Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
Search
Eureka
February 14, 2022
Technology
1
1k
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
情報セキュリティワークショップin越後湯沢2021 での講演資料
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
Eureka
February 14, 2022
Tweet
Share
More Decks by Eureka
See All by Eureka
Active Directory の保護
eurekaberry
2
1.2k
あなたの知らないバグバウンティの世界
eurekaberry
2
1.8k
LAPS勉強会
eurekaberry
0
1.2k
Other Decks in Technology
See All in Technology
エラーバジェット枯渇の原因 - 偽陽性との戦い -
phaya72
1
100
Tokyo RubyKaigi 12 - Scaling Ruby at GitHub
jhawthorn
2
210
private spaceについてあれこれ調べてみた
operando
1
170
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
10
120k
ソフトウェア開発現代史:製造業とソフトウェアは本当に共存できていたのか?品質とスピードを問い直す
takabow
15
5.4k
生成AIを活用した機能を、顧客に提供するまでに乗り越えた『4つの壁』
toshiblues
1
210
一人から始めたSREチーム3年の歩み - 求められるスキルの変化とチームのあり方 - / The three-year journey of the SRE team, which started all by myself
vtryo
7
5.8k
Tech Blog執筆のモチベート向上作戦
imamura_ko_0314
0
750
プロダクト開発、インフラ、コーポレート、そしてAIとの共通言語としての Terraform / Terraform as a Common Language for Product Development, Infrastructure, Corporate Engineering, and AI
yuyatakeyama
6
1.6k
Women in Agile
kawaguti
PRO
2
170
プロダクト価値を引き上げる、「課題の再定義」という習慣
moeka__c
0
210
アーキテクチャわからん、の話
shirayanagiryuji
0
170
Featured
See All Featured
How to Ace a Technical Interview
jacobian
276
23k
YesSQL, Process and Tooling at Scale
rocio
171
14k
Faster Mobile Websites
deanohume
305
31k
For a Future-Friendly Web
brad_frost
176
9.5k
Code Review Best Practice
trishagee
65
17k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
20
2.4k
Unsuck your backbone
ammeep
669
57k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Gamification - CAS2011
davidbonilla
80
5.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
30
2.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
Transcript
脆弱性の悪用からユーザーを守るために、 ベンダーが取り組むべきこと - Microsoft の学びの共有 垣内 由梨香 セキュリティ プログラム マネージャー
セキュリティ レスポンス チーム マイクロソフト コーポレーション 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口
[email protected]
2 ミッション:お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース)
• 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携 © Copyright Microsoft Corporation. All rights reserved.
信頼できるコンピューティング設立 セキュリティ開発ライフサイクル (SDL) 提唱 マルウェア保護センター を設立 Microsoft Security Response Center
設立 デジタル犯罪対 策センター設立 Operations Security Assurance 開始 セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を 採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース 開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起 動回数を減少 • 詳細なガイダンスの提供 月例セキュリティリリースの事前通知開始 ・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、 最初のCVEを採番 セキュリティ更新ガイド 開設 ・セキュリティ情報(MSxx-xxx) 番号を 廃止 ・CVE、更新プログラムを公開データ ベース化 2010 Microsoft Active Protection Program (MAPP) 開始 © Copyright Microsoft Corporation. All rights reserved. 3
© Copyright Microsoft Corporation. All rights reserved. 4
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©
Copyright Microsoft Corporation. All rights reserved. 5
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 悪用による 影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 6
• セキュリティ開発ライフサイク ル (SDL) • 既存の脆弱性の分析と研究 © Copyright Microsoft Corporation.
All rights reserved. 7
0 50 100 150 200 250 1 2 3 0
1 2 3 4 5 6 7 8 9 1 2 3 © Copyright Microsoft Corporation. All rights reserved. 8
• 脆弱性報奨金プログラム • 共同リサーチプログラム 17 報奨金対象 製品・サービス 15 億円 年間報奨金支払総額
341 名 年間報奨金受賞者 2200万円 1件あたりの最高金額 Microsoft 報奨金プログラム | MSRC © Copyright Microsoft Corporation. All rights reserved. 9
© Copyright Microsoft Corporation. All rights reserved. 10
課題 • 増大する修正対象の脆弱性に対す るリソース、優先付け • 高度な研究に対するリソース確保 • 複数のコンポーネントにまたがる 連携 ©
Copyright Microsoft Corporation. All rights reserved. 11
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©
Copyright Microsoft Corporation. All rights reserved. 12
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 脆弱性が悪用されるリスクが高い状態 © Copyright Microsoft
Corporation. All rights reserved. 13
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 緩和策を適用することで、悪用による影響を下げる ・想定される攻撃ベクターのブロック
・攻撃成功率の低下 ・エクスプロイト範囲の縮小 © Copyright Microsoft Corporation. All rights reserved. 14
緩和策名称 Windows 7 Windows 10 Kernel Pool Hardening 〇 〇
Kernel ASLR (Images) 〇 〇 Fonts (User mode Appcontainer) × 〇 NTVDM disabled × 〇 Kernel ASLR (full) × 〇 Kernel DEP × 〇 Kernel Pool Hardening (Extended) × 〇 SMEP × 〇 Global Safe unlinking × 〇 Improved ASLR entropy × 〇 © Copyright Microsoft Corporation. All rights reserved. 15
攻撃面の縮小 (Attack Surface Reduction) • 悪用された脆弱な署名済みドライバーの悪用をブロックする • Adobe Reader の子プロセスの作成をブロックする
• すべてのアプリケーションOffice子プロセスの作成をブロックする • ローカル セキュリティ機関サブシステムからの資格情報のWindowsをブロックする (lsass.exe) • メール クライアントと Web メールから実行可能なコンテンツをブロックする • 有病率、年齢、または信頼できるリスト条件を満たしない限り、実行可能ファイルの実行をブロックする • 難読化される可能性のあるスクリプトの実行をブロックする • JavaScript または VBScript のダウンロード済み実行可能コンテンツの起動をブロックする • 実行可能Office作成するアプリケーションのブロック • アプリケーションOffice他のプロセスへのコードの挿入をブロックする • 通信Officeプロセスの作成をブロックする • WMI イベント サブスクリプションによる永続化のブロック • PSExec および WMI コマンドから発生するプロセス作成をブロックする • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする • Win32 API 呼び出しをブロックOfficeマクロ • ランサムウェアに対する高度な保護の使用 Office サンドボックス保護 Microsoft Defender アプリケーションガード © Copyright Microsoft Corporation. All rights reserved. 16
課題 © Copyright Microsoft Corporation. All rights reserved. 17
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 悪用による 影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 18
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 脆弱性の悪用によるリスクの期間を短くする ©
Copyright Microsoft Corporation. All rights reserved. 19
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 期間を短くする 緩和策
公開 更新プログラム 公開 © Copyright Microsoft Corporation. All rights reserved. 20
マイクロソフトのセキュリティオペレーションから得られる 1 か月あたりのシグナル © Copyright Microsoft Corporation. All rights reserved.
21
Microsoft Active Protection Program (MAPP) マイクロソフトと、各国政府・セキュリティ業界との連携による脆弱性 悪用状況の把握と顧客保護 パートナー: ・各国政府機関 ・ナショナル
CERT ・セキュリティ製品ベンダー 連携内容: ・マイクロソフトの脆弱性情報の一般公開前提供 ・マイクロソフト製品の脆弱性悪用情報、テレメトリ ・マルウェア サンプル Microsoft Active Protections Program © Copyright Microsoft Corporation. All rights reserved. 22
Analyzing attacks that exploit the CVE-2021-40444 MSHTML vulnerability | Microsoft
Security Blog © Copyright Microsoft Corporation. All rights reserved. 23
© Copyright Microsoft Corporation. All rights reserved. 24
課題 協業範囲の偏り 古い製品の対応 企業組織の要求 テスト期間と品質 (定例外リリース) © Copyright Microsoft Corporation.
All rights reserved. 25
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 緩和策 公開
更新プログラム 公開 期間を短くする © Copyright Microsoft Corporation. All rights reserved. 26
0.12% © Copyright Microsoft Corporation. All rights reserved. 27
Top Routinely Exploited Vulnerabilities | CISA © Copyright Microsoft Corporation.
All rights reserved. 28
© Copyright Microsoft Corporation. All rights reserved. 29
© Copyright Microsoft Corporation. All rights reserved. 30
• 脆弱性や攻撃手法の詳細開示による、 セキュリティリスク、法的リスク • ドキュメントに必要な時間 vs. 迅速性 • 公開する情報量とサポート コストへ
の影響 • 間違った情報の伝播、それに よるサポートコストの増加 • 最新ではない情報の伝播 • 自動更新が有効ではない環境 へのアプローチ © Copyright Microsoft Corporation. All rights reserved. 31
None
© Copyright Microsoft Corporation. All rights reserved. 33
None
eurekaberry
phaya72
jhawthorn
operando
autifyhq
takabow
toshiblues
vtryo
imamura_ko_0314
yuyatakeyama
kawaguti
moeka__c
shirayanagiryuji
jacobian
rocio
deanohume
brad_frost
trishagee
eileencodes
ammeep
reverentgeek
davidbonilla
pedronauck
jcasabona
