_SEC共有_15_過去のインシデント事例から学ぶこと.pdf

Transcript

1. None

2. 本資料は公開予定ですので、がりがりメモらなくでおｋ (　´∀｀)b このマークのある箇所/ページだけは非公開です。 （危険な）ネタに走った、個人情報がある、肖像権その他… セキュリティ共有勉強会#15

3. セキュリティ共有勉強会#15 SIEMやWAF等弄っている 人にはおなじみ Truth Positive （正しく検知） False Positive （誤って検知） Truｔｈ

   Negative （正しく非検知） False Negative （誤って非検知）

4. 0：自己紹介 1：インシデントレスポンスの私の考え方 2：過去のインシデント事例から学ぶこと 3：まとめ セキュリティ共有勉強会#15

5. 名前（ハンドル） 柴雑種（@zash_shibainu） 名前（本名） 柴田 諭史 仕事（現在） フリーランス・エンジニア - インフラ -

   セキュリティ セキュリティ共有勉強会#15

6. セキュリティ共有勉強会#15

7. セキュリティ共有勉強会#15 ※引用：AbemaNews

8. セキュリティインシデントは避けようと思っても 100%は難しい（不可能）。 事故が起こった時に、どう対応したか？が評価される 時代 セキュリティ共有勉強会#15

9. セキュリティ共有勉強会#15

10. セキュリティ共有勉強会#15 平時 インシデント発生 情報収集 分析 検討 対応 インシデント対応 教訓の 文書化

    犯人探し ではない

11. インシデントは100%発生させないことはできない。 発生した際にどう対応するか？ そこから何を得るかが重要！！ セキュリティ共有勉強会#15

12. セキュリティ共有勉強会#15

13. セキュリティ共有勉強会#15

14. 今回取り上げる事例はこちら セキュリティ共有勉強会#15

15. 昨年、世界を震撼させた事案（約1.5億件漏えい） 原因：Struts2のパッチ漏れ（S2-045/046） セキュリティ共有勉強会#15 https://www.sec.gov/Archives/edgar/data/33185/000119312518154706/d583804dex991.htm

16. 公聴会での1コマ セキュリティ共有勉強会#15 ※ZDNet Japanから引用： https://japan.zdnet.com/article/35108266/ 問題の責任は、 ・セキュリティスキャンの不具合 ・1人の従業員のミスでパッチが適用されなかった 一応英文も https://www.engadget.com/2017/10/03/former-equifax-ceo-blames-breach-on-one-it-employee/

17. セキュリティ共有勉強会#15

18. そこから考えられる対応（時系列） セキュリティ共有勉強会#15 脆弱性発覚 脆弱なアプリ アプリ修正 修正後アプリ （つもり） スキャン ⇒OK （FalseNegative）

    そもそも検知できなかった 状態が変わってなかった

19. セキュリティ共有勉強会#15

20. すべきだったこと セキュリティ共有勉強会#15 脆弱性発覚 脆弱なアプリ アプリ修正 修正後アプリ （正しい） 修正前に スキャン 検知できない

    ことが判明！ 別のスクリプト （Exploit） 正しく検知！ （TruthPositive） 正しく非検知！ （TruthNegative）

21. セキュリティ共有勉強会#15

22. 脆弱性発見時には、修正前に必ず正しく検知できるこ とを確認しましょう！！ セキュリティ共有勉強会#15 Truth Positive （正しく検知） False Positive （誤って検知） Truｔｈ

    Negative （正しく非検知） False Negative （誤って非検知）

23. セキュリティ共有勉強会#15 23