我々はAWS WAFを研究している

我々はAWS WAFを研究している

我々はAWS WAFを研究している

Eaab8f0f3d5df0227e59441262e9ba1a?s=128

Secure Sky Technology

August 28, 2018
Tweet

Transcript

  1. Secure Sky Technology Inc. 1 我々は AWS WAFを研究している 株式会社セキュアスカイ・テクノロジー 事業開発部

    兼 研究開発部 宇田川 稔
  2. Secure Sky Technology Inc. 2 自己紹介 宇田川 稔 所属 株式会社

    セキュアスカイ・テクノロジー 事業開発部 兼 研究開発部 仕事内容 WAF環境の設計、構築、運用 WAF研究担当 好きなAWSサービス AWS WAF AWS Lambda AWS Systems Manager 趣味 マラソン、サッカー観戦
  3. Secure Sky Technology Inc. 3 会社概要 Webアプリケーションセキュリティに特化した企業です。 設立 2006年3月15日 社員数

    40名(非常勤を除く) 資本金 5,400万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 代表取締役 大木 元 ※業界の著名な方に支えられています。 歌代 和正 SST 監査役(非常勤) JPCERT/CC 専務理事 三輪 信雄 SST 顧問(非常勤) S&J株式会社 代表取締役社長 総務省最高情報 セキュリティアドバイザー 元株式会社ラック 代表取締役社長 脆弱性をつくらない 教育事業 脆弱性を見つける 脆弱性診断 脆弱性を無害化する クラウド型WAF 「Scutum」
  4. Secure Sky Technology Inc. 本日、みなさまに 持ち帰っていただきたいこと 4

  5. Secure Sky Technology Inc. 我々は AWS WAFを研究した情報を 提供していくことを宣言します! 5 〜第1弾の調査テーマ〜

    AWS が提供しているOWASP TOP 10内の SQLインジェクション対策のルール
  6. Secure Sky Technology Inc. 宣言に至った経緯 6

  7. Secure Sky Technology Inc. 7  Query string , Single

    query parameter (value only) , All query parameters (values only)の違いってなに?  検査対象のデータと変換はどう組み合わせればいいの? 検査対象のデータを選択 Header / HTTP method / URI / Body / Query string / Single query parameter (value only) / All query parameters (values only) 対象データを検査する時に変換するかどうか。 None / Convert to lowercase / HTML decode / Normalize whitespace / Simplify command line / URL decode Webセキュリティ専門家でも迷う設定
  8. Secure Sky Technology Inc. 8 AWSも対策方法を提供  OWASP Top 10対応のルール

    CloudFormation で簡単設定!  AWS WAF セキュリティオートメーション こちらもCloudFormationで簡単設定!
  9. Secure Sky Technology Inc. 9 AWS WAFを管理してもらえませんか? お客様 お客様のニーズに応えるべく AWS

    WAF研究を続けています!! SST宇田川
  10. Secure Sky Technology Inc. 10 検知状況の調査内容 AWS が提供しているOWASP TOP 10内のSQLインジェクション対策のル

    ールについて、弊社が持っている攻撃データを用いて、どこまで検知するか 調査しました。 ▪ 攻撃データ ◦ テストケース数は約700 ◦ 一般的なSQLインジェクションを突くテストケースと共に 各DB特有の脆弱性を突くテストケースも使用 ▪ 調査環境概要 攻撃用マシン ALB + AWS WAF WEBサーバー OWASP Top 10 SQLインジェクション ルール
  11. Secure Sky Technology Inc. 11 検証結果 generic MySQL oracle SQL

    Server その他 0 50 100 150 200 250 300 350 400 450 OWASPTOP10SQLi_rule
  12. Secure Sky Technology Inc. 12 攻撃用マシン ALB + AWS WAF

    WEBサーバー 追加検証 検知率を上げたいので、 OWASP Top 10 SQLインジェクション ルールに 某サードパーティのマネージドルールを追加して、同様の検証をしてみた。 ▪ 調査環境概要 OWASP Top 10 SQLインジェクション ルール + 某サードパーティのマネージドルール
  13. Secure Sky Technology Inc. 13 検証結果 generic generic MySQL MySQL

    oracle oracle SQL Server SQL Server その他 その他 0 100 200 300 400 500 600 OWASPTOP10SQLi_rule OWASPTOP10SQLi_rule+ThirdPartyRule
  14. Secure Sky Technology Inc. 14 さらに検知精度を上げるために Webアプリケーションセキュリティに特化した企業セ キュアスカイ・テクノロジーの出番! 知っているから、 足りないルールを調査できる。

    運用で必要なことを判断できる。
  15. Secure Sky Technology Inc. 15 我々がまずできること AWS WAF 研究情報提供宣言!

  16. Secure Sky Technology Inc. 16 ~公開予定~ 1. AWS が提供しているOWASP TOP

    10内のSQLインジェクション対策の ルールの検知状況の調査 2. AWS が提供しているOWASP TOP 10内のXSS対策のルールの検知状況 の調査 3. 脆弱性毎の対応ルール a. OSコマンドインジェクション b. パストラバーサル c. 特定ミドルウェア/フレームワーク等を狙った攻撃 (Struts2、Tomcat、PHP、WordPressなど) d. その他、緊急度の高い脆弱性が出た場合、AWS WAFへの検知設定方法 4. ルールの誤検知とその対策 5. WEB構成に合わせたAWS WAF設定ベストプラクティス
  17. Secure Sky Technology Inc. 17 みなさまが快適に、迷いなく、 AWS WAFを使用できるように 情報を提供していきます。 SSTエンジニアブログ

    SST宇田川 本日発表した内容 も公開します! 詳細はこちら