マース・チェン & デクスター・チェン【CODE BLUE SPEAKER インタビュー】
[Speaker interview, English follows]
防衛を考え直す-Active Directoryでのリスクの数値化
今回は「防衛を考え直す-Active Directoryでのリスクの数値化」の講演を予定されているマース・チェン(Mars Cheng 写真左)デクスター・チェン(Dexter Chen 写真右)氏とのインタビューをお届けします。
https://codeblue.jp/2022/talks/?content=talks_13
お二人とも、産業制御システム向けのセキュリティ・ソリューションを提供するTXOne Networksに在籍。脅威研究チームのメンバーとして活躍されています。マース・チェン氏は先に紹介したマルウェア解析ツールの講演にも登壇します。
講演のテーマは、Active Directory(AD) 環境における既存の攻撃手法の紹介とリスク評価モデルの提案です。講演概要を見ると実践的な内容であることがわかります。聴講者は、潜在的な攻撃を早期に発見するために、攻撃ベクターを列挙することで、すぐに行動に移せるとのこと。また、攻撃経路を列挙した後、リスク定量化モデルを適用し、防御作業の優先順位付けを行うことが可能だそうです。
さらに、リスクモデルに基づく戦略を共有することで、効果的かつ包括的な方法でリスク全体の低減にもつなげられると言います。
―― 発表されるテーマを始めたきっかけは何ですか?
Active Directory(AD)のセキュリティ侵害によるインシデントを数多く見てきたため、その防御に関する研究のアイデアを膨らませ始めました。防御側のほとんどがAD環境における攻撃ベクターとそれに対応するリスクについて十分な情報を持っていないことがわかりました。そこで、私たちはまずADの攻撃ベクターを可視化するためのインベントリーを作成しました。そして、その攻撃ベクターに基づき、リスクモデルを用いてリスクを定量化し、作業の優先順位付けを行うようにしました。
―― 研究の過程でどのような点で苦労しましたか?
リスクモデルを構築する際、主な課題は実用的なものにすることでした。そこで、定量化に使いやすいリスクマトリックス方式を選択しました。また、リスクモデルの要因定義も難題でした。リスクモデルを完璧に使いこなすためには、その定義が明確でなければならない。リスクモデルを実用化するために、膨大な時間をかけてアイデアを出し合い、可能な限りの選択肢を研究しています。
―― この講演に参加しようと思っている人たちに一言お願いします。
私たちは、防御側が潜在的な脅威を列挙するための攻撃ベクトル目録を公開する予定です。これにより、防御者は、発見された攻撃ベクトルについて、リスクモデルを用いてリスクを定量化し、どれが最も深刻なもので、最初に修正すべきかを明確に把握することができます。また、ADを効果的に防御するためのリスク低減策についてもご紹介します。
“Rethinking Defense - Risk Quantification for Active Directory”
―― How did you get started in the topic that you are presenting?
After seeing so many incidents from Active Directory compromised, we started to grow the research idea for Active Directory defense. We found that most defenders are not sufficiently informed about the attack vectors and corresponding risk in the Active Directory environment. So, we started by inventorying the Active Directory attack vectors for visibility. And based on the attack vectors we can use the risk model to quantify the risk and prioritize our work.
―― What were some of the obstacles in doing this research?
When building the risk model, the main challenge was to make it practical. So, we choose the risk matrix approach that can be easily used for quantification. Factors definition for the risk model was another obstacle we were facing. The definition has to be clear and reasoning so the risk model can be used flawlessly. We spend huge amounts of time discussing the ideas and researching possible options to make the risk model work in the practical way.
―― What would you say to the people thinking of attending this talk?
We will release the attack vectors inventory for defenders to enumerate the potential threat. Thus, defenders can use our risk model to quantify the risk for the discovered attack vectors and have a clear idea of which is the most serious one for fixing first. We will also share the strategy for the risk reduction that can be used to effectively defend our Active Directory.
世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」
インタビュイー
マース・チェン (Mars Cheng)
Twitter : @marscheng_
マース・チェン氏(@marscheng_)は、TXOne NetworksのPSIRTと脅威研究チームのマネージャーで、製品のセキュリティと脅威研究の調整を担当し、台湾のハッカー協会のエグゼクティブディレクターを務める。ICS/SCADAと企業向けサイバーセキュリティシステムの両方のバックグラウンドと経験を持つ。10以上のCVE-IDに直接貢献し、3つのScience Citation Index (SCI) 応用暗号ジャーナルに論文が掲載されている。TXOneに入社する前は、台湾国立サイバーセキュリティ技術センター(NCCST)でセキュリティエンジニアを経験。
Black Hat、RSA Conference、DEFCON、SecTor、FIRST、HITB、ICS Cyber Security Conference Asia and USA、HITCON、SINCON、CYBERSEC、CLOUDSECなどの国際サイバーセキュリティ会議で頻繁にスピーカーやトレーナーとして活躍している。HITCON (Hacks in Taiwan Conference) PEACE 2022、HITCON 2021の総合コーディネーター、HITCON 2020の副総括コーディネーターを務める。
English Profile
デクスター・チェン (Dexter Chen)
デクスター・チェン氏はTXOne Networkの脅威リサーチャーとして、主にペネトレーションテスト、レッドチーム、Active Directoryのセキュリティに取り組む。以前はトレンドマイクロのレッドチームの一員として、ラテラルムーブメントとオペレーションセキュリティに特化していた。
彼はHITCONトレーニング、サイバーセキュリティセンターオブエクセレンス(CCoE)、国防省など、複数のトレーニングで講師を務めた経験を持つ。
ラボで遊び、脆弱性を研究し、さまざまな攻撃手法を探求するサイバーセキュリティの愛好家で、現在OSCPとOSWEを保有している。
English Profile
インタビュワー
斉藤健一(さいとうけんいち)Kenichi Saito
元ハッカージャパン編集長。現在フリーライター。CODE BLUEをはじめ、セキュリティ業界を徘徊しています。日本ハッカー協会や企業のオウンドメディアなどでも活動。
Twitter : @hj_saito