岡⽥良太郎 owasp japan - saaj ·...
TRANSCRIPT
岡⽥良太郎
OWASP JAPAN代表
アスタリスク・リサーチ代表取締役CISA
CSIRT数は増加
http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
2017年、243
サイバーセキュリティは経営課題
https://www.pwc.com/jp/ja/japan-knowledge/pwcs-view/pdf/pwcs-view201607-3.pdf
本日の3つのポイント
•脅威はどこにあるのか•システムのコンポーネント•脆弱性排除のプロセス
SHIFT LEFTどこがやられているのか
1.脅威はどこにあるのか
「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
セキュリティ支出と脅威はマッチしているのか
% of Attacks
90%
データ侵害の原因
95%
5%
セキュリティ侵害の原因の95%はアプリケーション
検査した95%以上のサイトは深刻な脆弱性を抱えている
NIST
アプリケーションのセキュリティ確保に気を配っていない。
セキュリティ関連支出の大半がネットワークに費やされている。
Network
Applications% of Dollars
セキュリティ支出
10%
90%
EnablingSecurity ©AsteriskResearch,Inc. 8
■第2章Webサーバのアクセスログ観察第1節外部ファイルを不正に読み込ませる攻撃第2節パスワードファイル閲覧攻撃第3節環境変数に対する調査第4節一時ファイルに対する調査第5節スキャンツールを用いた調査第6節 SQLインジェクション攻撃第7節クロスサイトスクリプティング攻撃第8節 EPGrecに対する調査第9節 OpenFlashChartに対する調査第10節 apach0day攻撃?
■第3章Web型ハニーポットのログ観察第1節 PUTメソッドによるWebサイト改ざん攻撃第2節 Shellshock攻撃第3節 ApacheMagica攻撃第4節 JBossのアクセス制限を回避する攻撃第5節 ApacheStrutsのredirectActionに対する攻撃第6節 ApacheStrutsのClassLoaderに対する攻撃
第7節 Tomcatの設定不備の調査第8節 phpMyAdminを狙ったコマンド実行攻撃第9節 Joomla!のコマンド実行攻撃第10節 Joomla!コンテンツエディタ(JCE)に対する攻撃第11節 Drupalに対するSQLインジェクション攻撃第12節不正なファイルアップロード攻撃第13節ネットワーク設定情報ファイルに対する調査第14節WebCalendarに対する調査第15節ルータのWeb管理画面の脆弱性を狙った攻撃第16節 HTTP.sysの脆弱性を狙った攻撃第17節不正中継攻撃
■第4章多彩なハニーポットのログ観察第1節 Elasticsearchに対する攻撃第2節 NTPリフレクタ攻撃第3節MicrosoftSQLServerにおけるコマンド実行攻撃第4節 Heartbleed攻撃第5節 BINDのTKEYDoS攻撃第6節ルータに対するSSH不正ログイン攻撃
ハッキングは、アプリケーションレイヤーで起きている
脅威 リスクを
EnablingSecurity ©AsteriskResearch,Inc. 9
脅威を知るENISAThreatLandscapeReport2016(2017/1)• Malware• Web-basedattacks• Webapplicationattacks• Denialofservice• Botnets• Phishing• Ransomware• Physicalmanipulation• ExploitKits• Databreaches• Identitytheft• Informationleakage
リスクを知る:攻撃側のプロセス
攻撃面調査
脆弱性発見 脆弱性悪用データ奪取
成功
絨毯爆撃 スナイパー
+
「自社が公開しているウェブサイトをすべて把握する」66.3%
NRISecureInformationSecurityReport2015EnablingSecurity ©AsteriskResearch,Inc. 12
「必要性を認識できていない」 22.8%
NRISecureInformationSecurityReport2015EnablingSecurity ©AsteriskResearch,Inc. 13
攻撃側のサプライチェーン
対象の発⾒
エンドユーザー
攻撃ツール
エンドユーザー エンドユーザー
ハッキングサービス/ハッカー
情報ブローカー国家組織
弱者情報
EnablingSecurity ©AsteriskResearch,Inc. 14
15EnablingSecurity ©AsteriskResearch,Inc.
1425%攻撃者の攻撃ツールとランサムウェアへの投資のリターン率
98%のサイトは脆弱、95%のモバイルアプリは脆弱 39%のパスワードは8文字 (1日で解析できる) 25%の攻撃はXSS24%の攻撃はShellShockなどOSSの脆弱性攻撃
被害までのチェインは・どこからはじまっているか
無頓着な調達方針
ぜい弱性の
ある攻撃面
データの窃取
全体の崩壊被害
SHIFTLEFTSHIFTLEFTSHIFTLEFT
https://www.linkedin.com/pulse/8-how-survive-api-denial-service-attacks-anthony-lonergan
攻撃面・脆弱性・リスクにさらされるデータ
Attack Surface 脆弱性 盗られるデータ管理インターフェース 虚弱なパスワードポリシー
アカウントロックアウト機構の欠如認証情報(クレデンシャル)
ローカルデータストレージ 暗号化されていないデータ保存 個人の機微情報
ウェブ・クラウドインターフェース SQLインジェクション 個人の機微情報、アカウント関連
デバイスのファームウェア HTTPで送られているパスワードのハードコーディング暗号化キーのハードコーディング
クレデンシャルアプリケーションそのもの
ベンダーのバックエンドAPI 任意のAPIデータ抽出 個人の機微情報アカウント関連
デバイスの物理インターフェース 認証されていないルート権限でのアクセス
いろいろ
IoT AttackSurfaceAreas
2.システムのコンポーネント
「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
システムにおける自作部分の占める割合?
IoT OpenSource“HeatMap”
http://www.rtcmagazine.com/articles/view/105734
Error混入率
• “Industryavg:1ormoreerrorsper1000lines”
• “Microsoft:after10-20testing,0.5errorper1000lines”
- S.McConnellCODECOMPLETE第2版
Error混入率…
• Linesofcode
• WordPress:423,759• PHP:3,617,916• Apache:1,832,007• Linux:18,963,973
1.利用状況把握、2.自動更新テスト、3.アップデート
http://codezine.jp/article/detail/9608?p=4
OWASPDependencyCheck
1.利用状況把握、2.自動更新テスト、3.アップデート
http://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c
Vuls
3.開発における脆弱性排除のプロセス
「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
WebInterfaceに主眼のある脆弱性ガイドOWASPTop10
©2016AsteriskResearch,Inc. 28
出典:SANSInstitute (2015)
テスト(DAST)
直す 隠す無視・あきらめ
テスト(SAST)開発サイドの悩み
アプリケーションセキュリティスキルとツールの不足
予算配分管理の欠如
デリバリー再優先
セキュリティチームの悩み
全アプリケーション資産の把握ができていない
開発、セキュリティ、事業部のサイロ化によるコミュニケーションコスト増
脆弱性修正すると動かなくなることへの恐れ
出典:SANSInstitute (2015)Q.“TopChallengesforBuildersandDefenders”
?
「リリース間際のセキュリティテストは実施しています!」
しかも高額。
本当に重点を置くべきところとは
|EnablingSecurity| ©AsteriskResearch,Inc. 30
フェーズ Percent企画・要件定義フェーズ 53.4%設計フェーズ 16.5%開発中 14.6%コードのチェックイン 4.9%リリース前 8.7%Other 1.9%
出典:SANSInstitute (2015)
システムのセキュリティ問題原因の85%は構築。
©AsteriskResearch,Inc. 31
0
10
20
30
40
50
60
70
80
90
100
設計 構築 検証 運用
1 6.5 15
対応コスト 100
SHIFTLEFT
自動車の場合:「何をどのように作るか」が重要
プレス 溶接 塗装 組立 検査
開発 生産技術 生産
OWASPTop10のアンサードキュメント:OWASPProactiveControls – “事前のリスク制御”
EnablingSecurity ©2016AsteriskResearch,Inc. 33
1: 早期に、繰り返しセキュリティを検証する2: クエリーのパラメータ化3: データのエンコーディング4: すべての⼊⼒値を検証する5: アイデンティティと認証管理の実装6: 適切なアクセス制御の実装7: データの保護8: ロギングと侵⼊検知の実装9: セキュリティフレームワークやライブラリの活⽤10: エラー処理と例外処理
原因と結果の対応を見れば効果は歴然としている。正しい構築手法とプロセス→複数の脆弱性を激減させる。大半が設計・コーディングの方式。
©2016AsteriskResearch,Inc. 34
OWASP Top 10
1: イ
ンジ
ェク
ショ
ン
2: 認
証と
セッ
ショ
ン管
理の
不備
3: ク
ロス
サイ
トス
クリ
プテ
ィン
グ
4: 安
全で
ない
オブ
ジェ
クト
直接
参照
5: セ
キュ
リテ
ィ設
定の
ミス
6: 機
密デ
ータ
の露
出
7: 機
能レ
ベル
のア
クセ
ス制
御の
⽋落
8:ク
ロス
サイ
トリ
クエ
スト
フォ
ージ
ェリ
9: 既
知の
脆弱
性を
持つ
コン
ポー
ネン
トの
使⽤ 10
:未検
証の
リダ
イレ
クト
とフ
ォワ
ード
Proa
ctiv
e Co
ntro
ls
1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
2: クエリーのパラメータ化 ✔
3: データのエンコーディング ✔ ✔
4: すべての⼊⼒値を検証する ✔ ✔ ✔
5: アイデンティティと認証管理の実装 ✔
6: 適切なアクセス制御の実装 ✔ ✔
7: データの保護 ✔
8: ロギングと侵⼊検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
9: セキュリティフレームワークやライブラリの活⽤ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
OWASP Top 10 x Proactive ControlsMAPPING
DevSecOps =DevOps +Sec
ビジネス要件
カイハツ
運用
セキュリティ
ウォーターフォール
アジャイル DevOps DevSecOps
!
脅威分析誤用ケース想定の開発
デバイス誤用パターン
プラットフォーム誤用パターン
検知ログ統合
エンドポイント監査安全モニタリング脅威モニタリング
クラウド、オンプレセキュリティの導入とアップデート
モニタリングの展開
脅威と情報収集源のアップデート
OpsLoopDevLoopPlan+Learning
SHIFTLEFT
SHIFTLEFT基本のキ
https://en.wikipedia.org/wiki/Shift_left_testing
DevOps高頻度 SHIFTLEFT
https://en.wikipedia.org/wiki/Shift_left_testing
・コードレビューツール・テスト自動化・デリバリー自動化
©2015AsteriskResearch,Inc. 39
2016/11リリースNISTIR-8151DramaticallyReducingSoftwareVulnerabilitiesReporttotheWhiteHouseOfficeofScienceandTechnologyPolicy
Dramatic業界平均 1-25errorsper1000linesofcode.
これを 2.5errorsper10000linesofcodeにできるプロセスとメソドロジをリサーチ
NISTIR8151said
• Aはソフトウェアセキュリティ保証の価値:
• p=開発プロセス• s=セキュリティテスト• e=実行環境
•A=f(p,s,e)
40
2017年「いかにアプリを構築し、実装するか、新たな議論が巻き起こる」
• 11thingswethinkwillhappeninbusinesstechnologyin2017
• “Anewdebateinhowtobuildandshipapplications.”
BusinessInsider誌,Jan.2,2017
まさに A=f(p,s,e)
©2015AsteriskResearch,Inc.42
ソフトウェア開発
ガバナンス 構築 検証 デプロイ
戦略&指標
ポリシー&コンプライアンス
教育&指導
脅威の査定
セキュリティー要件
セキュアなアーキテクチャ
設計レビュー
コードレビュー
セキュリティテスト
脆弱性管理
環境の堅牢化
運用体制のセキュリティ対応
ep s
Before
©AsteriskResearch,Inc. 43s
e
p
After…
©2015AsteriskResearch,Inc.44
s
e
p
3 factors - 「ブルータスよ、お前もか」
• セキュリティ投資のアンバランス
• オープンソースソフトウェアの盲信
• 脆弱性対応のタイミングのまずさ
「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
Security iseveryone’s responsibility
コンプライアンスが目的では十分でない理由は?
w/20tagboats(compliancerequirement16)=1500/2250died
©2015AsteriskResearch,Inc. 48
RMSTitanicdepartingSouthamptononApril10,1912.(Photo:CreativeCommons)
もれてたろう ふせぎますこ小学生にも人気が出はじめました! ものすごいシフトレフト・・・
http://www.motex.co.jp/nomore/
Hackxacademy=Hackademyhttps://www.udemy.com/hack-defence-basic/
EnablingSecurity ©AsteriskResearch,Inc. 50
FacultyofBusinessBreakthrough(BBT)「教養としてのサイバーセキュリティ」
OWASPJapanChapterLeadmission:ソフトウェアセキュリティについて
意思決定をする人のために役立つ十分な情報を提供すること
OWASP NAGOYA 2017 坂梨 功典、村井 剛
OWASP NATORI 2017 佐藤 将太
OWASP FUKUSHIMA 2016 金子正人・山寺純
OWASP OKINAWA 2016 淵上真一・又吉伸穂
OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ
OWASP KYUSHU 2015 服部 祐一・花田智洋
OWASP KANSAI 2014 長谷川陽介・三木剛
OWASP JAPAN 2011 岡田良太郎・上野宣
⽇本のチャプター (地域の集まり)
OWASP World Training Tour2017.9.30
ありがとうございました。
SAAJの皆様、お集まり頂きありがとうございました。ぜひご感想をお寄せください。励みになりますので、OWASPや弊社セミナーにもぜひお越しくださり、お声がけください。
ビジネスに効くセキュリティ配備、セキュリティテストのポートフォリオ改善ができます。遠慮なくご相談ください。