提案やコメントを歓迎します。 このフォーマットは完全に新しいものですが、すでにいくつかの試み( Kuwait 、 BlackHat 、 Confidence )があり、最終的にどうなるかはまだわかりません。
5月の休日にトルコで休むことは決してありませんでしたが、アフリカで働くことになりました:)
一言で言えば、南アフリカの首都ヨハネスブルグで5月7日から9日にかけて、セキュリティITWEBに関する国際的な展示会と会議が開催されました。 今年、私たちはそれに積極的に参加し、レポートを作成し、よく目にすることのないクライアントと話すことにしました。 私の同僚は、この地域の犯罪状況が増加したため、行くことを拒否したため、旅行はさらに魅力的であるように見えました。
第一印象
ホテルにチェックインしたときに最初に見たのはこれでした。 写真の品質で申し訳ありません-私は撮影のために手元にあったものを使用しました。
素晴らしい、新しいブローカー。 そして、私はアフリカでは子供たちが飢えていると聞きました...そしてマセラティとベントレーがいましたが、それはもうそれほど壮大ではありませんでした。
南アフリカの第一印象は、アメリカ、同じショッピングモール、同じ建物や道路、同じ数のアフリカアフリカ人と変わらないように見えることです。 しかし、私はまだ2日間、通りにこだわるのではなく
ITWEBはかなり大きなイベントです。 もちろん、これはRSAやBlackHatではなく、Infosecurityでもありませんが、出展者は50社以上になります。 この指標によると、展示会はヨーロッパの平均的な展示会よりもかなり大きくなっています。 カンファレンスはビジネス向けに設計されているため、多くのスタンドがどこから来ているかは明らかです。 出展者の約半数は有名な国際ブランド(RSA、Splunk、IBM、Kaspersky)であり、他の地元企業はコンサルタントおよび再販業者です。 ちなみに、技術図面で知られるSensepostが南アフリカに本部を構え、イギリスに2番目の事務所を開設していることに驚きました。
残念ながら、私は自分の演説以外に演説に出席しておらず、恐らく南アフリカのGrugqを除いて、超自然的なことは何も期待されていなかったため、プログラムで理解できることは何も言えません。
二日目
展示会の2日目に、私たちの会社と私が、特に当時ラスベガスで開催された「Hot Companies And Best Products Award」を受賞したというニュースに喜んでいた。
R&Dカテゴリープロフェッショナルオブザイヤーで金賞を受賞し、「競合他社がNet Optics、Cenzic、RedSeal、Norman、Application Securityであることを考えると、私たちの製品は「情報セキュリティとリスク管理」および「セキュリティソフトウェア」カテゴリーで銅賞を受賞しました。 IncおよびSAPでAfariaプラットフォームを使用します。
このイベントを祝うために、私はベルーガ展への訪問者を迎えました。 最初は人々は少し驚きましたが、熱心に休暇に参加しました。
全体として、この展示は特に印象的ではありませんでした。他の場所と同様、SIEMとさまざまな魔法の「サイバー攻撃およびAPTからの防止」が、提示されたソリューションの中で広まりました。 そのため、ある訪問者から私たちについてのこのようなレビューを聞いてうれしかったです。「まあ、少なくとも何か面白いもの、そうでなければサイバーな何かはどこでも同じです。」
報告書
レポートについて話す時間です。 今回は、聴衆が適切だったので、彼はあまり技術的ではありませんでした。 そして、私たちが最近調査している分野-SAPのインシデント調査と攻撃分析-は脆弱性に関するものではなく、まったく逆です:さまざまなログファイル、トレースを使用してこれらの脆弱性のトレースを検出する方法その他の特定のもの。 一般的なレポートについて説明します。
SAPセキュリティのトピックはこの地域にとってまだ新しいため、南アフリカの詳細を考慮して、スピーチの半分を一般的なことに費やす必要がありました。 たとえば、個々の数値は、今年開かれたSAPポートをインターネットでスキャンした結果に基づいて表示されました。 南アフリカでは、ルーターに関連するISの脅威が非常に多くあります。これらのデバイスの約20%が情報漏えいに対して脆弱で、5%が認証バイパスに対して脆弱です。 他のサービスについては、平均して、状況は世界の統計よりも約2〜3倍悪いように見えます(インターネット経由で提供される安全でないサービスについて話している)。
実際、レポートの主な論文は次のとおりです。「すべてから身を守ることはできませんが、攻撃を迅速に検出し、可能であれば迅速に対応するには、システムイベントを分析する必要があります。」
SAPシステムにとってこれが重要なのはなぜですか? まず、論文はどのシステムにも適用できます。 第二に、約6か月前、アノニムスがSAPの0日間の脆弱性を介してギリシャ財務省をハッキングし、インターネットで公開された秘密情報についてのニュースが騒がれました。 組織またはSAPからハッキングの事実に関する公式の確認が得られていないという事実にもかかわらず、このようなシナリオは可能性が高いと言っても過言ではありません。 最後に、第三に、SAPシステムから攻撃されていないことを本当に主張できる企業はいくつですか?
一方で、たとえイベントが発生したとしても、それが公開される可能性は低いです。 一方、監査の結果は、ごく一部の企業が攻撃の事実を検出できることを示しています。 ロギングのような単純なことでさえ、少数の人々が含まれています。 少し調査しましたが、結果は次のとおりです。約70%の企業がSAP用のHTTPログを構成していますが、これはデフォルトで構成されているためです。 他の雑誌に関しては、すべてがもっと悲しいです。 異なるログの割合:それぞれ、ABAPのセキュリティ監査ログ-10%、テーブルアクセスロギング-4%、メッセージサーバーログ-2%、SAPゲートウェイアクセスログ-2%。
これらの数字を見れば、ハッキングの試みの可能性を誰もが明確に把握できるとは考えにくいでしょう。 さらに重要なことは、ロギングが構成されていても、変更のためにアクセスできない場所で集中的に情報を収集するのはごくわずかであり、イベントを処理し、相関させる機能もあります。
SAPポータルおよびJ2EEアプリケーションに対する攻撃
特別な場合について。 このレポートでは、このアプリケーションはインターネットからのアクセス性があり、他のシステムへの接続があるため、SAP Portalに対する攻撃のみを詳細に調査しました。 実際、それは内部SAPリソースに対する攻撃のチェーンの最初のリンクです。
一般的に、攻撃は2種類の検出方法に分類されます。 1つは、ヘッダーが保存されている標準のHTTP要求ログで追跡できる単純な攻撃です。 2番目-POST要求に含まれ、標準ログに分類されない、より高度な攻撃。
2番目のタイプの攻撃を分析するための最も簡単なオプションは、すべてのリクエストの高度なロギングを設定することです。 ただし、この場合、CookieフィールドとJsessionidフィールド、およびフォームで送信されるパスワードなど、大量の不要な情報が書き込まれます。 また、安全ではありません。 当然、フィールドデータを保存しない設定があります。これはレポートで詳細に確認できますが、このPOSTリクエストのストリーム全体を分析するための対応する追加ツールがない場合、このソリューションは最適なオプションではありません。
しかし、POST要求を分析しない場合、それではどうでしょうか? 理想と呼ぶのも難しいいくつかの代替方法が示されています。 たとえば、間接的なイベントの分析を使用できます。
SAPポータルおよびWebDynproアプリケーションでは、すべてのデータがPOSTリクエストの巨大な「シート」で送信され、数百のパラメーターに到達し、ログ内のアクションはURLへのリンクで同じサービスにアクセスするように見えます。 つまり、一般的なケースでは、POSTリクエストを分析せずに何が起こっているかを理解することはできません。
これには、さまざまなトリックが思い浮かびます。 ポータルインターフェイスには、イベントログのレベルの変更やログの無効化、サーバーへのファイルのアップロードなど、重要なアクションの横にあることが多いさまざまなアイコンがあります。 攻撃者はこれらの両方を使用して、COOKIEハイジャックスクリプトを含むHTMLファイルを共有ディレクトリに読み込む、またはログを無効にしようとする攻撃を行うことができます。 このようなアクションにより、Webサーバーへの要求が作成され、対応するアイコンがロードされます。このアイコンはログファイルに明確に表示され、攻撃の事実を間接的に検出できます。
一般的なユーザーは、このようなアクションを実行するときに画像を読み込まないのが一般的です。なぜなら、それらは既にブラウザキャッシュに読み込まれているためです(初回を除く)。これにより、不正な呼び出しのみが表示され、攻撃の可能性について話すことができます。
当然、微妙なニュアンスや誤検知が多くあり、そのようなメカニズムを回避する方法もありますが、第一に、それが何であるかを知らなくても、それを回避することはほとんどありませんし、第二に、他の詳細と正しく組み合わせると、すべてのデータを保存しないように、完全なログの代わりに非常に優れたシステムをセットアップしたり、そのようなイベントがある場合のみ完全なログの記録を組み合わせたりすることができます。
一般に、このトピックは非常に新しいため、SAPには多くのオプションがあり、基本的なことだけを概説しましたが、おそらく同僚がConfidenceでのプレゼンテーション中に他のことについて話すでしょう。
PS
会議の後、私は世界で最高のサーフィンスポットの1つである美しいJ-Bayビーチを訪れ、少しリラックスすることにしました。アホウドリに食べられるまでイルカとサーフィンをすることができます。 私を撮影する人はいなかったので、通常は撮影の時間ではなかったので、小さな波のある空のビーチだけでした。
海岸では、雰囲気はとてもフレンドリーでリラックスしていて、食べ物はとても美味しくて安いので、世界に美しさがたくさんあるエジプトなどに行く理由がわかりません。
当然、南アフリカには犯罪があります。 たとえば、ヨハネスブルグの中心部は、原則として訪問することをお勧めしません。そこには警察がないため、人々は何の質問もなく殺されます。 最善のシナリオでは、ナイフで傷を負った衣服がなくなり、人生で何を強盗に会ったかを伝えることになります。
カンファレンスのレポートはこちらからダウンロードできます。オーストラリアからの次の投稿をお待ちください。