけるベストプラクティス

  1. ブラウザ利用時の脅威

  2. ブラウザの管理 (注: 内容についての個人的な再確認はまだです)
    1. 実際に行われる全アクセスの確認
      Paros proxy
    2. ブラウザのセキュリティ検査
      bcheck
    3. Black List
      someonewhocares
    4. Firefox 固有のこと
      plug-in は脆弱性を増やす -- 最小限の利用にとどめる
      厳格にするなら NoScript を導入する
    5. IE 固有のこと
      Sandboxie を使う

  3. Web閲覧で感染する malware 対策に Anti Virus は限界
    1. スパイウェア対策の導入
      One Care (販売終了) と
      Spybot ( ==>設定方法)

  4. 講演者の使っているソフト
    Vista Premium では MS One Care, Spybot, NoScript, Sandboxie
    XP では Symantec 2008, Spybot, TeaTimer, NoScript, Sandboxie, Regclean



# A24 "強いセキュリティ管理チーム"を組織する




# A25 ログ分析 カンフーテクニック

  1. 断片的なメモ




SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々の
ITセキュリティ教育を目的として1989年に設立された組織で、情報セキュリティ教育
プログラムや各種セキュリティ情報・意見交換の場などを提供しています。



上記の話が紹介されたセッション:
SANS: http://www.sans.org/
SANS Jpan project: http://sans-japan.jp/