SAAJ public.pptx

Size: px

Start display at page:

Download "SAAJ public.pptx"

ときなもてぎ
5 years ago
Views:

1 岡良太郎 OWASP JAPAN 代表アスタリスクリサーチ代表取締役 CISA

2 CSIRT 数は増加 2017 年 243

3 サイバーセキュリティは経営課題

4 本日の 3 つのポイント脅威はどこにあるのかシステムのコンポーネント脆弱性排除のプロセス

5 SHIFT LEFT

6 1. 脅威はどこにあるのかカエサルの死 ( ヴィンチェンツォカムッチーニ )

7 セキュリティ支出と脅威はマッチしているのかデータ侵害の原因セキュリティ支出セキュリティ侵害の原因の 95% はアプリケーション % of Attacks 95% Applications % of Dollars 10% アプリケーションのセキュリティ確保に気を配っていない検査した 95% 以上のサイトは深刻な脆弱性を抱えている 5% NIST Network 90% 90% セキュリティ関連支出の大半がネットワークに費やされている

第 2 章 Web サーバのアクセスログ観察第 1 節外部ファイルを不正に読み込ませる攻撃第 2 節パスワードファイル閲覧攻撃第 3 節環境変数に対する調査第 4 節一時ファイルに対する調査第 5 節スキャンツールを用いた調査第 6 節 SQL インジェクション攻撃第 7 節クロスサイトスクリプティング攻撃第 8 節 EPGrec に対する調査第 9 節 OpenFlashChart

8 第 2 章 Web サーバのアクセスログ観察第 1 節外部ファイルを不正に読み込ませる攻撃第 2 節パスワードファイル閲覧攻撃第 3 節環境変数に対する調査第 4 節一時ファイルに対する調査第 5 節スキャンツールを用いた調査第 6 節 SQL インジェクション攻撃第 7 節クロスサイトスクリプティング攻撃第 8 節 EPGrec に対する調査第 9 節 OpenFlashChart に対する調査第 10 節 apach0day 攻撃? 第 7 節 Tomcat の設定不備の調査第 8 節 phpmyadmin を狙ったコマンド実行攻撃第 9 節 Joomla! のコマンド実行攻撃第 10 節 Joomla! コンテンツエディタ (JCE) に対する攻撃第 11 節 Drupal に対する SQL インジェクション攻撃第 12 節不正なファイルアップロード攻撃第 13 節ネットワーク設定情報ファイルに対する調査第 14 節 WebCalendar に対する調査第 15 節ルータの Web 管理画面の脆弱性を狙った攻撃第 16 節 HTTP.sys の脆弱性を狙った攻撃第 17 節不正中継攻撃第 3 章 Web 型ハニーポットのログ観察第 1 節 PUT メソッドによる Web サイト改ざん攻撃第 2 節 Shellshock 攻撃第 3 節 Apache Magica 攻撃第 4 節 JBoss のアクセス制限を回避する攻撃第 5 節 Apache Struts の redirectaction に対する攻撃第 6 節 Apache Struts の ClassLoader に対する攻撃第 4 章多彩なハニーポットのログ観察第 1 節 Elasticsearch に対する攻撃第 2 節 NTP リフレクタ攻撃第 3 節 Microsoft SQL Server におけるコマンド実行攻撃第 4 節 Heartbleed 攻撃第 5 節 BIND の TKEY DoS 攻撃第 6 節ルータに対する SSH 不正ログイン攻撃ハッキングはアプリケーションレイヤーで起きている Enabling Security Asterisk Research, Inc. 8

9 脅威リスクを Enabling Security Asterisk Research, Inc. 9

10 脅威を知る ENISA Threat Landscape Report 2016 (2017/1) Malware Web-based attacks Web application attacks Denial of service Botnets Phishing Ransomware Physical manipulation Exploit Kits Data breaches Identity theft Information leakage

11 リスクを知る : 攻撃側のプロセス攻撃面調査脆弱性発見脆弱性悪用データ奪取成功 + 絨毯爆撃スナイパー

12 自社が公開しているウェブサイトをすべて把握する 66.3% NRI Secure Information Security Report 2015 Enabling Security Asterisk Research, Inc. 12

13 必要性を認識できていない 22.8% NRI Secure Information Security Report 2015 Enabling Security Asterisk Research, Inc. 13

14 攻撃側のサプライチェーン対象の発弱者情報攻撃ツールハッキングサービス / ハッカーエンドユーザーエンドユーザーエンドユーザー情報ブローカー国家組織 Enabling Security Asterisk Research, Inc. 14

15 1425% 攻撃者の攻撃ツールとランサムウェアへの投資のリターン率 98% のサイトは脆弱 95% のモバイルアプリは脆弱 39% のパスワードは 8 文字 (1 日で解析できる ) 25% の攻撃は XSS 24% の攻撃は ShellShock など OSS の脆弱性攻撃 Enabling Security Asterisk Research, Inc. 15

16 被害までのチェインはどこからはじまっているか無頓着な調達方針ぜい弱性のある攻撃面データの窃取全体の崩壊被害 SHIFT LEFT SHIFT LEFT SHIFT LEFT

18 攻撃面脆弱性リスクにさらされるデータ Attack Surface 脆弱性盗られるデータ管理インターフェース虚弱なパスワードポリシーアカウントロックアウト機構の欠如認証情報 ( クレデンシャル ) ローカルデータストレージ暗号化されていないデータ保存個人の機微情報ウェブクラウドインターフェース SQL インジェクション個人の機微情報アカウント関連デバイスのファームウェア HTTP で送られているパスワードのハードコーディング暗号化キーのハードコーディングクレデンシャルアプリケーションそのものベンダーのバックエンドAPI 任意のAPIデータ抽出個人の機微情報アカウント関連デバイスの物理インターフェース認証されていないルート権限でのアクセスいろいろ

19 IoT Attack Surface Areas

20 2. システムのコンポーネントカエサルの死 ( ヴィンチェンツォカムッチーニ )

21 システムにおける自作部分の占める割合?

22 IoT Open Source Heat Map

23 Error 混入率 Industry avg: 1 or more errors per 1000 lines Microsoft: after testing, 0.5 error per 1000 lines - S. McConnell CODE COMPLETE 第 2 版

24 Error 混入率 Lines of code WordPress: 423,759 PHP: 3,617,916 Apache: 1,832,007 Linux: 18,963,973

25 1. 利用状況把握 2. 自動更新テスト 3. アップデート OWASP Dependency Check

26 1. 利用状況把握 2. 自動更新テスト 3. アップデート Vuls

27 3. 開発における脆弱性排除のプロセスカエサルの死 ( ヴィンチェンツォカムッチーニ )

28 Web Interface に主眼のある脆弱性ガイド OWASP Top 10 出典 :SANS Institute (2015) 2016 Asterisk Research, Inc. 28

デリバリー再優先全アプリケーション資産の把握ができていない開発セキュリティ事業部のサイロ化によるコミュニケーションコスト増

29 リリース間際のセキュリティテストは実施しています! 開発サイドの悩み? テスト (SAST) テスト (DAST) セキュリティチームの悩みアプリケーションセキュリティスキルとツールの不足予算配分管理の欠如デリバリー再優先全アプリケーション資産の把握ができていない開発セキュリティ事業部のサイロ化によるコミュニケーションコスト増脆弱性修正すると動かなくなることへの恐れ直す無視あきらめ隠すしかも高額出典 :SANS Institute (2015) Q. Top Challenges for Builders and Defenders

30 本当に重点を置くべきところとはフェーズ Percent 企画要件定義フェーズ 53.4% 設計フェーズ 16.5% 開発中 14.6% コードのチェックイン 4.9% リリース前 8.7% Other 1.9% Enabling Security Asterisk Research, Inc. 30 出典 :SANS Institute (2015)

31 システムのセキュリティ問題原因の 85% は構築対応コスト SHIFT LEFT 15 0 設計構築検証運用 Asterisk Research, Inc. 31

32 自動車の場合 : 何をどのように作るかが重要開発生産技術生産プレス溶接塗装組立検査

アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵検知の実装 9:

33 OWASP Top 10 のアンサードキュメント : OWASP Proactive Controls 事前のリスク制御 1: 早期に繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵検知の実装 9: セキュリティフレームワークやライブラリの活 10: エラー処理と例外処理 Enabling Security 2016 Asterisk Research, Inc. 33

34 原因と結果の対応を見れば効果は歴然としている正しい構築手法とプロセス複数の脆弱性を激減させる大半が設計コーディングの方式 OWASP Top 10 x Proactive Controls MAPPING 1: インジェクション 2: 認証とセッション管理の不備 3: クロスサイトスクリプティング 4: 安全でないオブジェクト直接参照 OWASP Top 10 5: セキュリティ設定のミス 6: 機密データの露出 7: 機能レベルのアクセス制御の落 8: クロスサイトリクエストフォージェリ 9: 既知の脆弱性を持つコンポーネントの使 10: 未検証のリダイレクトとフォワード 1: 早期に繰り返しセキュリティを検証する Proactive Controls 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵検知の実装 9: セキュリティフレームワークやライブラリの活 10: エラー処理と例外処理 2016 Asterisk Research, Inc. 34

35 DevSecOps = DevOps + Sec ビジネス要件カイハツ運用セキュリティウォーターフォール! アジャイル DevOps DevSecOps

36 Dev Loop Plan + Learning デバイス誤用パターン Ops Loop 脅威分析誤用ケース想定の開発プラットフォーム誤用パターン検知ログ統合エンドポイント監査安全モニタリング脅威モニタリング脅威と情報収集源のアップデートモニタリングの展開クラウドオンプレセキュリティの導入とアップデート SHIFT LEFT

37 SHIFT LEFT 基本のキ

38 DevOps 高頻度 SHIFT LEFT コードレビューツールテスト自動化デリバリー自動化

39 2016/11 リリース NISTIR-8151 Dramatically Reducing Software Vulnerabilities Report to the White House Office of Science and Technology Policy Dramatic 業界平均 1-25 errors per 1000 lines of code. これを 2.5 errors per lines of code にできるプロセスとメソドロジをリサーチ 2015 Asterisk Research, Inc. 39

40 NISTIR 8151 said A = f(p, s, e) A はソフトウェアセキュリティ保証の価値 : p = 開発プロセス s = セキュリティテスト e = 実行環境 40

41 2017 年いかにアプリを構築し実装するか新たな議論が巻き起こる 11 things we think will happen in business technology in 2017 A new debate in how to build and ship applications. Business Insider 誌, Jan. 2, 2017

42 まさに A = f(p, s, e) ソフトウェア開発ガバナンス構築検証デプロイ戦略 & 指標脅威の査定設計レビュー脆弱性管理ポリシー & コンプライアンスセキュリティー要件コードレビュー環境の堅牢化教育 & 指導セキュアなアーキテクチャセキュリティテスト運用体制のセキュリティ対応 p s e Asterisk Research, Inc.

43 Before e p s Asterisk Research, Inc. 43

44 After e s 2015 Asterisk Research, Inc. p 44

45 3 factors - ブルータスよお前もかセキュリティ投資のアンバランスオープンソースソフトウェアの盲信脆弱性対応のタイミングのまずさカエサルの死 ( ヴィンチェンツォカムッチーニ )

46 Security is everyone s responsibility

47 コンプライアンスが目的では十分でない理由は?

48 w/20 tag boats (compliance requirement 16) = 1500 / 2250 died RMS Titanic departing Southampton on April 10, (Photo: Creative Commons) 2015 Asterisk Research, Inc. 48

49 もれてたろうふせぎますこ小学生にも人気が出はじめました! ものすごいシフトレフト

50 Hack x academy = Hackademy Enabling Security Asterisk Research, Inc. 50

51 Faculty of Business Breakthrough (BBT) 教養としてのサイバーセキュリティ

52 OWASP Japan Chapter Lead mission: ソフトウェアセキュリティについて意思決定をする人のために役立つ十分な情報を提供すること

53 本のチャプター ( 地域の集まり ) OWASP NAGOYA 2017 OWASP NATORI 2017 OWASP FUKUSHIMA 2016 OWASP OKINAWA 2016 OWASP SENDAI 2015 OWASP KYUSHU 2015 OWASP KANSAI 2014 OWASP JAPAN 2011 坂梨功典村井剛佐藤将太金子正人山寺純淵上真一又吉伸穂小笠貴晴佐藤ようすけ服部祐一花田智洋長谷川陽介三木剛岡田良太郎上野宣

54 OWASP World Training Tour

55 ありがとうございました SAAJ の皆様お集まり頂きありがとうございましたぜひご感想をお寄せください励みになりますので OWASP や弊社セミナーにもぜひお越しくださりお声がけくださいビジネスに効くセキュリティ配備セキュリティテストのポートフォリオ改善ができます遠慮なくご相談ください

Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA CYDER (IPA) JICA, 2015

Application Security Briefing & Discussion 2016 Asterisk Research, Inc Riotaro OKADA Enabling Security 2016 Asterisk Research, Inc. Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA https://jp.linkedin.com/