DEF CON 25 聴講メモ

1 minute read

今更ですが、DEF CON 25に参加してきたのでメモを残しておく。

メインではないVillage(特定のテーマに特化したコミュニティ)のKeynote/Talkの中から、印象に残ったものを取り上げている。


How Hackers Changed The Security Industry (by @WeldPond)

  • 概要:
  • メモ:
    • VeracodeのCTO/Co-founderによる講演
    • US-CERT発足直後は、政府の硬直化した対応で脆弱性情報の取扱い(ベンダーへの連絡、パッチの適用後の確認等)がうまくいかなかった
    • 最初の脆弱性スキャナー(SATAN)の作者はSGIに勤務していたが、ハッカーだということで解雇された
    • BugTraq, DEFCONがハッカーのInformation Resourceになった
    • MicrosoftのSDLCやセキュアコーディングガイドラインはあったが、それだけではソフトウェアをセキュアにはできなかった
      • ハッカーマインドを持って、攻撃することでセキュアにすることが必要だった
      • 講演者はMSのために攻撃方法のコーチをした
      • MSのSDLCは業界標準、ISO27034になっている
    • 法律をやぶれとは言わないが、挑戦的なマインドは持ち続けてほしい

It’s Going To Get Worse Before It Gets Better - The Future of Recon Data Mining (by @tactical_intel)

  • 概要:
    • スライドなし
    • Recon VillageのKeynote
    • OSINTの歴史の振り返り + 今後の展望を語る
    • 面白いKeynoteだったけど、きちんとメモが取れておらず残念。。。
  • メモ:
    • Why OSINT?
      • free, pubcicly available
    • Recon: username, password, employee nameを収集できる
      • 講演者は世界有数の防衛企業が持つ上記情報をOSINTのみで収集したことがある
    • OSINT: MASINT, HUMINT, CULTINTなど様々な種類がある
      • Image Intelligence(IMINT):
        • 名刺、スマホ画面のキャプチャ(=> キャリアがわかる)など、対象人物がSNS等にアップロードした画像から・・・
          • パスワードからNW構成までわかる
    • 今後の課題: FakeNewsやポイゾニングデータから正しい情報を見分けなければいけない

Fortune 100 InfoSec on a State Government Budget (by @eric_capuano)

  • 概要:
  • メモ:
    • Profile
      • テキサス州公安局のSOC Manager
    • Your team is your foundation
      • Train & Spread knowledge
        • CTFへの参加させる
        • MOOCを活用する(Cybraryなど)
        • Conferenceに参加させる
        • ワーストケースのシナリオ演習を定期的にやる
          • DFIR Simulations
      • Lead, Don’t manage
    • Be less busy with this one simple trick
      • Reactive => Proactive
      • Know your actual threats
    • No executive support/budget?
      • Stop with the fear tactics
        • 脅すのではなく、どのような貢献をしているのか、価値があるのかを示すべき
    • SecOps on a Budget
      • 課題を解決するためのOSSがないか探してみるべき
      • 定期的にツールの見直しをすべき
      • OSS
        • SOC indient Management / Automation
          • TheHive
          • Texas DPSではTheHiveを実際に使ってる
        • AlientVault OSSIM, SIEMonster
        • Graylog, ELK stack, Grafana, OSSEC, ClamAV
        • OpenVAS, Nikto, Wapiti
        • PFSense, Endian
        • ModernHoneyNet
        • LogRhyhtm NetMonFree
        • Google GRR, Autopsy
        • Metasploit, SETK
    • Q&A
      • Q. OSSにはサポートの問題があるよね?
        • A. TheHiveのバグを発見したとき、Issueを投げたら48時間以内にバグフィックスされた。ベンダーより早い。いざとなれば自分で直せばいい。
      • Q. コマーシャルなプロダクトがOSSより強い領域は?
        • A. FW, IDS/IPS
      • Q. OSSを選定する基準は?
        • A. レピュテーションと更新頻度(どれだけ頻繁にコミットされているか)

When the Current Ransomware and Payload of the Day (CRAP of the day) Hits the Fan: Breaking the Bad News (by @investigatorchic & @Sidragon1)

  • 概要:
  • メモ:
    • セキュリティ担当が苦手なもの: コミュニケーション
    • エンドユーザー、中間管理職、経営陣など相手によって伝え方を工夫する必要がある
      • 何が相手によって重要なのか?を考えよう
    • 適切なコミュニケーションチャネルは?
      • イントラWebサイト、プレゼンテーション、メール、F2Fなどなど
    • エンドユーザー
      • 彼らの仕事にどのような影響があるのか伝える
      • WHATとWHYを入れる
      • Engament is KEY
        • Listen and investigate, even if you know it’s not problem
    • 中間管理職
      • Business processにどのような影響があるのか伝える
        • impact wihh depend on where they are
      • Be supportive
      • empathy is critical
      • Plan should include:
        • all stakeholders
        • recovery options
        • time frames
        • reduction of potential recurrence
        • clear statement of any uncertaines
    • 経営陣
      • Describe in general terms what/when happend
      • provide best/worst case sinario
      • provide consequences and uderlying cause of incident
      • CFO
        • numbers and meaningful as well as measurable metrics
      • Non-verbal cuesから相手の印象を読み取れ
    • Our No.1 jobs is to educate
      • educate, don’t adjudicate
      • learn what they know; trade back your knowledge

Updated: