Download to read offline
Uploaded byShinichiro Kawano
2017_0522 security-jaws_no5_Kawano_web_up
2017年5月22日 第5回 Security JAWS でお話したスライド (若干細部修正) です。
![[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...](https://cdn.slidesharecdn.com/ss_thumbnails/dsssapporo2015d23datasecurityjpsecure-150925075233-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
2017_0522 security-jaws_no5_Kawano_web_up
- 1. Shinichiro Kawano F-Secure K.K. Security-JAWS#5 脆弱性によるハッキングデモ ~ 脆弱性対策には大切な事が詰まってる。でも多くの人がそれに気付かないんだ ~
- 2. 2 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業部 Unix ->OSS/Linux (この辺りからCloud関連) -> Security F-Secure:フィンランドが本社 (なので今日は継続高校シャツとか着てるわけで)
- 3. 3 エフセキュア紹介 創立29周年 世界で2番目にウイルス対策ソフトを提供開始 1988年北欧フィンランドに本社設立(日本法人設立 1999年)。23 の現地法人を有し、世界の100以上の国で ビジネスを展開。社員数1,032名。 会長 RISTOはノキア会長を兼務 ヘルシンキ(フィンランド)クアラルンプール(マレー シア)にセキュリティ研究所を有し、世界最高レベルの ウイルス解析、定義ファイルの配信を24時間365日体制 で実現。 エフセキュアは200以上の通信事業者を通じ世界中の ブロードバンドおよびモバイルサブスクライバーに セキュリティ・サービスを提供 *フィンランド/日本/アメリカ/マレーシア/香港/インド/シンガポール/ベルギー/デンマーク/フランス/ドイツ/イタリア/ オランダ/オーストラリア/ノルウェー/ポーランド/スウェーデン/イギリス/スペイン /メキシコ /コロンビア/ブラジル/チリ
- 4.
- 5.
- 6. 6 ハッキングデモ 実際に見たこと、ある方は 手を上げて! (Security JAWS #5当日は 半分くらい、見たこと無い方)
- 7.
- 8.
- 9. 9 1. PC アンチウイルスソフト、 Firewallでマルウェア検出しないの? → 標的型攻撃。事前調査してるという前提。 2. さすがに AWS への接続が簡単すぎない? → あくまでもデモなので、、 脆弱性対策が重要と、考えるきっかけに。 前提条件
- 10.
- 11. 11 所要時間 6分20秒 *標的型攻撃ファイル開封から 別マシン 管理者権限奪取まで **今回デモシナリオの場合
- 12.
- 13.
- 14.
- 15. 15 ディスカバリ マップピング ネットワーク 資産 スキャン システム & アプリケーショ ン 管理 対策の 優先順位付け 担当者の割当 レポート 技術者・経営層 カスタマイズ ベリファイ 再スキャン 及び 変更履歴 F-SECURE RADARとは 企業ネットワーク内の脆弱性管理ソリューション 3種類のスキャン技術でネットワーク内の脆弱性を検査 Discovery Scan: ネットワーク全体のマッピング System Scan: システム構成不備、OS及びアプリケーションの脆弱性 Web Scan: Webアプリケーションの脆弱性
- 16.
- 17. 17 F-SECURE RDS “RAPID DETECTIONSERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service
- 18. 18 F-SECURE RDS “RAPID DETECTIONSERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service あなたは境界線を守ってます 既に入り込まれてたら、どうします?
- 19.
- 20. 20 F-SECURE RDS “RAPID DETECTIONSERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service あなたは境界線を守ってます 既に入り込まれてたら、どうします?
- 21. 21 1. 標的型攻撃で脆弱性をつかれると、わずか数分で 管理者権限を奪われるケースもあります 2. 脆弱性対策は非常に大切です 3.F-Secure は 脆弱性診断ツール Radar を パートナ様と提供してます 4. この手のデモと F-Secure に ご興味ある方 お気軽に Shinichiro.Kawano@f-secure.com へ まとめ
- 22.
Editor's Notes
- #14 Talking about application security issues, this is a worrysome statistics from the HP cyber risk report. 86% of all web apps have serious security issues. Not because the developers would have made them intentionally, but because most don’t know how to build secure applications. Clearly much room for improvement there.
- #15 And bear in mind that it’s not enough to patch just the OS level, using the tools provided by the OS. The biggest part of vulnerabilities are found in additional, 3rd party software that has been installed in users’ computers. So things like Flash, PDF, Java, browsers, ... So you have to think about a patch management solution that covers your total application space. Obviously, the hardining part is not only about vulnerability and patch management, but also about topics such as wrong configurations and other application security weaknesses.