Woman Developers Summit 2022 (セキュリティ技術者として大切にしていること、攻めと守り、仕組みづくりの視点から) PSIRT FY23Q2

by freee

Slide 1

Slide 1 text

　 2022.11.02 13:10 ～ 13:40 Woman Developers Summit 2022 セキュリティ技術者として大切にしていること、攻めと守り、仕組みづくりの視点から

Slide 2

Slide 2 text

　 2 越智郁 2022 1.17 freeeにjoin. PSIRT（Product Security Incident Response Team）所属脆弱性診断の業務を中心に、さまざまなプロダクトセキュリティに関する業務に携わっています。 PSIRT kaworu プロフィール画像のトリミング方法

Slide 3

Slide 3 text

スモールビジネスを、世界の主役に。

Slide 4

Slide 4 text

　 4 freee会計 freee開業 freee福利厚生 freeeアプリストア freee人事労務 freee会社設立 freee受発注 freeeプロジェクト管理 freee資金調達 freee申告 freeeカードプロダクトラインアップ freeeサイン

Slide 5

Slide 5 text

5 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 6

Slide 6 text

6 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 7

Slide 7 text

7 PSIRT(Product Security Incident Response Team) serviceを守るのがPSIRTの責務

Slide 8

Slide 8 text

8 Plan Code Build Test Deploy Conﬁgure Monitor Code Review Response Logging Detect SAST SCA E2E IaC CSPM Vulnerability Assessment コードレビュー  静的解析  動作検証  脆弱性スキャン  脆弱性診断  ログを取る  異常検知  インシデント対応  構成管理  ポリシー検証  PSIRTの日常…DevSecOpsへの取り組み開発と運用にsecurityを埋め込む

Slide 9

Slide 9 text

　 9 日々の運用 freee PSIRT OODA loop Security Weekly もくもく会  Incident Handling Kaizen hour Observe 担当者が集まって分析気になるものは一緒に探ってみる世話を焼いていくスタイル Decide CSIRT/PSIRTで情報共有検知状況を解釈し、対処方針を決めるあえて共有理想ドリブン Act 改善してみるかっとなって、しゅっとやる Hack Everything Orient もしものときには足りないものに気付く失敗して攻めよう

Slide 10

Slide 10 text

PSIRTのメンバー構成 1000人規模の会社インフラからアプリケーションまでそれぞれの必殺技（得意な分野）のバリエーションがひろいチーム！セキュリティチーム構成 CISO下に、CSIRT、PSIRTの構成 PSIRTの女性はふたりもうひとり、素敵な方がいます彼女のお仕事の話も本日少し触れます 1% CSIRT CISO PSIRT

Slide 11

Slide 11 text

freeeにきてからのとりくみ PSIRT配属  03 04 05 07 01 02 06 08 10 09 視点脆弱性診断  Sensor  監視  守り仕組みづくり GitHub audit logを  監視できる仕組み  攻め

Slide 12

Slide 12 text

12 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 13

Slide 13 text

freeeにきてからのとりくみ PSIRT配属  03 04 05 07 01 02 06 08 10 09 視点脆弱性診断  攻め

Slide 14

Slide 14 text

「脆弱性診断」擬似的な攻撃ふるまいをみて脆弱性を探す脆弱性…セキュリティ上の問題点を探す

Slide 15

Slide 15 text

攻めの視点「脆弱性診断」診断結果外部依頼時 - 指摘内容を確認 - トリアージ内部実施時ツール診断手動の診断脆弱性を探す、まさに攻める部分

Slide 16

Slide 16 text

攻めの視点「脆弱性診断」対象決め診断準備結果対応ツール診断手動の診断脆弱性診断のながれ

Slide 17

Slide 17 text

脆弱性診断のながれ対象決め診断準備結果対応新規リリース新機能追加対象の仕様スケジュール調整診断用環境ダミーデータ外部依頼時 - トリアージ内部実施時 - 詳細手順開発チームに対応依頼ツール診断手動の診断

Slide 18

Slide 18 text

脆弱性診断のながれ対象決め診断準備結果対応対象の仕様スケジュール調整診断用環境ダミーデータ

Slide 19

Slide 19 text

脆弱性診断の準備テンプレート化共通の確認事項をテンプレートに準備ツールの作成 “診断ヒアリングし太郎”

Slide 20

Slide 20 text

20 同期的なヒアリングが、非同期でできるようになった。（その分の工数を他のことで利用できるようになった）診断ヒアリングし太郎（診断太郎）

Slide 21

Slide 21 text

攻めの視点「脆弱性診断」対象決め診断準備結果対応対象の仕様等スケジュール調整診断用環境ダミーデータ安定して攻め続けるために、一連の流れをスムーズに回していく体制や仕組みづくりも大切

Slide 22

Slide 22 text

攻めの視点「脆弱性診断」対象決め診断準備結果対応ツール診断手動診断

Slide 23

Slide 23 text

「脆弱性診断」の攻め方ツール診断内部だからこそ手動診断

Slide 24

Slide 24 text

「脆弱性診断」ツール診断 Pattern — ../../../../../../../../../../../etc/hosts ../../../../../../../../../etc/hosts%00 /etc/hosts |/bin/sleep 20| ;/bin/sleep 20; ../../../../../../../bin/sleep 20| $(../../../../../../../bin/sleep 20) '`/bin/sleep 20`' `/bin/sleep 20` ツールを用いて機械的な検証

Slide 25

Slide 25 text

「脆弱性診断」ツール診断ツールの検知内容や、HTTP responseの情報を参考に判断 Pattern — ../../../../../../../../../../../etc/hosts　　　 ../../../../../../../../../etc/hosts%00　　 /etc/hosts |/bin/sleep 20| ;/bin/sleep 20; ../../../../../../../bin/sleep 20| $(../../../../../../../bin/sleep 20) '`/bin/sleep 20`' `/bin/sleep 20` StatusCode – 400 400 200 500 500 500 500 500 500 mil sec – 139 164 213 165 211 198 156 20158 209

Slide 26

Slide 26 text

「脆弱性診断」手動診断 200 OK {“name”: “越智郁”, “company”: “A” } ビジネスロジックや権限まわりの検証など GET /api/proﬁle/1

Slide 27

Slide 27 text

「脆弱性診断」手動診断 403 forbidden 権限がありませんビジネスロジックや権限まわりの検証など GET /api/proﬁle/2

Slide 28

Slide 28 text

OK 「脆弱性診断」手動診断 200 OK {“name”: “名前太郎”, “company”: “B” GET /api/proﬁle/2 403 forbidden 権限がありません GET /api/proﬁle/2 ビジネスロジックや権限まわりの検証など本来見えてはいけないデータが見えてしまう例脆弱

Slide 29

Slide 29 text

「脆弱性診断」内部だからこその観点ソースコードや設定、開発チームとの詳細なコミュニケーションがとれるよりリスクの高いパスをじっくり検証したり、”抜き打ち”したり

Slide 30

Slide 30 text

攻めの視点「脆弱性診断」対象決め診断準備結果対応新規リリース新機能追加対象の仕様スケジュール調整診断用環境ダミーデータ外部依頼時 - トリアージ内部実施時 - 詳細手順開発チームに対応依頼ツール診断手動の診断

Slide 31

Slide 31 text

31 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 32

Slide 32 text

freeeにきてからのとりくみ PSIRT配属  03 04 05 07 01 02 06 08 10 09 視点 Sensor  監視  守り

Slide 33

Slide 33 text

33 Triage SIEMを参照しながら、優先度、重要度を判断 SIEM Dashboard es-loader 守りの視点「Sensor監視」 SIEM : Security Information & Event Mangement = logを解析するviewer WAF: Web Application Firewall を担当することになった Security Sensor AWS WAF CloudOne GuardDuty AWS Log CloudTrail ELB DNS query log VPC ﬂow log 簡易対処とりあえず止血根本対処間違いが起きない仕組み

Slide 34

Slide 34 text

Sensor監視のながれ SIEMを確認深堀り起票対応開発チームに対応依頼

Slide 35

Slide 35 text

SIEMを確認（1週間）とあるサービスのBlock状況件数

Slide 36

Slide 36 text

SIEMを確認（1週間→1日）件数

Slide 37

Slide 37 text

SIEMを確認（1週間→1日→Block数の多い特定IP）件数

Slide 38

Slide 38 text

深堀り…典型的な攻撃・探索パターン　件数

Slide 39

Slide 39 text

Sensor監視のながれ SIEMを確認深堀り起票対応開発チームに対応依頼

Slide 40

Slide 40 text

Sensor監視：Public APIの大量リクエスト freeeユーザー freee Public API freee Public API：要望に合わせた機能開発ができるように、APIを提供しています。

Slide 41

Slide 41 text

Sensor監視：Public APIの大量リクエスト特定ユーザーの特定パスにて、大量のリクエストが発生し、Block。 Block開始件数

Slide 42

Slide 42 text

Sensor監視：Public APIの大量リクエスト特定ユーザーの特定パスにて、大量のリクエストが発生し、Block。 Sensorが検知 Issue Open Triage → お客様へお知らせ件数

Slide 43

Slide 43 text

Sensor監視：Public APIの大量リクエストお客様側で対処 Issue Close 件数

Slide 44

Slide 44 text

Sensor監視：Public APIの大量リクエスト特定ユーザーの特定パスにて、大量のリクエストが発生し、Block。 Block＝悪い通信とは限らない。みきわめが大変。 Block開始 Sensorが検知お客様側で対処 Issue Close Issue Open Triage → お客様へお知らせ件数

Slide 45

Slide 45 text

Sensor監視のながれ SIEMを確認深堀り起票対応開発チームに対応依頼

Slide 46

Slide 46 text

Sensor監視のながれ SIEMを確認深堀り起票対応開発チームに対応依頼関連情報をリンクで含む検索時間が大幅に短縮起票まで自動化　＋　深掘りに必要な情報がリンク化一つあたりの対応時間の大幅な短縮で、確認できる範囲が5倍になった検知内容の通知

Slide 47

Slide 47 text

Sensor監視のながれ SIEMを確認深堀り起票対応開発チームに対応依頼関連情報をリンクで含む検索時間が大幅に短縮起票まで自動化　＋　深掘りに必要な情報がリンク化一つあたりの対応時間の大幅な短縮で、確認できる範囲が5倍になった検知内容の通知 mbです！私がつくりました！！

Slide 48

Slide 48 text

48 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 49

Slide 49 text

freeeにきてからのとりくみ PSIRT配属  03 04 05 07 01 02 06 08 10 09 視点仕組みづくり GitHub audit logを  監視できる仕組み 

Slide 50

Slide 50 text

50 仕組みづくり「GitHub audit logのSIEMへの取り込み」 audit log: 監査ログ内部起因のインシデントを予防を目的に

Slide 51

Slide 51 text

51 audit log: 監査ログ内部起因のインシデントを予防を目的に仕組みづくり「GitHub audit logのSIEMへの取り込み」

Slide 52

Slide 52 text

52 仕組みづくり「GitHub audit logのSIEMへの取り込み」 audit log: 監査ログ, GitHub上のいろいろな操作の履歴

Slide 53

Slide 53 text

53 仕組みづくり「GitHub audit logのSIEMへの取り込み」 audit log: 監査ログ, GitHub上のいろいろな操作の履歴画面操作で監査ログを取り扱うのも地味に大変 ※検索結果のイメージです。実際は組織名/repository名、日付、国名が入っています。

Slide 54

Slide 54 text

54 GitHub audit logの取得 Request GET /orgs/{org}/audit-log Response [{ "@timestamp": 1606929874512, "action": "team.add_member", "actor": "octocat", "created_at": 1606929874512, "_document_id": "xJJFlFOhQ6b-5vaAFy9Rjw", "org": "octo-corp", "team": "octo-corp/example-team", "user": "monalisa" }, … ] audit log

Slide 55

Slide 55 text

55 GitHub audit logのSIEMへの取り込み es-loader audit log siem

Slide 56

Slide 56 text

56 GitHub audit log SIEMとりこみ結果お盆休みの時期シルバーウィークの時期従来は文字列を追う必要があった可視化されることで、違う視点からも調べられるようになったログの取り込み件数…活動量という見方もできる  件数

Slide 57

Slide 57 text

57 00　はじめに 01　PSIRTの日常 02　攻めの視点「脆弱性診断」 03　守りの視点「sensor監視」 04　仕組みづくり 05　おわりに目次

Slide 58

Slide 58 text

freeeにきてからのとりくみ PSIRT配属  03 04 05 07 01 02 06 08 10 09 視点脆弱性診断  Sensor  監視  守り仕組みづくり攻め GitHub audit logを  監視できる仕組み 

Slide 59

Slide 59 text

私がセキュリティ技術者として大切にしていること幅を広げる脆弱性診断のエンジニアからセキュリティ技術者へ積み重ね積み重ねてよりセキュアに自身のできることも増やしたい視点・視野を広げる攻め・守り・仕組みづくり相互に影響しあっていると実感

Slide 60

Slide 60 text

freeeの開発文化

Slide 61

Slide 61 text

freeeについて mission https://corp.freee.co.jp/mission/ Developers Blog (security) https://developers.freee.co.jp/archive/ca tegory/セキュリティエンジニア採用 https://jobs.freee.co.jp/engineers/

Slide 62

Slide 62 text

　 2022.11.02 13:10 ～ 13:40 Woman Developers Summit 2022 セキュリティ技術者として大切にしていること、攻めと守り、仕組みづくりの視点から