both AWS のセキュリティand 自社のセキュリティ

～ JAWS-UG 京王線 第 4 回 攻めと守りのセキュリティ＆監視～

2015/12/06@typhon666_death

自己紹介

2

Typhon （テポ ) です。セキュリティエンジニアやってます。

趣味：ヘドバン出来る音楽（デスメタル、ハードコア、アニメスピードトランス）勉強 ( セキュリティ、数学、 AI 、言語 )

AWS におけるセキュリティの考え方共有責任モデル：ユーザー責任領域のセキュリティは自分たちで考えないといけない！

AWS そのもののセキュリティがしっかりしてることは調べるとわかります。http://aws.amazon.com/jp/security/

Web サーバ向け攻撃は環境がオンプレミスであろうとも同様に行われる。では、 AWS 上のセキュリティ対策をどうすればよいか？

AWS

ファシリティ物理セキュリティコンピュートインフラストレージインフラネットワークインフラ仮想化レイヤー

Customer

OS

アプリケーションセキュリティグループファイアウォールネットワーク設定アカウント管理

とある AWS の構成図

Internet

Office

Servers(Proxy/Mail/etc…)

Web App Servers

Web サーバ向けの対策

5

AWS 上のセキュリティ対策をどうすればよいか？→予備知識、診断、相談、運用、見直し、ツール導入

セキュリティアプライアンスを用いた対策方法：ウイルス対策変更監視IDSIPSWAFetc…

多層防御、コスト、利便性の観点から最適な対策を検討する必要があります。

Web サーバ向けの対策

6

フリーでやるなら ( いくつかの代表ツール ) ：Web 診断ツール： OWASP ZAPWAF ： ModSecurityIDS/IPS ： Snort変更監視： Tripwire オープンソース版

セキュリティツールのランキングが公開されているサイトhttp://sectools.org/

Web サーバ対策できた！

7

多層防御できてる！セキュリティ運用もまわせてる！

Internet

Office

Servers(Proxy/Mail/etc…)

Web App Servers

盾 盾 盾

さて…

8

Internet

Office

Servers(Proxy/Mail/etc…)

Web App Servers

盾 盾 盾

私がふと思った素朴な疑問

9

AWS 以外のセキュリティ対策ってみなさんどうしてますか？自社のインターネット接続環境のセキュリティ状況は確認してますか？仕事中にアダルトサイトみてたりしませんか？知らないうちに Malvertisement Web サイト踏んでて情報流出してませんか？標的型攻撃がきたら、どうしてますか？ばらまき型攻撃がきたら、どうしてますか？

AWS もいいけど、自社のインターネット接続環境 /OA 環境のセキュリティ対策を今一度見直ししてみてはいかがでしょうか？

最近発生したばらまき型の話

10

2015/11/23 の話

参考 URL ：http://myonlinesecurity.co.uk/employee-documents-internal-use-pretending-to-come-from-hr-at-your-own-email-domain-excel-xls-spreadsheet-malware/

簡単なことから対策を検討しよう

11

今回の添付ファイルはhogehogexls

実行ファイルはfugafuga.exe

拡張子が見えてるだけでも開くか開かないか確率は変わってきますよね。

xls や doc のマクロを実行されないためには、マクロの無効化で起動する設定にしておく

「 Windows で感染させる＝マルウェアは Windows コマンドを実行する」ということ

Windows コマンドを制限させておく

参考：攻撃者が悪用する Windows コマンド (2015-12-02)http://www.jpcert.or.jp/magazine/acreport-wincommand.html

簡単なことから対策を検討しよう

12

無論、最新パッチの適用もOSFlashJavaブラウザその他利用アプリなど

MyJVN バージョンチェッカ利用者の PC にインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツールhttp://jvndb.jvn.jp/apis/myjvn/vccheck.html

簡単なことから対策を検討しよう

13

参考：http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

昨日こんなことありました

14

参考：「 .vvv 」ウイルスの被害と対策。強制暗号＝ランサムウェアが、サイト表示＝広告だけで感染してしまうhttp://bylines.news.yahoo.co.jp/mikamiyoh/20151206-00052167/

有償対策の例 (not DevOps but Dev(ice)Ops)

15

URL フィルタリング対策Digital Arts 社の i-Filter

クライアント端末対策FFRI 社の Yarai/Mr.F(振る舞い検知 )

入口 / 出口対策PaloAltoNetworks 社 WildfireFireEye 社 NX 、 EX 、 HXシリーズ

標的型攻撃対策訓練→訓練でメールを開いたから減俸とかは目的が変わってる。→開いてしまったときにどうするか？の訓練

終