怪しいことしなければ、対象外になる？ならない？

Tor使ってたら即怪しい人になってしまうかもしれませんね・・・あらやだ。

Rule41がどのように更新されるか、

現在では、容疑の掛かった人が何らか技術的な方法で自身のコンピュータの存在場所を偽っていたりした場合、令状を取ることが難しい。今回の変更によって、その容疑者のコンピュータをハッキングするような命令が起こせるようになるというもの。

加えて、ボットネット対策として、温床となっている感染したコンピュータ５台以上に一度にハッキングすることが出来るようになる、というもの。従来は一台一台、令状を取って、という形で、対策が遅延する要因の一つとなっていたようだ。

以下記事では、最後の抵抗も出来なかった模様。

thehill.com

www.cnet.com

一方UKでは、IPBillが法律化される。ウェブ上での行動ログが取られ、それがSurveillanceの観点でアクセスされる状態にすることを、Authoritiesが会社側に要求できる力を持てるようになる。というもののようだ。このログをアクセスするのに特別な令状は不要で、政府関係であればアクセスできるというもの。

想像としては、たとえばiPhoneは英国では使えないか、暗号化部分が何らか解除された形でのみ使える形になるということもあるかもしれない。そうでなければログにアクセスできないから、という都合であれば。

techcrunch.com

www.bbc.com

ふむ。

どのベンダーも、エンドポイントセキュリティというアプローチにトレンドがシフトしてきている。Prevention (vs protection) 、Detection、Remediation（対策、に近いか）などのバズワードがよく使われている。このレポートに挙げられた製品・社名とそのメモは以下の通り。

Bromium - シグネチャベースでもホワイトリストベースでもない、高次のProtectionを提供。完全なエンドポイント製品が必要ない、ピンポイントで欲しいエンドユーザーにも提供可能と。

SentinelOne - 振る舞いベースのDetection、Preventionはまだ完成度を上げる必要があると。

Invincea - シグネチャではないPreventionを提供している唯一の会社であり、同時に振る舞いベースのDetection、アプリケーションブロックなどをメインで提供しているとこのこと。しかし設定によっては、ユーザーエクスペリエンスが満足に得られないとも。

PAN (Palo Alto Networks) - ネットワーク機器ではおなじみ、Trapsでエンドポイントセキュリティに手を広げている。マルウェアPreventionやブロックに強いが、クラウドプラットフォームのWildFireにつながっている必要があるという点が指摘されている。

IBM - 自社の技術であるBigFixやApexなどのインテグレーションによるRemediation提供が注目。脅威DetectionについてはCarbon Blackとのパートナーシップに依存しているとのポイントも。

ESET - SMBからエンタープライズ向けにターゲットをシフトしているところ。エンドポイント暗号化、Preention、自動Remediationなど。

Cylance - 次世代エンドポイントセキュリティの雄。顧客満足度が高く、エンドポイントの負荷も低いと。しかし提供範囲がピンポイント（その部分では非常に優れているが）のため、エンドユーザーにとっては他製品で補完が必要かとの指摘も。

Crowdstrike - Falcon Hostがそれにあたり、検知能力やエンドユーザーの反応良好と。検知だけでなく他製品が実現している分野にも手を広げ、競争力を高めようとしているとのこと。

Landesk - ITシステム管理（アプリケーション管理、パッチ管理、モバイル管理）から、エンドポイントセキュリティへの拡大。他製品とのパートナーシップなどで急成長か。

Intel Security (McAfee) - エンドポイントセキュリティの雄。AVだけでなく、プラットフォームとなっている。

Carbon Black - Confer社の買収が7月にあり、次世代エンドポイントの方向性を加速と。非常にバランスの取れたポートフォリオを実現しようとしているとのこと。

Sophos - エンドポイントスイートとして親和の高い製品群を展開しており、シグネチャ無しのセキュリティ提供を推進しているとのこと。

Symantec - こちらもエンドポイントの雄。Blue Coatを夏に買収しており、クラウドセキュリティやゲートウェイ（Web）市場への展開、エンドポイントセキュリティ戦略の拡大を図っていると。

Kaspersky Lab - Remediationや他セキュリティ機能をForresterは高く評価。基本は自社での成長であり、パートナーや買収による拡充でないところが特徴。

Trend Micro - Forresterによれば、市場で最も技術的な機能を提供しているプレイヤーである。特にエンタープライズ向けを意識した、短期・中長期的な製品ロードマップがポートフォリオにある。

参考はForrester ResearchのWave Endpoint Security Suitesレポート。

IoT Challenges - 

Authentication

Encryption - cryptographic is typically expensive in terms of procesing power & memory requirement

Updates

ICS

PLC コンベアなど産業機械の制御→DCS ある１工場、プラント規模の制御→SCADA より前進、分散拠点なども含む；

SCADAの３つのコンポーネント 

- endpoint: remote terminal unit (RTU)

- backend: data acquisition servers (DAS)

- user station: human-machine interface (HMI)

NIST SP 800-82 ICS Security

- Apply a risk management process

- Segment the network to place IDS/IPS at the subnet boundaries

- Disable unneeded ports

- Impelement least privilege

- Use encryption

- Patch management

- Monitor audit trails 

System designにおけるいくつかのThreatsについて

- Maintenance hook - バックドア、デバッグモードのような入り口をあけておくこと。

→ホストベースのIDSなどで検知、ファイル暗号化による機密データの保護、あるいは監査機能による検知が対策

- TOC/TOU - 処理途中での攻撃：Asynchronous attackとも。

  Race condition: 何らかの処理を間に実行させ、結果をコントロールしてしまう

  TOC/TOU: 処理の間に入って、何らかの変更を加えて結果をコントロールしてしまう

→重要な処理は分けない。チェックあるいはロックの実装による対策。