岡⽥良太郎 owasp japan - saaj ·...
Post on 28-May-2020
1 Views
Preview:
TRANSCRIPT
セキュリティ支出と脅威はマッチしているのか
% of Attacks
90%
データ侵害の原因
95%
5%
セキュリティ侵害の原因の95%はアプリケーション
検査した95%以上のサイトは深刻な脆弱性を抱えている
NIST
アプリケーションのセキュリティ確保に気を配っていない。
セキュリティ関連支出の大半がネットワークに費やされている。
Network
Applications% of Dollars
セキュリティ支出
10%
90%
EnablingSecurity ©AsteriskResearch,Inc. 8
■第2章Webサーバのアクセスログ観察第1節外部ファイルを不正に読み込ませる攻撃第2節パスワードファイル閲覧攻撃第3節環境変数に対する調査第4節一時ファイルに対する調査第5節スキャンツールを用いた調査第6節 SQLインジェクション攻撃第7節クロスサイトスクリプティング攻撃第8節 EPGrecに対する調査第9節 OpenFlashChartに対する調査第10節 apach0day攻撃?
■第3章Web型ハニーポットのログ観察第1節 PUTメソッドによるWebサイト改ざん攻撃第2節 Shellshock攻撃第3節 ApacheMagica攻撃第4節 JBossのアクセス制限を回避する攻撃第5節 ApacheStrutsのredirectActionに対する攻撃第6節 ApacheStrutsのClassLoaderに対する攻撃
第7節 Tomcatの設定不備の調査第8節 phpMyAdminを狙ったコマンド実行攻撃第9節 Joomla!のコマンド実行攻撃第10節 Joomla!コンテンツエディタ(JCE)に対する攻撃第11節 Drupalに対するSQLインジェクション攻撃第12節不正なファイルアップロード攻撃第13節ネットワーク設定情報ファイルに対する調査第14節WebCalendarに対する調査第15節ルータのWeb管理画面の脆弱性を狙った攻撃第16節 HTTP.sysの脆弱性を狙った攻撃第17節不正中継攻撃
■第4章多彩なハニーポットのログ観察第1節 Elasticsearchに対する攻撃第2節 NTPリフレクタ攻撃第3節MicrosoftSQLServerにおけるコマンド実行攻撃第4節 Heartbleed攻撃第5節 BINDのTKEYDoS攻撃第6節ルータに対するSSH不正ログイン攻撃
ハッキングは、アプリケーションレイヤーで起きている
脅威を知るENISAThreatLandscapeReport2016(2017/1)• Malware• Web-basedattacks• Webapplicationattacks• Denialofservice• Botnets• Phishing• Ransomware• Physicalmanipulation• ExploitKits• Databreaches• Identitytheft• Informationleakage
「自社が公開しているウェブサイトをすべて把握する」66.3%
NRISecureInformationSecurityReport2015EnablingSecurity ©AsteriskResearch,Inc. 12
「必要性を認識できていない」 22.8%
NRISecureInformationSecurityReport2015EnablingSecurity ©AsteriskResearch,Inc. 13
攻撃側のサプライチェーン
対象の発⾒
エンドユーザー
攻撃ツール
エンドユーザー エンドユーザー
ハッキングサービス/ハッカー
情報ブローカー国家組織
弱者情報
EnablingSecurity ©AsteriskResearch,Inc. 14
15EnablingSecurity ©AsteriskResearch,Inc.
1425%攻撃者の攻撃ツールとランサムウェアへの投資のリターン率
98%のサイトは脆弱、95%のモバイルアプリは脆弱 39%のパスワードは8文字 (1日で解析できる) 25%の攻撃はXSS24%の攻撃はShellShockなどOSSの脆弱性攻撃
攻撃面・脆弱性・リスクにさらされるデータ
Attack Surface 脆弱性 盗られるデータ管理インターフェース 虚弱なパスワードポリシー
アカウントロックアウト機構の欠如認証情報(クレデンシャル)
ローカルデータストレージ 暗号化されていないデータ保存 個人の機微情報
ウェブ・クラウドインターフェース SQLインジェクション 個人の機微情報、アカウント関連
デバイスのファームウェア HTTPで送られているパスワードのハードコーディング暗号化キーのハードコーディング
クレデンシャルアプリケーションそのもの
ベンダーのバックエンドAPI 任意のAPIデータ抽出 個人の機微情報アカウント関連
デバイスの物理インターフェース 認証されていないルート権限でのアクセス
いろいろ
Error混入率
• “Industryavg:1ormoreerrorsper1000lines”
• “Microsoft:after10-20testing,0.5errorper1000lines”
- S.McConnellCODECOMPLETE第2版
テスト(DAST)
直す 隠す無視・あきらめ
テスト(SAST)開発サイドの悩み
アプリケーションセキュリティスキルとツールの不足
予算配分管理の欠如
デリバリー再優先
セキュリティチームの悩み
全アプリケーション資産の把握ができていない
開発、セキュリティ、事業部のサイロ化によるコミュニケーションコスト増
脆弱性修正すると動かなくなることへの恐れ
出典:SANSInstitute (2015)Q.“TopChallengesforBuildersandDefenders”
?
「リリース間際のセキュリティテストは実施しています!」
しかも高額。
本当に重点を置くべきところとは
|EnablingSecurity| ©AsteriskResearch,Inc. 30
フェーズ Percent企画・要件定義フェーズ 53.4%設計フェーズ 16.5%開発中 14.6%コードのチェックイン 4.9%リリース前 8.7%Other 1.9%
出典:SANSInstitute (2015)
システムのセキュリティ問題原因の85%は構築。
©AsteriskResearch,Inc. 31
0
10
20
30
40
50
60
70
80
90
100
設計 構築 検証 運用
1 6.5 15
対応コスト 100
SHIFTLEFT
OWASPTop10のアンサードキュメント:OWASPProactiveControls – “事前のリスク制御”
EnablingSecurity ©2016AsteriskResearch,Inc. 33
1: 早期に、繰り返しセキュリティを検証する2: クエリーのパラメータ化3: データのエンコーディング4: すべての⼊⼒値を検証する5: アイデンティティと認証管理の実装6: 適切なアクセス制御の実装7: データの保護8: ロギングと侵⼊検知の実装9: セキュリティフレームワークやライブラリの活⽤10: エラー処理と例外処理
原因と結果の対応を見れば効果は歴然としている。正しい構築手法とプロセス→複数の脆弱性を激減させる。大半が設計・コーディングの方式。
©2016AsteriskResearch,Inc. 34
OWASP Top 10
1: イ
ンジ
ェク
ショ
ン
2: 認
証と
セッ
ショ
ン管
理の
不備
3: ク
ロス
サイ
トス
クリ
プテ
ィン
グ
4: 安
全で
ない
オブ
ジェ
クト
直接
参照
5: セ
キュ
リテ
ィ設
定の
ミス
6: 機
密デ
ータ
の露
出
7: 機
能レ
ベル
のア
クセ
ス制
御の
⽋落
8:ク
ロス
サイ
トリ
クエ
スト
フォ
ージ
ェリ
9: 既
知の
脆弱
性を
持つ
コン
ポー
ネン
トの
使⽤ 10
:未検
証の
リダ
イレ
クト
とフ
ォワ
ード
Proa
ctiv
e Co
ntro
ls
1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
2: クエリーのパラメータ化 ✔
3: データのエンコーディング ✔ ✔
4: すべての⼊⼒値を検証する ✔ ✔ ✔
5: アイデンティティと認証管理の実装 ✔
6: 適切なアクセス制御の実装 ✔ ✔
7: データの保護 ✔
8: ロギングと侵⼊検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
9: セキュリティフレームワークやライブラリの活⽤ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
OWASP Top 10 x Proactive ControlsMAPPING
脅威分析誤用ケース想定の開発
デバイス誤用パターン
プラットフォーム誤用パターン
検知ログ統合
エンドポイント監査安全モニタリング脅威モニタリング
クラウド、オンプレセキュリティの導入とアップデート
モニタリングの展開
脅威と情報収集源のアップデート
OpsLoopDevLoopPlan+Learning
SHIFTLEFT
©2015AsteriskResearch,Inc. 39
2016/11リリースNISTIR-8151DramaticallyReducingSoftwareVulnerabilitiesReporttotheWhiteHouseOfficeofScienceandTechnologyPolicy
Dramatic業界平均 1-25errorsper1000linesofcode.
これを 2.5errorsper10000linesofcodeにできるプロセスとメソドロジをリサーチ
2017年「いかにアプリを構築し、実装するか、新たな議論が巻き起こる」
• 11thingswethinkwillhappeninbusinesstechnologyin2017
• “Anewdebateinhowtobuildandshipapplications.”
BusinessInsider誌,Jan.2,2017
まさに A=f(p,s,e)
©2015AsteriskResearch,Inc.42
ソフトウェア開発
ガバナンス 構築 検証 デプロイ
戦略&指標
ポリシー&コンプライアンス
教育&指導
脅威の査定
セキュリティー要件
セキュアなアーキテクチャ
設計レビュー
コードレビュー
セキュリティテスト
脆弱性管理
環境の堅牢化
運用体制のセキュリティ対応
ep s
3 factors - 「ブルータスよ、お前もか」
• セキュリティ投資のアンバランス
• オープンソースソフトウェアの盲信
• 脆弱性対応のタイミングのまずさ
「カエサルの死」(ヴィンチェンツォ・カムッチーニ)
w/20tagboats(compliancerequirement16)=1500/2250died
©2015AsteriskResearch,Inc. 48
RMSTitanicdepartingSouthamptononApril10,1912.(Photo:CreativeCommons)
Hackxacademy=Hackademyhttps://www.udemy.com/hack-defence-basic/
EnablingSecurity ©AsteriskResearch,Inc. 50
OWASP NAGOYA 2017 坂梨 功典、村井 剛
OWASP NATORI 2017 佐藤 将太
OWASP FUKUSHIMA 2016 金子正人・山寺純
OWASP OKINAWA 2016 淵上真一・又吉伸穂
OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ
OWASP KYUSHU 2015 服部 祐一・花田智洋
OWASP KANSAI 2014 長谷川陽介・三木剛
OWASP JAPAN 2011 岡田良太郎・上野宣
⽇本のチャプター (地域の集まり)
top related