Deep Security User Night #5 レポート

こんにちは、ひろかずです。

Deep Security User Night #5に行ってきたので一筆書きます。
会場は前回に続きHAPON新宿
日本地図をモチーフにした机がオシャレな空間です。

プシュッと開けてからスタートです。

お品書き

  • Google Cloud Platformの紹介とセキュリティとDS on GCPの話
  • 我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話
  • Deep Security APIを活用したルールアップデートの自動化について

Google Cloud Platformの紹介とセキュリティとDS on GCPの話

Google Cloud Japan
金子さん

トレンドマイクロとは長い付き合い
よなよなエール好き(箱買い派)

2017/6にDeep SecurityがGCPに対応
AWSに比べてまだまだ機能は足りないけど、これから
評価ガイドあります!(スタートアップガイド)

  • IaaSにManagerを立てて、保護サーバーにAgentを入れる方式

GCPの概要
Google関連サービスは、10億を超えるユーザー
どういうインフラで動いてるの?

  • バカでかいデータセンター
  • データセンターから自作
  • ラックも自作
  • 国内サーバベンダーより多くのサーバを作ってる
  • コンポーネントを極限まで削っているので、セキュア
  • 管理は自動化。分散処理基盤がある。
  • データセンター as a Computer
  • その一部を切り出すのがGCP
  • 東京リージョン開設時は超忙しかった
  • インフラ規模のインフラ(プラネットスケールインフラストラクチャ)
  • 3年間で3兆円の投資

セキュリティ頑張ってます!

  • すべてのレイヤーに厳しいセキュリティが施されている
  • Googleのセキュリティ専任部門(750人)
  • FISCにも対応!
  • NICに特注チップを付けて、変なところにパケットを飛ばさないようにチェック
  • データは暗号化され、分割と難読化でディスク単位では読みだせないようにしている。
    データは、GCP内でやり取りされる(VMコピー時に、通信はインターネットに出ない)

HTTP(S)ロードバランサ

  • 1IPでリージョン跨ぎの負荷分散
  • 暖気申請なしで100万リクエストに対応

IaaSの特徴

  • ライブマイグレーション
  • 勝手にやってくれるクラウドサービスはGCPだけ。
  • KVMベースのハイパーバイザで対応している
  • 1000VMが5分で起動する
  • VMネットワークは16Gbps
  • GCPカスタムマシンタイプ(GPU特化型とか)

BigQuery

  • SaaSのようなデータウェアハウス
  • 72GBのフルスキャンが6.7秒
  • 大量サーバとストレージ、ペタビットネットワークによる超並列処理クエリ
  • 1TBを1秒でスキャンするために、10000ディスクスピンドルを用意する考え方

そろそろDeep Security

  • BigQueryでDSのログを検索(1.32TB, 40億レコード)
  • 4.2秒で検索!

我が家の箱入り娘を世間に晒すのは危険なのでDeep Securityに見守ってもらった話

フューチャーアーキテクト株式会社
日比野さん

Deep SecurityとElasticSearch

  • ハニーポットに対する通信をDSでの検知状況を可視化
  • パロアルトのファイアウォールも用意
  • ハニーポットはコンテナ
  • 今回は、サーバ型、低対話型のハニーポットを用意
  • 低対話型は、簡単だが取れる情報はそれなり

標的型攻撃の攻撃フェーズに対してハニーポットが取れる情報

  • 偵察
  • 情報探査
  • 情報集約
  • 情報送信

ハニーポット書籍

  • 実線サイバーセキュリティモニタリング
  • サイバー攻撃の足跡を分析するハニーポット観察日記

今回のハニーポットは、Open Canaryを採用(コンテナでデプロイ)

  • Dockerコンテナ実行環境を用意して、
  • ログはLogStashでElasticSearchに送信
  • ハニーポットのAWS適正利用規約がある(事業者によって異なるので注意)
  • Deep Securityは、10.1を使用
  • DSaaS環境を利用(今回は双方向通信を採用)
  • Deep Securityのログは、UDP514で通信させた

Paro Alto

  • 15日間は無料
  • ライセンス高いから、忘れずに消す!

ログの可視化には、ElasticStackがおすすめ!

  • Kibana
  • Elastich
  • X-Pack(有償サブスクリプション:レポーティング、アラート、グラフ、ML)
  • 最新版5.5で構築し、Syslog受信したログをElasticSearch

結果

  • 中国、台湾が大活躍
  • 8/31-9/3ごろまで
  • ピーク時6000件のログがでた(ParoAlto)
  • 平日は、MSSQL(1433)が多かったが、土日はSSHが爆裂
  • 攻撃で使われるアカウントやパスワードは、リストに載っているものがやはり多かった(デフォルトパスワードは、やはり危険)
  • 機械学習は、閾値を設けた使い方が有効そう
  • Deep Securityのログの正規化は簡単にできた。
  • ファイアウォール機能で遮断していたので、侵入防御やセキュリティログ監視は反応しなかった。

まとめ

  • ログは事実だが、それだけでは意味がある分析結果は得られない
  • とりあえずログを集めるのはNG
  • 何をなすためにログを集めるのかという必要性を理解して、小さく始めるのがいい
  • ログの結果から対策に活かすPDCAが大事!

Deep Security APIを活用したルールアップデートの自動化について

アイレット株式会社
恩田さん

Deep Securityは、securitypackというサービスで使っている。
ルールアップデートしてますか?

  • 手動や自動で適用してもいいけど、いきなり防御されたら大変
  • アップデート処理は、アクセスが集中するので処理が重くて大変!

DeepSecurity API

  • REST
  • Sorp

REST API

  • 機能がだいぶ足りない
  • 新しい機能が実装されている

SOAP API

  • 古典的な機能が実装されている
  • 機能の数は多数

SDK

  • 統一されたフロントを提供するので区別しなくていい(機能の60%)
  • dsm.py:マネージャークラス
  • polices.py:ポリシークラス, ルールクラス
  • が、GitHubプロジェクトは全然動いてない
  • なので、足りない部分は実装しよう!

まとめ

  • SOAPが解決してくれる

要望

  • アップデート配信日はサーバーを強化してください!
  • APIとUIのドメインを統一してほしい

今回も盛り上がった回でした!

今日はここまでです。
お疲れさまでした。

続きを読む