我々はAWS WAFを研究している

Transcript

1. Secure Sky Technology Inc. 1 我々は AWS WAFを研究している 株式会社セキュアスカイ・テクノロジー 事業開発部

   兼 研究開発部 宇田川 稔

2. Secure Sky Technology Inc. 2 自己紹介 宇田川 稔 所属 株式会社

   セキュアスカイ・テクノロジー 事業開発部 兼 研究開発部 仕事内容 WAF環境の設計、構築、運用 WAF研究担当 好きなAWSサービス AWS WAF AWS Lambda AWS Systems Manager 趣味 マラソン、サッカー観戦

3. Secure Sky Technology Inc. 3 会社概要 Webアプリケーションセキュリティに特化した企業です。 設立 2006年3月15日 社員数

   40名（非常勤を除く） 資本金 5,400万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 代表取締役 大木 元 ※業界の著名な方に支えられています。 歌代 和正 SST 監査役（非常勤） JPCERT/CC 専務理事 三輪 信雄 SST 顧問（非常勤） Ｓ＆Ｊ株式会社 代表取締役社長 総務省最高情報 セキュリティアドバイザー 元株式会社ラック 代表取締役社長 脆弱性をつくらない 教育事業 脆弱性を見つける 脆弱性診断 脆弱性を無害化する クラウド型WAF 「Scutum」

4. Secure Sky Technology Inc. 本日、みなさまに 持ち帰っていただきたいこと 4

5. Secure Sky Technology Inc. 我々は AWS WAFを研究した情報を 提供していくことを宣言します！ 5 〜第1弾の調査テーマ〜

   AWS が提供しているOWASP TOP 10内の SQLインジェクション対策のルール

6. Secure Sky Technology Inc. 宣言に至った経緯 6

7. Secure Sky Technology Inc. 7  Query string , Single

   query parameter (value only) , All query parameters (values only)の違いってなに？  検査対象のデータと変換はどう組み合わせればいいの？ 検査対象のデータを選択 Header / HTTP method / URI / Body / Query string / Single query parameter (value only) / All query parameters (values only) 対象データを検査する時に変換するかどうか。 None / Convert to lowercase / HTML decode / Normalize whitespace / Simplify command line / URL decode Webセキュリティ専門家でも迷う設定

8. Secure Sky Technology Inc. 8 AWSも対策方法を提供  OWASP Top 10対応のルール

   CloudFormation で簡単設定！  AWS WAF セキュリティオートメーション こちらもCloudFormationで簡単設定！

9. Secure Sky Technology Inc. 9 AWS WAFを管理してもらえませんか？ お客様 お客様のニーズに応えるべく AWS

   WAF研究を続けています！！ SST宇田川

10. Secure Sky Technology Inc. 10 検知状況の調査内容 AWS が提供しているOWASP TOP 10内のSQLインジェクション対策のル

    ールについて、弊社が持っている攻撃データを用いて、どこまで検知するか 調査しました。 ▪ 攻撃データ ◦ テストケース数は約700 ◦ 一般的なSQLインジェクションを突くテストケースと共に 各DB特有の脆弱性を突くテストケースも使用 ▪ 調査環境概要 攻撃用マシン ALB + AWS WAF WEBサーバー OWASP Top 10 SQLインジェクション ルール

11. Secure Sky Technology Inc. 11 検証結果 generic MySQL oracle SQL

    Server その他 0 50 100 150 200 250 300 350 400 450 OWASPTOP10SQLi_rule

12. Secure Sky Technology Inc. 12 攻撃用マシン ALB + AWS WAF

    WEBサーバー 追加検証 検知率を上げたいので、 OWASP Top 10 SQLインジェクション ルールに 某サードパーティのマネージドルールを追加して、同様の検証をしてみた。 ▪ 調査環境概要 OWASP Top 10 SQLインジェクション ルール ＋ 某サードパーティのマネージドルール

13. Secure Sky Technology Inc. 13 検証結果 generic generic MySQL MySQL

    oracle oracle SQL Server SQL Server その他 その他 0 100 200 300 400 500 600 OWASPTOP10SQLi_rule OWASPTOP10SQLi_rule+ThirdPartyRule

14. Secure Sky Technology Inc. 14 さらに検知精度を上げるために Webアプリケーションセキュリティに特化した企業セ キュアスカイ・テクノロジーの出番！ 知っているから、 足りないルールを調査できる。

    運用で必要なことを判断できる。

15. Secure Sky Technology Inc. 15 我々がまずできること AWS WAF 研究情報提供宣言！

16. Secure Sky Technology Inc. 16 ～公開予定～ 1. AWS が提供しているOWASP TOP

    10内のSQLインジェクション対策の ルールの検知状況の調査 2. AWS が提供しているOWASP TOP 10内のXSS対策のルールの検知状況 の調査 3. 脆弱性毎の対応ルール a. OSコマンドインジェクション b. パストラバーサル c. 特定ミドルウェア/フレームワーク等を狙った攻撃 （Struts2、Tomcat、PHP、WordPressなど） d. その他、緊急度の高い脆弱性が出た場合、AWS WAFへの検知設定方法 4. ルールの誤検知とその対策 5. WEB構成に合わせたAWS WAF設定ベストプラクティス

17. Secure Sky Technology Inc. 17 みなさまが快適に、迷いなく、 AWS WAFを使用できるように 情報を提供していきます。 SSTエンジニアブログ

    SST宇田川 本日発表した内容 も公開します！ 詳細はこちら