診断員によるASMのすすめ

385 Views

January 29, 25

#セキュリティ #脆弱性管理 #saas #sbom #サイバーセキュリティ #脆弱性診断 #攻撃表面管理 #ASM #OSINT

スライド概要

【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
での登壇資料です。

https://shiojiri-cyber.connpass.com/event/302612/

(AIによる要約アイデア)
ASM（Attack Surface Management）に関する講演では、組織が自らの情報セキュリティの脆弱性を把握し、攻撃可能な範囲を管理する必要性について説明しています。攻撃者の行動モデルや、内部および外部からの調査方法、具体的なASMツールについても言及しています。各チームの代表を巻き込んで進めることが、効果的なASMの実現につながると強調しています。

はるきち

@7847837919

スライド一覧

幸田将司 / 株式会社バラエナテック代表取締役半身をメタル化することでパワーアップした、ガルルモンの最終形態。メタル化をしても持ち前の俊敏さは失っておらず、全身に隠されている無数の武器で敵を粉砕する。フリーランス7年目 SecuriST / CEH（Certified Ethical Hacker）/ CND（Certified Network Defender）認定インストラクター, 情報安全確保支援士(未登録)

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.87MB)

関連スライド

SNMPセキュリティ超入門

セキュリティネットワーク snmp 脆弱性管理

はるきち 397

セキュリティチェックを乗り越えるためのSaaSのアプローチ

セキュリティ saas 脆弱性管理認証規格コスト削減

はるきち 165

猫でも分かるUnreal Engineの学び方 - 超初心者向け編 - 2023 v1.0

ue4 ue5 ue-beginner

エピックゲームズジャパン 1.4M

Unreal Engine5 Lumenの仕組みと肝心なところ

ue5 ue-rendering ue-lumen

エピックゲームズジャパン 1.2M

猫でも分かる UE5.0, 5.1 におけるアニメーションの新機能について【CEDEC+KYUSHU 2022】

ue5 cedec+kyushu ue-animation ue-optimize ue-bp ue-physics ue-sequencer

エピックゲームズジャパン 874.1K

各ページのテキスト

診断員による ASMのすすめ【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻 2024/02/03 幸田将司 1

Who am I? 幸田将司: セキュリティ屋さん: - 株式会社Levii - 株式会社バラエナテック代表取締役 - SecuriST(R) 認定診断士試験委員会 / ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

ASMとはなんぞや • 攻撃表面管理(Attack Surface Management) • 組織が自身の情報セキュリティ上の脆弱性や攻撃可能な範囲(攻撃表面)を管理/把握する。 • 攻撃者がシステムやネットワークに侵入できる可能性のあるすべての経路や要因を特定する • インターネットに公開されているものが対象 5 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

攻撃者の行動を考える • Cyber Kill Chain (標的型攻撃のモデル) • ターゲットに対して行う攻撃の段階的な手順を示すモデル • 外部からの情報収集で集められる情報が少ないに越したことはない情報収集武器化配送エクスプロイインストールト C&C 目的実行・OSINT ・C2サーバとの・Exploit作成・システムへの侵害や・スキャン・メール経由のマルウェア通信 • 攻撃者はより多くの情報を集めてくる • 自組織がどのように見えているのか把握することが重要 7 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

10.

攻撃可能領域の探し方(内部) • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 10 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

11.

攻撃可能領域の探し方(外部) • 外部からの調査の例として、OSINTは効果的 • OSINTツールの使用 • Recon-ng • Maltego • OSINTテクニックを使う • OSINTフレームワーク • 診断ベンダーへの依頼(OSINT診断) OSINT Frameworkの例 11 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

12.

• インターネッツから見えるものは多い • WHOIS、DNS、サーバ証明書のサブジェクト代替名...etc • 情報集積サービス • 例えばRiskIQやCencys ドメインに紐づいた、サブドメインの一覧を列挙 ←は例示用ドメインですが、 dev.{顧客名}.{自社ドメイン}の設計にしているベンダーの顧客名めちゃくちゃ見えてる Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

13.

14.

• ドメイン/IPで検索できる理由: • CensysやSHODANに代表される情報集積サービスはインターネットへネットワークスキャンを行なっている。 1. IPアドレスにポートスキャン 2. 443/tcp等にアクセス一応、HTTPの時はヘッダで教えてくれる。以下はPaloAltoの例 3. 証明書のドメインを確認 4. ドメインの名前解決を行い、存在すればサイトにインデックス Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

15.

というわけでASMしよう • 攻撃表面を把握するのは困難 • ツールを用いた管理を推奨(経済産業省)。出典: 経済産業省ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 15 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

16.

ASMツールの例 • Mandiant / 株式会社マクニカ • Detect /サイファーマ株式会社パッシブスキャンをする例(選択化) • Amass / OWASP • OSS、どのテクノロジーを使用するか設定が可能、脆弱性調査はしないアクティブスキャン例 • サイバー攻撃ネットde診断 / GMOサイバーセキュリティ byイエラエ株式会社 • Sn1per / Sn1perSecurity LLC. • OSSだが、すべての機能を使うにはライセンス購入が必要 16 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

17.

18.

ASMツールがやっていること • Sn1perの例 • ネットワーク調査系 • ping調査 • ポートスキャン (nmap) • 単純な脆弱性調査 (nmap –A) • OCINT系 • DNS情報の収集 • サブドメインテイクオーバーの確認使用感は Reconツール + ネットワークスキャナー • 脆弱性診断系 • ZAP / GVM / SSL Scan / smbdump ...etc • 関係ないIPもトラッキングする可能性はあった。 18 Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved

19.

20.

21.