OWASP AppSec APAC 2014

ユーザが世界のあらゆる10箇所から100秒以内に認証をすることを想像してみてください。ランタイムエージェントがどのように認証や他からの攻撃をブロックするための必要な情報を取り出すかを示します。

セキュリティ情報イベント管理(SIEM)ソリューションは、ネットワーク層での可視化に優れているが、ネットワーク上で動作しているアプリケーションに対しては最高に機能しても平凡な可視性にとどまっている。従来、アプリケーションがセキュリティログに関心を払うことなく設計・開発されていたのは、セキュリティログがセキュリティアナリストにとってブラックボックスであったという理由による。
本講演では、既存のアプリケーションから詳細なセキュリティログを収集するアプローチとしてランタイム・エージェント型のアプローチを説明し、セキュリティイベントにユーザプロファイルを作成して適用しリスクを削減した事例を紹介する。アプリケーション層のセキュリティイベントを可視化するのはソフトウェアが脅威に晒されていることを理解するのに多いに役立つが、ユーザの活動にひもづけるとより興味深いものになる。
よりセキュリティに関連するログを生成して、ランタイム・エージェントが実行可能な解決方法を提示するようにアプリケーションの改良が必要だがそのときの課題を論じる。既存のコードに含まれているビジネス要件の合うイベントを取得するような標準的な認証フレームワークを用いたアプリケーションにおいて、ログインする時からログインイベントを自動的に取得するエージェントベースのアプローチの許容について詳細に述べる。
結論として、アプリケーション層のイベントと実社会の監視シナリオを他のセキュリティを結び合わせる技術の相互の関係性について論じる。

Imagine: a user authenticates from ten places around the world-all in 100 seconds. We show how runtime agents can extract the information needed to block this and other attacks.

SIEM solutions have excellent visibility at the network layer, but have at best mediocre visibility into applications running on the network. Until now, if these applications were not designed and developed with security logging in mind, they were a black box to security analysts. In this talk we detail a runtime-agent based approach for gathering detailed security logs from existing applications and discuss use cases for correlating this information with other sources of security events to profile users and reduce risk. Visibility into application-layer security events is broadly important for understanding the threats faced by software, but becomes even more interesting when events can be tied to active users.
We discuss challenges involved in retrofitting applications to produce more security-relevant logs and show how runtime agents present a viable solution. We detail the capabilities of an agent-based approach ranging from automatically capturing login events in applications that use standard authentication frameworks to capturing business-specific events in proprietary code. We conclude with a lengthy discussion of correlation techniques for combining application-layer events with other security insights to address a number of real-world monitoring scenarios.