Black Hat毎年、Black Hat で多数の情報セキュリティ専門家とともに実現する大規模なネットワークは、セキュリティ コミュニティが自らの主張をどれだけ実践しているかを確認する絶好の機会を提供します。
今週、このハゲタカが Black Hat セキュリティ オペレーション センター (SOC) のリーダー、James Pope から学んだことに基づくと、「私の言うことは聞くが、私のすることは聞かない」というのが多くの参加者のやり方のようです。
暗くなった雰囲気の中で、テクノ音楽が鳴り響き、プロジェクタースクリーンには「ハッカー映画」の場面が映し出されているなか、ポープ氏は、ブラックハットWi-Fiネットワークで、セキュリティコミュニティが犯すべきではないセキュリティ上のミスを数多く目撃したと考えている。
ブラックハット セキュリティ オペレーション センターの脅威ハンターがトラフィックを監視しています - クリックして拡大
ポープ氏は、電子メール、ファイル、さらにはパスワードなど、大量の平文データが流通しているのを確認したと述べた。ポープ氏のSOCが所属するネットワークオペレーションセンター(NOC)は、SASEプロキシブラウザのトラフィックがオープンに送信されていること、LDAPがインターネットに公開されていること、Webトラフィックに暗号化されていないBasic認証が使用されていること、そして最も重要な点として、有名な商用VPN製品に潜在的な欠陥があることにも気づいた。
ポープ氏によると、名前が明かされていないVPNは、ブラックハットネットワークに接続している膨大な数のユーザーのGPS座標を漏らしていたという。その数は非常に多いため、同氏はカンファレンスの終了時に同社に開示通知書を提出する予定だと述べている。
「どこかの設定が一般的に誤っているだけかもしれません」とポープ氏は指摘し、実際には技術的な問題ではない可能性を示唆した。いずれにせよ、Corelightのテクニカルマーケティングエンジニアリング担当ディレクターは、念のため情報を開示する義務があると私たちに語った。
今年の Black Hat ネットワークは並外れたものでした。約 13,000 台のユニークなワイヤレス クライアントが接続し、トラフィックはピーク時に 3.16Gbps に達し、5 日間のイベント全体で 7,500 万件の DNS クエリが発生しました。
その規模のネットワーク、特にブラックハットと呼ばれるイベントのネットワークでは、サイバー犯罪者がうろつく可能性もある。ポープ氏もそのことを認め、「通常のネットワークでは、どんな攻撃も脅威だ」と述べ、「ブラックハットの攻撃は違う」と語った。
クラスの参加者がマルウェアをテストしたり、従来から疑わしいコマンドを実行したり、ブースでのプレゼンテーションが巧妙になっている可能性があります。あるいは、情報セキュリティ会議で不正なトラフィックを合法的に使用している例を思いつく限り空欄に記入してください。
NOC のまとめの講演で共有されたデータによれば、Black Hat ネットワークが構築された 5 日間で 265 万件の脅威が検出されたが、そのすべてが「Black Hat のプラス面」によるものではないと Pope 氏は語った。
深淵は見つめ返す
Black Hat のネットワーク トラフィック、特に暗号化されていないトラフィックからわかることが 1 つあるとすれば、それは、セキュリティは必ずしも容易ではなく、業界の専門家にとってもそうではないということです。
「サイバーセキュリティ企業として私たちがこれをやっているのであれば、企業もそうすべきだ」とポープ氏は会議の監視体制について語った。
とはいえ、中規模企業には、先週Black Hat NOCに常時20名ほど配置されていたような脅威ハンターで部屋を埋め尽くす予算はありません。私たちはその仕事に憧れるわけではありません。
- ブラックハットネットワークオペレーションセンターでは、ボランティアがオタクの天国で働いている
- ブラックハットに参加して、自分のPCに北朝鮮のマルウェアが入り込んでいた人達に声援を送ろう
- ブラックハットNoCを運営し、マルウェアを自由に蔓延させる男たち
- ソフトウェアのイノベーションは以前とは違っており、モクシー・マーリンスパイクはアジャイルのせいだと非難している。
SOCの守護者は、未知のものを探し出し、積極的に行動することができます。例えば、カンファレンスで議論されたSSHのセキュリティ問題を検出するための新しいルールをコーディングすることを決めた時のように、とポープ氏は言います。脆弱性が悪用された事例は検出されませんでしたが、SOCの脅威ハンターの1人がそのようなツールを構築する時間があったという状況は、1人か2人のセキュリティチームでは再現不可能でしょう。
ポープ氏はさらに、「チケットの売り上げを上げるのに苦労している状態では、革新はできない」と付け加えた。
今週、熱心な脅威ハンターたちの厳しい目が情報セキュリティ業界に向けられたとき、彼らは全く同じミスを、しかも数多く目にしました。これは既に問題だと認識されているはずです。Black Hatのネットワークトラフィックは、ポープ氏の発言の口調から判断すると、明らかなことの一つに過ぎません。
「セキュリティは自らの責任で管理する必要がある。」®
