SRLabs Template v12

セキュリティはどれくらいが適量か？

Dr. Karsten Nohl <nohl@srlabs.de>

この講演で得られること

2

1. セキュリティ研究者と実践者からどの防御が効果的で不必要なものは何かを学べる

2. セキュリティとイノベーションの間で発生するトレードオフのより深い理解

3. 効果的なセキュリティ対策 ( 完璧にはならないが ) の展開方法のアイディア

3

vs.

セキュリティのプロは自分のことをどのように見ているのか

4

製品のセキュリティ 情報セキュリティ

顧客へのハッキングリスクを取り除く

あなたのシステムをハッキングから守る

セキュリティはどれくらいが適量か？ について 2 種類の範囲での質問をします。

A B

アジェンダ

5

1 セキュリティ研究者 * は極端な立場を取る

2 多くの企業は 極端な立場のみに反応する

3 セキュリティコミュニティはリスクではなく脆弱性と戦っている

情報セキュリティ

製品のセキュリティ

* メディアで報道されているとおり

A

B

iOS セキュリティにとってはひどい年でしょ？

6

ペガサスマルウェア

FBIのハードウェアハッキング

世界の 86% 以上の iPhone がテキストだけでハッキングされ得る

FBI は iPhone をクラックするのに 130 万ドルを使った－このハッカーはたった100 ドルだ

あなたの iPhone がハッキングされることはそうない

7

- 10 億の iOS デバイス が脆弱な可能性

+ たったひとつだけ (!) 感染が確認された

+ Apple は 10 日でパッチを提供した

- 現在ハッキングは公的には低価格で利用可能である

+ ハードウェアアクセスのみで可能

+ 最も古い 22% の iPhones に対してのみ有効 (5c 以前 , 2016 年 3 月 )

Source for graph: http://info.localytics.com/blog/how-will-apples-newest-iphone-impact-mobile-engagement

ペガサスマルウェア

FBIのハードウェアハッキング

アジェンダ

8

1 セキュリティ研究者は極端な立場を取る

2 多くの企業は 極端な立場のみに反応する

3 セキュリティコミュニティはリスクではなく脆弱性と戦っている

製品のセキュリティA

9

すべての Android デバイス (%)

18

3527

20

Android 6 5 4.4 4.3 ( および、その他 )

vs.

ハッキングされたデバイス (%)

1 7

50

42~2%ハッキングされた

ハッキングされていない

いくつかの Android がハッキングされている ; それは時代遅れ

Source: developer.android.com/about/dashboards/index.html , https://blog.checkpoint.com/wp-content/uploads/2016/07/HummingBad-Research-report_FINAL-62916.pdf,

10

iOS の感染率 Android の感染率 Windows の感染率

<0.1%~2%

(<0.2% アップデートされているデバ

イス )20-40%

モバイルは本当にセキュリティの一番の関心事になるだろうか

11

実例

vs.

典型的な企業のセキュリティ優先度1. iOS のセキュリティソフト

を購入する

2. Android デバイスを禁止する

…

10. Windows セキュリティに関して創造的ではない何かをする。 例えば、アンチウイルスソフトをアップグレードするなど

実際のエンドポイントのインシデント1. Windows

2. Windows

3. ソーシャルエンジニアリング

4. Windows

…

100. Android

企業のセキュリティの優先度は実際のインシデント順になっていない

アジェンダ

12

1 セキュリティ研究者は極端な立場を取る

2 多くの企業は 極端な立場のみに反応する

3 セキュリティコミュニティはリスクではなく脆弱性と戦っている

製品のセキュリティA

13

標的型のマルウェア

BadUSB

脆弱性 攻撃者の動機 被害 リスク

マルウェアの問題を解決する前に、インターネットに接続されているコンピュータをBadUSBから守ることに関して悩まないでください

USB ファームウェアから PCを感染させる

ローカル攻撃の伝播

( システムによる )

メールの添付ファイルや悪意のある WebサイトによりWindows を感染させる

リモート感染 ( システムによる )

低 中 高

最も対策の必要がありそうな脅威に時間を割くのが一番良い

次の大きなハッキング分野 :車？

14

ハッカーは高速道路で遠隔操作によりシープを止めることができる － 私が乗っている状態で

ジープをハックした者たちが再び現れ、自動車ハッキングがさらに悪い結果をもたらすことを証明した

セキュリティの警告は安全性を遅らせ、最終的には人を殺すかもしれない

15

19701973

19761979

19821985

19881991

19941997

20002003

20062009

20122015

20182021

20240

1

2

3

4

5

1 億マイル毎の自動車事故による死者数 [ 米国 ]

エアバッグ

アダプティブクルーズコントロール

ABS

ESC(横滑り防止装置 )

車の構成要素すべてのハッキングリスクをテストしていたら、導入を遅らせてしまう

セキュリティデザインやテストによる 3ヶ月はより多くの人を路上で殺すことを意味する

200,000 以上の人が今後 10 年間で亡くなる

自動運転 ?

Source: https://en.m.wikipedia.org/wiki/List_of_motor_vehicle_deaths_in_U.S._by_year

アジェンダ

16

1みんながセキュリティルールを破る ( でも基本話題にしない )

2 人気のないセキュリティ制御は効果が少ない さらに悪いことにイノベーションを妨げる

3セキュリティ、もしくは仕事のためのイノベーションは ユーザーに親切な解決策が必要

4脅威のモニタリングはユーザーに親切モチベーションや生産性、イノベーションそして、セキュリティを向上させる

製品のセキュリティ

情報セキュリティB

A

行動を制限しようとする防御は容易に迂回されてしまう

17

通常の迂回

Skype はトラフィックを Web プロキシを通じてトンネリングし、一定時間ごとにサーバのアドレスを変える

通常の “防御” 実践

それ以外の全てをブロック

法人ユーザー

インターネット

✗プロキシサーバを通じてWebブラウジングの通信を通す

大きなハッキングは『仕事をしなければいけない』人からの防御の迂回によるものが多い

18

ハッキングの事例

ターゲットは 3 億の顧客のクレジットカードデータを失った

根本的な原因

メンテナンスの目的で、ターゲットのネットワークにトンネリングするリモートアクセスツールを、業者がインストールした

ターゲットの CEOは巨大なデータ漏洩を受けて辞任する

アジェンダ

19

1 みんながセキュリティルールを破る

2人気のないセキュリティ制御は効果が少ない 更に悪いことにイノベーションを妨げる

3セキュリティもしくは仕事のためのイノベーションは ユーザーに親切な解決策が必要

4脅威のモニタリングはユーザーに親切モチベーションや生産性、イノベーションそして、セキュリティを向上させる

情報セキュリティB

20

ケーススタディ – 典型的な エンタープライズ /SOA バスは古典的なネットワークセキュリティ技術を回避する

21

アプリレベルのハッキングを防止しない低いレイヤレベルの防御は図示されていません : ファイアウォール、 IPS 、プロキシ、 SSL ゲートウェイ

サービスバス

認証サーバ

重要な

データベース

ユーザーリクエストはバスの重要なサービスまで行くことが多い

外部と内部のユーザー

Web アプリケーショ

ンファイアウォー

ル(管理がされて

いない )

アプリケーションサーバ

App

App

多くの場合、行動を制限しようとする防御の迂回は全体的にプラスである

22

vs.行動を制限するようなセキュリティは何十億も失うことになる “10 億を生むアイディ

ア”は革新的な技術で遊んでいる創造的な人から育つ。それはセキュリティが目指すところとは正反対

Microsoft は自社のポリシーが許可しないであろう技術のスカイプを買収するのに 90 億米国ドルを支払った

ドイツの“ Datenschutz( データ・プライバシー )” 対シリコンバレーの利益

トレードオフ機能 被害への弾性ができるまで投資をする = 漸進的な防御の努力を増やす

セキュリティは何百万ドルもの損失を救う

領域 インシデントの例 コスト

一年あたりの有効なコスト額

発生率

破壊的な ダメージ

Scada のハッキングは工場に被害をもたらす

10m

収入低下 大きな政府の契約は終わらない 50m

イメージ への衝撃

ハッキングのインパクトを相殺するために大きな販売キャンペーンが必要

小さなハッキングのインパクトを相殺するため小さい販売キャンペーンが必要

15m

1.5m

競争力へのダメージ

知的財産の盗難 (特許 , 設計書 ) 詳細な交渉の盗難 (M&A, 長期契約 )

5m

2m

2%

1%

1%

10%

10%

10%

<2m

トレードオフ機能イノベーションが実を結ぶことができるレベルまで守る

少なすぎや多すぎる防御はイノベーションを妨げる

23

被害防御への努力

イノベーションの可能性

インシデントは恐怖 ( 不安 ) を広める

制限はイノベーションの勢いを殺す(Geißelung(むちうち ), Panik( パニック ))

アジェンダ

24

1 みんながセキュリティルールを破る

2 人気のないセキュリティ制御は効果が少ない 更に悪いことにイノベーションを妨げる

3セキュリティもしくは仕事のためのイノベーションは ユーザーに親切な解決策が必要

4脅威のモニタリングはユーザーに親切モチベーションや生産性、イノベーションそして、セキュリティを向上させる

情報セキュリティB

多くの場合代替となる制限の少ない防御は存在する

25

多くの複雑なパスワード

Web プロキシのブロックリスト

ユーザーへ管理者権限を与えない

法人携帯 (Blackberrys)

終わらないペネトレーションテスト

セキュリティポリシー

DLP

行動を制限する防御

スマートフォンでのシングルサインオン

SSL ターミネーション と モニタリング

プロセスモニタリング

ActiveSync を使った BYOD と VPN( もしくは可能であれば Android は使わない )

バグ報奨金プログラム

啓発活動

検知もしくは単純に より多くの信頼を得る

イノベーションに親切な代替

制限の代替が存在しない場合、 綿密なリスクの監視によってリスクが顕在化するまでは制限を切ることが可能

アジェンダ

26

1 みんながセキュリティルールを破る

2 人気のないセキュリティ制御は効果が少ない 更に悪いことにイノベーションを妨げる

3セキュリティもしくは仕事のためのイノベーションは ユーザーに親切な解決策が必要

4脅威のモニタリングはユーザーに親切モチベーションや生産性、イノベーションそして、セキュリティを向上させる

情報セキュリティB

森 か 木か？ ( セキュリティモニタリングは難しい！ )

27

SOC の立ち上げはトップダウンでのみ早い結果を提供します

ボトムアップ –データから始まる トップダウン – 脅威から始まる

18 ヶ月 ユースケースによるが、日の単位

フォレンジックのようにインシデントを調査 一番関連のある脅威から

必要に応じたユースケースを作成

現在のユースケースに必要なデータのみを収集

より進んだユースケースを追加

アラームを生成 データに慣れ親しむ より多くのソースを統合

できるだけのデータを収集 シンプルなユースケースを作成

28

vs

まとめ

29

2

3

4

Questions?Karsten Nohl <nohl@srlabs.de>

最大のリスク - コストのトレードオフは制限と イノベーションの可能性の間にある多くの場合、制限的な選択に代わってイノベーションに親切な代替が存在するリスクは監視し、管理しなければならない : “全てから守る” はイノベーションを殺す , それによって 守る対象そのものを殺してしまう

1 私たちはハッカーの動機を忘れ、リスクではなく、脆弱性を追っている