RSAカンファレンス 2018のお薦めスライド
RSAカンファレンス2018のスライドが公開されていたので、ざっと一通りみました。 おもに私が面白い・役に立ったなと思うもののまとめをします。
オペレーション
Incident Response In the Cloud
クラウド上でSANS GCIHをするには、というテーマの発表です。Preparation, Detection, Containment, Recoveryのフェーズでの対応をクラウド向けに再構築しているもので、とても勉強になりました。
- Preparation
- Detection
- Containment
- Tag付けして調査
- 隔離VPCにいれtり、隔離SGを適用
- EC2のEBSをスナップショットする(フォレンジックEC2にアタッチする)
- メモリはMargarita Shotgunなどで取得
- SANSのInvestigative Forensic Toolkit(SIFT)の構築. EBSスナップショットをアタッチ。
- ThreatResponse Suiteを使うのも良い(AWS_IR, Incident pony, Margarita Shotgun)
- Digital Forensic Analysis of Amazon Linux EC2 Instances
- Erradication
- Terraform destroy && Terraform apply
他にも、github.com/tradichel/AWSSecurityAutomationFrameworkなどが良さそう。
From SIEM to SOC: Crossing the Cybersecurity Chasm
昔はエンドポイントはAVなどで防御だけやっておけばよかったけど、最近は防御も検知も一次対応もやらないとね、と主張したスライドはよかったです。まあ、これは従来のネットワーク上の検知を否定するものではなく、より詳細な対策をするにはエンドポイントもみていこう、という話なのでとてもまっとうな話だと思います。Carbon BlackというEDRベンダーのプレゼンなのですが、「AntiVirustは死んだ」のような脳死に営業文句がなかったのは相当ぷらすでした。
Identity
Risk-based approach to deployment of omnichannel biometrics in Sberbank
Biometricksの話です。Biometricsによる認証メソッドはすでに、ハイプ・サイクルにおける実用段階まで到達していて
ただ、欧州では可用性が低いことと偽造可能なことからBiometricsは信用されておらず、Something You Haveのカード等のSomething You Haveを採用しています。まあね〜。
そういったBiometricsにおける課題から、Riskベースの認証について、そのワークフロー、リスクスコアの計算モデル、ユースケースの取組が紹介されています。
余談ですがJuniper, TOP10 Disruptive technologies in fintechがよい読み物でした。
Adventures in OpenBaking: Understanding OAuth and OpenID Connect Client Ecosystems
Open Bank in イギリスにおける現状と課題の概要を掴むのによいです。 半分ほどのスライドがOAuth 2.0 Dynamic Client Registration(RFC 7591 )に費やされていました。Dynamic Client Registrationは、認可サーバーに対してクライアントが直接メタデータを登録することで、クライアントクレデンシャルを受け取る仕様です。 https://www.rsaconference.com/writable/presentations/file_upload/idy-r04_adventures_in_open_banking-_understanding_oauth-openid_client_ecosystems.pdf
Google And Microsoft Debut: Replacing Passwords w/ FIDO2 Authentication
FIDO2の紹介ですね。まあ、そこまで新しいことはなかったかな...が、おぬぬめです。
https://www.rsaconference.com/writable/presentations/file_upload/idy-f02_mcdowellfinal.pdf
Detection of Authentication Events involving stolen enterprise credentials
不正な認証イベントを検知するための、機械学習モデル及びインフラの考え方についての実用的なお話になるかと思います。特長としては、認証イベントの発生時間、同時間帯の端末上のイベント、通信イベント(ポート毎のパケット・バイト・接続数、DNSイベント)、同時間帯の認証側サーバーのイベントになります。これをランダムフォレスト、ロジスティック回帰、Naiive Bayes, マルチレイヤーパーセプトロン、SMOを使って学習させた模様。
特にイベントデータのストリームから、同データを抽出し、アップデートをかけていくかは参考になりました。
でも、stolen enteprise credentialsはちょっと関係なかったかな...?
OAuth2.0 Threat Landscape
RFC6819の内容ですね。下記の攻撃(脅威)および対策についてまとめたものです。
- CSRF攻撃
- Token/Code漏えい
- Token使い回し
Can blockchain enable identity management?
Portableな個人の属性を個人が選択して使い、その属性情報と信頼スコアをBlockchainに残すSelf Sovereign Identityなしくみです。最近だとMicrosoftが活発に取り組んでいる気がします。
Identity In Ten Hundred words
Identity周りにおける用語解説集です。これだけでプレゼンがなりたったかよくわかりませんが、辞書的に使うのにはよいです。
その他
Transfer Learning: Repurposing ML Alogorithms from different domains to cloud defenese.
Microsoftにおけるクアウドを防御するための機械学習に関する発表です。正直難しかったのでまとめられてませんが、悪意あるPowershellを検知する手法など興味深いかったです。