RSAカンファレンス2018のスライドが公開されていたので、ざっと一通りみました。おもに私が面白い・役に立ったなと思うもののまとめをします。

オペレーション

Incident Response In the Cloud

クラウド上でSANS GCIHをするには、というテーマの発表です。Preparation, Detection, Containment, Recoveryのフェーズでの対応をクラウド向けに再構築しているもので、とても勉強になりました。

Preparation
- レスポンスチーム用のIAM
- ログ・エビデンス用のS3バケットの準備
- 全アカウントでのロギングやCloudWatch
- SGでレスポンスチームしか使えないインバウンドな通信。アウトバウンドは必要なときのみ開ける。
Detection
- SIEM, CASB
- CloudTral(API呼び出し元、時間、呼び出し元IPアドレス、レクエストパラメタとレスポンス）
- Security Monkey
- 見たいログ（ユーザーの疑わしい行動、switch role時の行動、新しいリソース、不審な行動の時間帯、失敗したアクセス、Get/Describe/Listは可能であれば飛ばす）
Containment
- Tag付けして調査
- 隔離VPCにいれｔり、隔離SGを適用
- EC2のEBSをスナップショットする（フォレンジックEC2にアタッチする）
- メモリはMargarita Shotgunなどで取得
- SANSのInvestigative Forensic Toolkit(SIFT)の構築. EBSスナップショットをアタッチ。
- ThreatResponse Suiteを使うのも良い（AWS_IR, Incident pony, Margarita Shotgun）
- Digital Forensic Analysis of Amazon Linux EC2 Instances
Erradication
- Terraform destroy && Terraform apply

他にも、github.com/tradichel/AWSSecurityAutomationFrameworkなどが良さそう。

https://www.rsaconference.com/writable/presentations/file_upload/air-w14-incident-response-in-the-cloud.pdf

From SIEM to SOC: Crossing the Cybersecurity Chasm

昔はエンドポイントはAVなどで防御だけやっておけばよかったけど、最近は防御も検知も一次対応もやらないとね、と主張したスライドはよかったです。まあ、これは従来のネットワーク上の検知を否定するものではなく、より詳細な対策をするにはエンドポイントもみていこう、という話なのでとてもまっとうな話だと思います。Carbon BlackというEDRベンダーのプレゼンなのですが、「AntiVirustは死んだ」のような脳死に営業文句がなかったのは相当ぷらすでした。

https://www.rsaconference.com/writable/presentations/file_upload/spo3-r04-endpoint_security_and_the_cloud-how_to_apply_predictive_analytics_and_big_data.pdf

Identity

Risk-based approach to deployment of omnichannel biometrics in Sberbank

Biometricksの話です。Biometricsによる認証メソッドはすでに、ハイプ・サイクルにおける実用段階まで到達していて

ただ、欧州では可用性が低いことと偽造可能なことからBiometricsは信用されておらず、Something You Haveのカード等のSomething You Haveを採用しています。まあね〜。

そういったBiometricsにおける課題から、Riskベースの認証について、そのワークフロー、リスクスコアの計算モデル、ユースケースの取組が紹介されています。

余談ですがJuniper, TOP10 Disruptive technologies in fintechがよい読み物でした。

https://www.rsaconference.com/writable/presentations/file_upload/idy-w02_risk-based_approach_to_deployment_of_omnichannel_biometrics_in_sberbank.pdf

Adventures in OpenBaking: Understanding OAuth and OpenID Connect Client Ecosystems

Open Bank in イギリスにおける現状と課題の概要を掴むのによいです。半分ほどのスライドがOAuth 2.0 Dynamic　Client Registration（RFC 7591 ）に費やされていました。Dynamic Client Registrationは、認可サーバーに対してクライアントが直接メタデータを登録することで、クライアントクレデンシャルを受け取る仕様です。 https://www.rsaconference.com/writable/presentations/file_upload/idy-r04_adventures_in_open_banking-_understanding_oauth-openid_client_ecosystems.pdf

Google And Microsoft Debut: Replacing Passwords w/ FIDO2 Authentication

FIDO2の紹介ですね。まあ、そこまで新しいことはなかったかな...が、おぬぬめです。

https://www.rsaconference.com/writable/presentations/file_upload/idy-f02_mcdowellfinal.pdf

Detection of Authentication Events involving stolen enterprise credentials

不正な認証イベントを検知するための、機械学習モデル及びインフラの考え方についての実用的なお話になるかと思います。特長としては、認証イベントの発生時間、同時間帯の端末上のイベント、通信イベント（ポート毎のパケット・バイト・接続数、DNSイベント）、同時間帯の認証側サーバーのイベントになります。これをランダムフォレスト、ロジスティック回帰、Naiive Bayes, マルチレイヤーパーセプトロン、SMOを使って学習させた模様。

特にイベントデータのストリームから、同データを抽出し、アップデートをかけていくかは参考になりました。

でも、stolen enteprise credentialsはちょっと関係なかったかな...?

https://www.rsaconference.com/writable/presentations/file_upload/idy-f03_detection-of-authentication-events-involving-stolen-enterprise-credentials.pdf