NISTからランサムウェア等の感染からのデータ復旧に関するドキュメントがリリース（NIST SP 1800-11）

SP 1800-11

データの整合性：ランサムウェアやその他の破壊的なイベントからの回復

概要

企業は、破壊的なマルウェア、ランサムウェア、悪意のあるインサイダー活動、さらには重要なデータを変更または破壊する可能性のある正直な間違いというほぼ絶え間ない脅威に直面しています。これらのデータ破損イベントは、企業の評判、事業運営、および収益に重大な損失をもたらす可能性があります。

最終的にデータの整合性に影響を与えるこれらのタイプの有害事象は、電子メール、従業員の記録、財務記録、顧客データなどの重要な企業情報を危険にさらす可能性があります。組織は、データ整合性攻撃から迅速に回復し、回復されたデータの正確性と精度を信頼することが不可欠です。

NISTのNationalCyber​​security Center of Excellence（NCCoE）は、さまざまな情報技術（IT）エンタープライズ環境でのデータ破損イベントから効果的に回復する方法を調査するためのラボ環境を構築しました。NCCoEは、イン​​シデントの回復と調査をサポートするために、ITシステムの使用の監査とレポートも実装しました。

このNISTサイバーセキュリティ実践ガイドは、組織がデータ破損イベントの直後に行動を起こすためのテクノロジーを実装する方法を示しています。このガイドで概説されているソリューションの例は、標準のエンタープライズコンポーネント、およびオープンソースと市販のコンポーネントで構成されるカスタムアプリケーションとデータのデータ破損の効果的な監視と検出を促進します。

キーワード

事業継続; データの整合性; データ復旧; マルウェア; ランサムウェア

バックアップ

【転載】ATT&CK の入門：アセスメントとエンジニアリング

ATT&CK の概要: 評価とエンジニアリング:

ここ数週間、脅威インテリジェンス、検出と分析、および敵対エミュレーションのためにATT&CKを使用してATT&CKを始める記事を公開しました。Miniシリーズの第4部では、評価とエンジニアリングについて説明し、ATT&CKを使用して防御を測定し、改善を可能にする方法を示します。多くの点で、この投稿は以前のものに基づいているので、まだチェックしていない場合はチェックしてください!

このプロセスをよりアクセスしやすくし、他の投稿と共にフォローできるように、この投稿は洗練されたリソースの可用性に基づいて 3 つのレベルに分かれています。

• 多くのリソースを持っていない可能性がある人のためのレベル1、
• 成熟し始める中堅チームのレベル2
• より高度なサイバーセキュリティチームとリソースを持つ人のためのレベル3。

「評価」を始めるのは、最初は恐ろしいことに聞こえるかもしれません - 誰が評価されることを楽しんでいますか?— しかし、ATT&CK 評価は、セキュリティ エンジニアやアーキテクトに対して、脅威に基づくセキュリティの改善を正当化する、有用なデータを提供する大規模なプロセスの一部です。

1. あなたの防御が現在ATT&CKの技術と敵対者にどのように積み重ねしているかを評価し、
2. 現在のカバレッジで最も優先度の高いギャップを特定し、
3. 防御を変更するか、新しい防御を取得して、これらのギャップに対処します。

評価とエンジニアリングのプロセス。

評価とエンジニアリングのレベルは累積的であり、互いに構築されます。高度なサイバーセキュリティチームと考えても、レベル1から始め、より大きな評価を容易にするためにプロセスを進めることをお勧めします。

多くのリソースにアクセスできない小さなチームで作業していて、完全な評価を行うことを考えている場合は、しないでください。カバレッジを視覚化する ATT&CK 行列の色分けされたヒートマップをすぐに作成するという考えは魅力的ですが、ATT&CK で使用することに興奮するよりも、燃え尽きる可能性が高くなります。代わりに、小規模から開始: 1 つのテクニックを選択して、そのテクニックのカバレッジを決定し、適切なエンジニアリング機能強化を行って検出を開始します。この方法を開始することで、より大きな評価を実行する方法を練習できます。

ヒント: どの手法で始めるのか分かりませんか?AtT&CK と脅威インテリジェンスを使用して出発点を選択する方法についてのヒントについては、Katie のブログ記事を参照してください。

テクニックを選んだら、そのテクニックのカバレッジが何であるかを把握したいと思うでしょう。独自のルーブリックを使用できますが、カバレッジの次のカテゴリから始めることをお勧めします。

• 既存の分析では、この手法が検出される可能性があります。
• 分析ではこの手法は検出されませんが、適切なデータ ソースを取得して検出します。または
• 現在、この手法を検出するために適切なデータソースを利用しているわけではありません。

ヒント: 最初に開始するとき、スコアカテゴリをシンプルに保ちます:あなたはそれを検出することができますか?

カバレッジの測定を開始する優れた方法は、すでにテクニックをカバーしている可能性のある分析を探す方法です。これは時間がかかるかもしれませんが、多くのSOCには、最初に設計されていなかったとしても、ATT&CKにマップできるルールと分析がすでにあります。多くの場合、このテクニックの ATT&CK ページまたは外部ソースから取得できる、その技法に関する他の情報を取り込む必要があります。

例として、リモート デスクトップ プロトコル (T1076) を見ていると、次のアラートがあります。

1. ポート 22 を介するすべてのネットワーク トラフィック。
2. AcroRd32.exe によって生成されたすべてのプロセス。
3. tscon.exe という名前のプロセス。
4. ポート 3389 を経由するすべての内部ネットワーク トラフィック。

リモート デスクトップ プロトコルの ATT&CK テクニック ページを見ると、ルール #3が "検出" ヘッダーの下で指定された内容 #4と一致することがすぐにわかります。

リモート デスクトップ プロトコルの検出テキスト。

あなたの分析がすでに技術を拾っているなら、素晴らしいです!そのテクニックのカバレッジを記録し、新しいカバレッジを選択してプロセスを再開します。しかし、この問題を扱っていない場合は、この手法の ATT&CK ページに記載されているデータ ソースを調べ、新しい分析を構築するために適切なデータを既に取得しているかどうかを確認します。あなたがそうなら、それは1つを構築するだけの問題です.

しかし、適切なデータソースを利用していない場合は、どうすればよいでしょうか。ここがエンジニアリングの場です。この手法の ATT&CK ページに記載されているデータ ソースを出発点として見て、各データの収集を開始する難しさと、それらを使用する方法の有効性を測定します。

ヒント: 頻繁に引用されるデータ ソースは、多くの ATT&CK 技術を可視化する Windows イベント ログです。イベント ログを使用する際に適したリソースは、マルウェア考古学の Windows ATT&CK ログ チート シートです。

プロセス コマンド ライン パラメーターで検出できる 244 の ATT&CK 技法のうち 97 件 (Windows イベント 4688 を使用して取得可能)。

次のレベルに進む: 1 つのテクニックで停止しない — このプロセスを数回実行し、各実行の各戦術で新しいテクニック (または 2 つ) を選択します。ATT&CK のカバレッジのヒートマップを生成する場合に最適な ATT&CK ナビゲーター を使用して、結果を追跡します。プロセスに慣れたら、データソース分析を実行し、取得するデータソースを使用して検出できる手法のヒートマップを考え出します。ここで始めるのに役立つリソースには、オラフ・ハートンのATT&CKデータマップ・プロジェクト、DeTT&CT、およびMITRE独自のATT&CKスクリプトなどがあります。

レベル2

このプロセスに慣れ、さらに多くのリソースにアクセスできれば、分析を拡張して、ATT&CK マトリックスのかなり大きなサブセットに広げるのが理想的です。さらに、より高度なカバレッジ スキームを使用して、検出の忠実度も考慮する必要があります。ここでは、SOCのツールまたは分析がテクニックに警告する可能性のある低、一部、または高い信頼性のいずれかにカバレッジをバケットすることをお勧めします。

最終的な評価の例を示します。

ヒント: カバレッジを評価する際に、正確なポイントを気にしないでください — 評価の目標は、一般的に技術を検出するエンジニアリング機能があるかどうかを理解することです。より正確に見るため、敵対エミュレーション演習を実行することをお勧めします。

この拡張された範囲により、分析の分析が少し複雑になり、各分析は以前の1つの手法とは対照的に、多くの異なるテクニックにマッピングされる可能性があります。さらに、手法が分析対象の場合は、分析の忠実度もいじめたいと思うでしょう。

ヒント: 各分析について、キーイングの内容を見つけて、ATT&CK にマップする方法を確認することをお勧めします。たとえば、特定の Windows イベントを調べ、分析を行う場合があります。この分析対象を特定するには、Windows ATT&CK ロギング チート シートまたは同様のリポジトリでイベント ID を検索します。ATT&CK Web サイトを使用して分析を分析することもできます — 下の図は、ポート 22 の検出の検索例を示しています。

ATT&CK サイトでポート 22 を検索

考慮すべきもう 1 つの重要な側面は、一覧に記載されているグループとソフトウェアの例と技術です。これらは、敵対者がテクニックを使用した手順、または特定の方法を記述しています。多くの場合、それらは既存の分析でカバーされる場合とカバーされない可能性のある技術のバリエーションを表し、技術をどれだけうまくカバーしているかの信頼度評価にも考慮する必要があります。

Windows 管理者の共有の例セクション

分析を見る以外に、ツールの分析も開始します。これを行うには、各ツールを反復処理し、それぞれに個別のヒートマップを作成し、次の質問をすることをお勧めします。

• ツールはどこで実行されますか?ツールが実行されている場所 (境界や各エンドポイントなど) によっては、特定の戦術で良くも悪くもなります。
• ツールはどのように検出されますか?「既知の悪い」指標の静的なセットを使用していますか?それとも、何か行動をしていますか?
• ツールはどのデータ ソースを監視しますか。ツールが監視するデータ ソースを知ることで、検出する可能性のある手法を推測できます。

これらの質問に答えるのは難しいかもしれません!すべてのベンダーがこの種の情報を公開しているわけではないし、多くの場合、それを探すときにはマーケティング資料を見つけることが起きます。一般的なカバレッジパターンに関する幅広いストロークをペイントすることを選択し、詳細に悩まされてあまりにも多くの時間を費やしないようにしてください。

カバレッジの最終的なヒートマップを作成するには、ツールと分析のすべてのヒートマップを集約し、各テクニックで最高のカバレッジを記録します。これを行うと、改善に向けて進みます - 最初のステップとして、先ほど述べた分析開発プロセスのより高度なバージョンをお勧めします。

1. 短期的に注目する優先度の高いテクニックのリストを作成します。
2. 適切なデータを取得して、対象となる手法の分析を開始します。
3. 分析の構築とカバレッジ チャートの更新を開始します。

現在のカバレッジから開始し、分析を追加し、それに応じてカバレッジを更新します。

ツールのアップグレードを開始することもできます。ドキュメントを分析する際には、カバレッジを増やすために使用できるオプションのモジュールを追跡します。ツールの追加モジュールが見つからない場合は、代替データ ソースとして使用することもできます。たとえば、各エンドポイントに Sysmon をインストールできない場合がありますが、既存のソフトウェアでは、他の方法ではアクセスできない可能性がある関連するログを転送できる可能性があります。

次のレベルに進む: これらの変更の実装とカバレッジの向上を開始したら、次のステップは、敵対エミュレーション、特に原子テストを導入することです。新しい分析を試作するたびに、一致するアトミックテストを実行し、それをキャッチしたかどうかを確認します。あなたがした場合は、素晴らしいです!見逃した場合は、見逃したものを確認し、それに応じて分析を調整します。また、ATT&CK ベースの分析でサイバー脅威を検出するに関する論文を参照して、このプロセスに関する詳細なガイダンスを参照することもできます。

レベル 3

より高度なチームを持つ人にとっては、評価を増幅する素晴らしい方法は、軽減策を含める方法です。これにより、ツールや分析を見るだけで、検出した内容から SOC 全体を見るだけの評価が進みます。

テクニックを軽減する方法を特定するには、SOC の各ポリシー、予防ツール、およびセキュリティ コントロールを調べ、そのポリシーを ATT&CK の手法にマップし、その手法をカバレッジのヒートマップに追加します。最近の軽減策のリストラでは、各軽減策を実行し、その対応先の手法を確認できます。軽減策を使用する手法の例を次に示します。

ブルート フォース (左) と Windows 管理者の共有 (右) の軽減策。

評価を拡張するもう 1 つの方法は、SOC で働く他の人にインタビューをしたり、非公式にチャットしたりすることです。これは、ツールの使用方法を理解するうえで役立つだけでなく、他の方法では考慮しない可能性のあるギャップや強みを強調するのに役立ちます。次のような質問の例を挙げられます。

• 最も頻繁に使用するツールは何ですか?彼らの長所と短所は何ですか?
• 表示されたいデータ ソースを確認できないデータ ソースは何ですか。
• 検出の観点から見た最大の長所と短所はどこにありますか?

これらの質問に対する回答は、先ほど作成したヒートマップを強化するのに役立ちます。

例: 以前に ATT&CK 関連の機能が多数あるツールを見つけたが、そのツールを使用して Windows レジストリを監視している場合は、そのツールのヒートマップを修正して、その使用方法を適切に反映する必要があります。

同僚と話す際に、以前に作成したツールのヒートマップを確認します。ツールが提供しているカバレッジにまだ満足できない場合は、新しいツールを評価する必要があります。各新しいツールのカバレッジのヒートマップを考え出し、それを追加するとカバレッジを強化する方法を確認します。

ヒント: 特に十分なリソースがある場合は、代表的なテスト環境を立ち上げて、ツールをライブでテストし、ツールがどこでうまく機能しなかったか、そして追加が既存のカバレッジにどのような影響を与えるのかを記録できます。

さらに、より多くの緩和策を実装することで、ツールや分析への依存度を低くすることができます。ATT&CK の軽減策を確認して、実際に実装できるかどうかを測定します。このプロセスの一部として、検出ヒートマップを参照してください。検出の良い仕事をしている手法を防ぐ高コストの緩和策がある場合、それは良いトレードオフではないかもしれません。一方、分析の記述に苦労している手法に対して低コストの緩和策を実装できる場合は、それらを実装することがリソースの適切な使用である可能性があります。

ヒント: 検出を削除して軽減策を使用する場合は、常に可視性の損失の可能性を比較検討してください。軽減策や制御がバイパスされ、イベントが見逃されにくい場合は、ある程度の可視性を確保してください。検出と緩和の両方を効果的なカバレッジのためのツールとして使用する必要があります。

最後に:評価とエンジニアリングが適合する場所

防御を評価し、エンジニアリングを指導することは、ATT&CK を開始する際に最適な方法です: 評価を実行すると、現在のカバレッジがどこであるかを理解できます。

長期的には、毎週、あるいは毎月評価を実行していると思い描くべきではありません。代わりに、前回の評価内容に関する実行中のタブを維持し、新しい情報を取得するたびに更新し、定期的に敵対エミュレーション演習を実行して結果をスポットチェックする必要があります。ネットワークの時間の経過と経過に伴う変更と収集されたものは、以前にテストされた防御の有効性を低下させる意図しない結果をもたらす可能性があります。ATT&CK を活用して防御が実際の脅威にどのように積み重なっているのかを示すことで、防御姿勢をより深く理解し、改善点を優先することができます。

ATT&CKユースケースの可視化

©2019ザ・ミトレ株式会社すべての権利が予約されています。一般公開が承認されました。分布無制限 18–3288–12.

【転載】ATT&CK の入門：脅威インテリジェンス

ATT&CK の概要: 脅威インテリジェンス:

昨年、Mediumブログを始めて以来、ATT&CKcon 2018、2019年の計画、ロードマップのクールな視覚化などのトピックについて、かなりの数の投稿をあなたと共有してきました。しかし、お話ししたように、私たちは一歩下がって、多くの皆さんの質問に焦点を当てるのに役立つことを認識しました: どうすればATT&CKを使い始めるのですか?

このことを念頭に置いて、脅威インテリジェンス、検出と分析、敵対エミュレーションと赤いチーミング、評価とエンジニアリングの4つの主要なユースケースに対する質問に答えることを目的とした新しいミニシリーズのブログ記事を見つめています。あなたがそれを見ていない場合は、これらのユースケースに基づいてコンテンツを共有するためにウェブサイトを再編成し、私たちの希望はこれらのブログ記事がそれらのリソースに追加されます。

ATT&CK は、脅威に基づく防御に向けたい組織に役立つ可能性があるため、チームの高度化に関係なく、開始方法のアイデアを共有したいと考えています。これらの投稿をそれぞれ異なるレベルに分割します。

• 多くのリソースを持っていない可能性がある人のためのレベル1、
• 成熟し始める中堅チームのレベル2
• より高度なサイバーセキュリティチームとリソースを持つ人のためのレベル3。

今日は、それが最良のユースケース(冗談、私のチームの残りの部分)なので、脅威インテリジェンスについて話すことによって、このシリーズを開始。昨年の夏、ATT&CK を使ってサイバー脅威インテリジェンスを高める方法について概要を説明し、この記事では、その上に基づいて、実践的なアドバイスを紹介します。

レベル 1

サイバー脅威インテリジェンスは、敵対者が何をするのかを知り、その情報を使用して意思決定を改善することです。脅威インテリジェンスに ATT&CK を使用する必要がある 2 人のアナリストがいる組織では、1 つの方法は、関心のあるグループを 1 つ作成して、ATT&CK で構造化された行動を見ることです。以前にターゲットを絞ったユーザーに基づいて、当社のウェブサイトにマッピングしたグループからグループを選択できます。また、多くの脅威インテリジェンス サブスクリプション プロバイダーも ATT&CK にマップするため、その情報を参照として使用することもできます。

例: 製薬会社の場合は、検索バーまたはグループページで検索して、APT19 が貴社のセクターをターゲットにしたグループの 1 つであることを確認できます。

「医薬品」の検索 APT19グループの説明

そこから、グループのページを表示して、(マップしたオープンソースのレポートのみに基づいて)使用した手法を確認して、グループの詳細を知ることができます。あなたがそれに精通していないので、テクニックに関するより多くの情報が必要な場合は、問題ありません - それはATT&CKのウェブサイト上にあります。この手順は、ATT&CK Web サイトで個別に追跡する、グループを使用してマッピングした各ソフトウェア サンプルに対して繰り返し実行できます。

例: APT19 で使用される方法の 1 つは、レジストリ実行キー/スタートアップ フォルダ です。

では、脅威インテリジェンスの全体のポイントであるこの情報を実行可能にする方法を教えてください。これは私たちのセクターをターゲットにしているグループであり、我々は彼らに対して守りたいので、我々のディフェンダーとそれを共有してみましょう。この場合、ATT&CK の Web サイトで、テクニックの検出と軽減を開始するためのアイデアを確認できます。

例: APT19 が使用した特定のレジストリ実行キーについて、防御者に知らせてください。ただし、変更して別の実行キーを使用する場合もあります。この手法の検出アドバイスを見ると、環境で予期しない新しい実行キーについてレジストリを監視することをお勧めします。これはあなたのディフェンダーとの素晴らしい会話になります。

レジストリ実行キー/スタートアップ フォルダテクニックの検出アイデア

要約すると、脅威インテリジェンスに ATT&CK を使用する簡単な方法は、関心のある 1 つの敵グループを見ることです。彼らが使用したいくつかの行動を特定することは、彼らがそのグループを検出しようとする方法についてあなたの擁護者に知らせるのに役立ちます。

レベル2

敵対者に関する情報を定期的に確認している脅威アナリストのチームがある場合、次のレベルのアクションは、他のユーザーが既にマップしたものを使用するのではなく、自分で ATT&CK にインテリジェンスをマップすることです。組織が行ったインシデントに関するレポートがある場合は、ATT&CK にマップする優れた内部ソースとして使用することも、ブログ記事のような外部レポートを使用することもできます。これを簡単にするために、単一のレポートから始めることができます。

例: ATT&CK ( https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html ) にマップされた FireEye レポートのスニペットを次に示します。

何百ものテクニックを知らないときにATT&CKにマップしようとすると、威圧的になることは分かります。これを支援するために従うことができるプロセスを次に示します。

1. ATT&CK — ATT&CK の全体的な構造(戦術(敵対者の技術的目標)、テクニック(目標の達成方法)、手順(テクニックの特定の実装)を理解してください。はじめにページと哲学のペーパーをご覧ください。
2. 動作を見つける — 敵の行動は、敵の指標 (IP アドレスなど) だけではなく、より広い方法で考えます。たとえば、上記のレポートのマルウェアは「SOCKS5接続を確立する」とします。接続を確立する行為は、敵対者が取った行動です。
3. 動作を調べて - その動作に慣れていない場合は、さらに調査を行う必要があります。この例では、少しの研究では、SOCKS5がレイヤ5(セッションレイヤ)プロトコルであることを示しています。
4. 動作を戦術に変換する — 敵対者の技術的な目標を考慮し、適した戦術を選択します。良いニュースは、エンタープライズATT&CKで選択する12の戦術が存在することです。SOCKS5 接続の例では、後で通信への接続を確立すると、コマンドと制御の戦術に該当します。
5. 動作に適用されるテクニックを理解する - これは少し難しいかもしれませんが、分析スキルとATT&CKウェブサイトの例では可能です。当社のウェブサイトでSOCKSを検索すると、標準非アプリケーション層プロトコル(T1095)というテクニックがポップアップ表示され、テクニックの説明を見ると、これが私たちの行動に合っている可能性があります。
6. 結果を他のアナリストと比較する - もちろん、他のアナリストとは異なる動作の解釈があるかもしれません。これは正常であり、ATT&CK チームでは常に発生します。ATT&CK の情報マッピングを別のアナリストと比較し、違いについて話し合うことを強くお勧めします。

2 人のアナリストがいる CTI チームにとって、ATT&CK に情報をマッピングすることは、組織の要件を満たすために最も関連性の高い情報を確実に得るための良い方法です。そこから、ATT&CK マップの敵対者情報を防御者に渡して防御を伝えることができます。

レベル 3

CTI チームが高度なチームである場合は、ATT&CK に詳細な情報をマップし、その情報を使用して防御方法に優先順位を付けることができます。上記のプロセスを実行すると、内部情報と外部情報の両方を ATT&CK (インシデント対応データ、OSINT からのレポート、脅威インテルサブスクリプション、リアルタイムアラート、組織の履歴情報など) にマッピングできます。

このデータをマップしたら、グループを比較し、一般的に使用される手法に優先順位を付けるために、いくつかのクールなことを行うことができます。たとえば、以前に ATT&CK Web サイトでマッピングしたテクニックで共有した ATT&CK ナビゲーターからこのマトリックス ビューを使用します。APT3 でのみ使用されるテクニックは青で強調表示されます。APT29 でのみ使用されるものは黄色で強調表示され、APT3 と APT29 の両方で使用されるものは緑色で強調表示されます。(すべては、マップした一般に公開されている情報のみに基づいており、これはそれらのグループが行ったことのサブセットにすぎません)。

APT3 + APT29 テクニック

組織の最も脅威に基づいて、関心を持つグループと手法を置き換える必要があります。上記のように独自の Navigator レイヤーを作成するために、上記のマトリックスを作成するための手順のステップバイステップガイドと、Navigator の機能の概要を示すビデオ チュートリアルを紹介します。

レイヤーの比較のステップ バイ ステップ チュートリアル ナビゲータを紹介するビデオとレイヤーの比較方法を説明する

その後、情報を集約して、一般的に使用される手法を判断し、ディフェンダーが何を優先するかを知るのに役立ちます。これにより、テクニックを優先し、ディフェンダーが検出と緩和に焦点を当てるべきものを共有することができます。上記のマトリックスでは、APT3とAPT29が組織に対する脅威が高いと考えられる2つのグループであった場合、緑の技術は、軽減と検出方法を決定する最優先の優先順位かもしれません。我々の擁護者がCTIチームに防衛のためのリソースをどこに優先順位付けすべきかを把握する必要がある場合は、この情報を彼らが始める場所として彼らと共有することができます。

当社の擁護者が検出できる内容(今後の投稿で取り上げる)の評価を既に行っている場合は、その情報を脅威について知っていることをオーバーレイすることができます。あなたが気にしているグループがそれらの技術を使用し、それらを検出できないので、これはあなたのリソースに焦点を当てるのに最適な場所です!

あなたが持っているデータに基づいて敵対者を観察したテクニックを引き続き追加し、頻繁に使用される技術の「ヒートマップ」を開発することができます。ブライアン・ベイヤーと私はSANS CTIサミットで、MITREキュレーションとレッドカナリアキュレーションデータセットに基づいて異なる「トップ20」技術を考え出した方法について話しました。ATT&CK のテクニックをマッピングするこのプロセスは完璧ではなく、バイアスを持っていますが、この情報は敵対者が何をしているのかを明確に把握するのに役立ちます。(このスライドデッキでのバイアスと制限の詳細を読むことができます。

CTI に ATT&CK を使用しようとする上級チームにとって、さまざまなソースを ATT&CK にマッピングすることで、敵対者の行動を深く理解し、組織の防御に優先順位を付けたり、情報を提供したりすることができます。

【転載】Google Earthやストリートビューがない場合の代替策

No option for Street View or Satellite imagery? There are a lot of options to use! Check out our new @OsintCurious blogpost! #osint #osintcurious https://t.co/A44eHU3m9C Quoted tweet from @OsintCurious: When there is no Google Earth or Street View, what can you do? osintcurio.us/2020/09/28/whe…: No option for Street View or Satellite imagery? There are a lot of options to use! Check out our new @OsintCurious blogpost! #osint #osintcurious https://t.co/A44eHU3m9C

Quoted tweet from @OsintCurious:

When there is no Google Earth or Street View, what can you do? osintcurio.us/2020/09/28/whe…

----

居住している国以外の国で調査を行う場合は、ソーシャルメディアを利用して、特定の場所がどのように見えるかを確認できると便利です。

Google Earth、Bing's Birds Eye View、Sentinel Hubなどのツールを使用して衛星画像やストリートビューを提供することはできますが、画像がまったくないか、本当に古い場所に出くわす可能性があります。
衛星画像やストリートビュー画像を見つけるオプションがない場合、どのようなオプションがありますか？

幸いなことに、さまざまなWebサイトを介してすべての動きを共有している多くの人々がいます。そして、それらのサイトは、関心のある場所の（より最近の）画像を見つけるのに役立つ可能性があります。それを見つけるためにいくつかの興味深い場所をまとめました。

フェイスブック

Facebookの検索バーを使用して、関心のある場所を入力します。左側のメニューで[場所]カテゴリを選択して、国、地域、都市、または物理的な場所（レストランや観光地など）を検索します。
その場所で撮影された写真やビデオがある場合は、検索結果に表示されます。
場所の名前をクリックすると、その他の情報（営業時間やイベントなど）が表示されます。

Facebookで「場所」を検索する

特定の場所で撮影された投稿、写真、またはビデオを特に探している場合。検索バーに場所の名前を入力し、カテゴリ「投稿」、「写真」、または「ビデオ」を選択して、フィルタ「タグ付きの場所」を使用します。投稿、写真、またはビデオのタグ付けに使用する場所の名前を入力します。（フィルタリングしたいときに場所が結果に表示されないが、その特定の場所のFacebookページがあることがわかっている場合は、Base64 / JSON手法を使用してフィルタリングします。この手法については1つで読むことができます。ここに私たちの以前のブログの）。

左：投稿を検索、Middel：写真を検索、右：ビデオを検索

誰かが実際にその場所にアクセスしなくても、その場所にタグ付けされた投稿、写真、またはビデオをアップロードできることに注意してください。

関心のあるエリアの近くにFacebookの場所があったとしてもわからない場合は、OSINTCombineのFacebookの場所検索エンジンを使用してください。
右側の地図で場所を検索します（または左側のボックスに座標を入力します）。メーター範囲を選択し、「検索」を押します。その特定の場所の近くにあるすべての場所のページのリストがリストに表示されます。

OsintCombineのFacebookロケーション検索

Facebookページに十分な画像が見つかりませんか？Facebookの場所がInstagramの場所でもあるかどうかを確認します。これを行う方法は次のとおりです
。Facebookの場所を見つけてID番号をコピーします（URLの最後に表示されるか、ソースコードで「id」を検索します（これにはパラメーターが含まれます））。

オランダ、アムステルダム市のFacebookロケーションページ

次に、IDをコピーして、次のURLに貼り付けます（「PasteIDHere」をIDに置き換えます）。

https://www.instagram.com/explore/locations/PasteIDHere

これで、アムステルダムのInstagramページを見ることができます。

もちろん、Instagramの場所がFacebookの場所である可能性があるかどうかを確認することもできます。Instagramの場所のID（場所のURLの最後に表示）をコピーして、「facebook.com/」の後ろに貼り付けます

オランダ、アムステルダム市のInstagramロケーションページ

これは、場所が何らかの形で接続されている場合にのみ機能します。したがって、すべてのFacebookの場所がInstagramの場所にリンクされているわけではありません。しかし、それは間違いなく試してみる価値があります！

インスタグラム

Instagramを検索するには、アカウントでログインするのが最適な場合があります。上部の検索バーを使用して、探している特定の場所を検索します。場所がある場合は、検索結果に場所であることを示すピンアイコンが表示されます。結果をクリックして、その場所でタグ付けされた上位9件の投稿を表示し、さらに下にスクロールして、他の最近の投稿を表示します。

ドロップアイコンの付いた「ニューハンプシャー」は、それが場所であることを示します

古い投稿を見たいですか？たとえば、何らかの理由で破壊される前の場所の様子の投稿はありますか？OsintCombine Instagram検索エンジンを使用して、Instagram上の場所の古い投稿を検索します。

OsintCombineのInstagramロケーション検索

右または左のボックスで場所を検索します。その特定のInstagramの場所のURLをコピーして、[写真の検索：]ボックスに貼り付けます。投稿を見たい日付を選択してください。（Instagramは2011年8月にライブ配信されているため、その日付より前の投稿はありません）。
結果ページが表示されたら、その特定の日付の写真を表示するために、必ず[最新]セクションまでスクロールしてください。

別のオプションは、特定の国または都市にどのような場所があるかを調べることです。Instagramにログインし、https： //www.instagram.com/explore/locations/に移動します。これは、Instagramの既知の場所のほとんどの概要です。
関連する投稿を表示するには、関心のある場所をクリックしてください。

Instagram.com/explore/locations

Facebookと同じように。ある場所に投稿にタグを付けるために、投稿にタグを付けるために物理的にそこにいる必要はありません。

YouTube

YouTube動画にはGPSの場所がありませんが、タイトルや説明に場所の名前が含まれている場合があります。
YouTubeの検索バーを使用して、興味のある場所に関連する動画があるかどうかを確認します。
たくさんの結果が得られますか？「ダッシュカム」、「ウェブカメラ」、「ドローン」などの単語と検索を組み合わせて、道路や空からの特定の映像を誰かが持っているかどうかを確認します。

YouTubeでリオプレトダエヴァ（アマゾン川）のドローン映像を検索する

Snapchat

Snapchatはプラットフォームを少し開放しました。map.snapchat.comを使用すると、GPSによって場所にタグ付けされた公開可能なスナップを表示できます。ほとんどのスナップは24時間しか「ライブ」ではありませんが、関心のある領域の映像を見つけることができる場合があります。
スクロールしてマウスを動かし、ズームインします。

Map.snapchat.com

ツイッター

Twitterはテキストに基づいていますが、画像をツイートにアップロードしたり、ツイートとしてアップロードしたりすることもできます。興味のある場所にタグ付けされたツイートの検索は、Twitter検索バーを使用して見つけることができます。
次の検索を使用して、特定のGPS位置でタグ付けされたメディアアイテムを見つけます（注意：コンマの間にスペースを入れないでください！）：

geocode:longitude,latitude,radius filter:media

例えば; バルセロナから半径50km以内のツイートを検索する場合、検索は次のようになります。

最新のツイートに興味がある場合は、必ず「最新」を選択してください。特定の日付に興味がありますか？検索バーから右にある3ドットメニューをクリックし、[詳細検索]を選択して正確な日付を入力します。

レビューサイト

特定の場所を探している場合は、レビューサイトまたはチェックインサイトが役立ちます。たぶん、人々がFourSquareでチェックインし、飲み物を飲んでUntappdにログインし、Tripadvisorで場所を確認し、Yelpでビジネスを確認した場所などがあります。それらのプラットフォームでクイック検索を実行して（または、関心のある特定の領域で人気のあるサイトを確認して）、関心のある場所のメディアを誰かが共有していないかどうかを確認してください。

ドローン画像

ドローンは、徒歩や車両ではカバーできない可能性のある場所を飛行します。したがって、人々がドローンの映像をアップロードするプラットフォームを見ると、より良い/他のビューを提供するのに非常に興味深いかもしれません。Travelwithdrone.com、Sensefly 、またはDronestagramをチェックしてください。また、YouTubeなどのビデオプラットフォームをチェックして、あなたの場所のドローン映像を誰かがアップロードしたかどうかを確認することを忘れないでください。

ダッシュカム

Mapillaryは、ダッシュカムの映像を取得する上でおそらくベストショットです。彼らはかなりカバーしています！たとえば、ドイツのハノーバー。ドイツでは、どこでもストリートビューを利用できるわけではありません。ハノーバー（右側に表示）にはいくつかありますが、Googleはほとんど市の境界で停止していることがわかります。Mapillaryは、街の外の多くの道路もカバーしています（左側に表示）。

左：Mapillary、右：Google

ウェブカメラ

あなたの興味のある地域には、そこにあるものは何でもライブストリーミングするウェブカメラがある可能性があります。Worldcam.eu、Insecam.org、Earthcam.com、Webcamtaxi.com、または他の多くのサイトのいずれかなどのWebサイトをチェックして、興味のあるものをカバーしているかどうかを確認してください。

Microsoft Flight Simulator

Bellingcatの調査員として働いているGiancarloFiorellaは、調査目的でMicrosoft FlightSimulatorを使用する方法に関するすばらしいブログ投稿を共有しました。ゲームのビジュアルは非常に優れており、詳細であるため、ストリートビューや衛星画像が利用できない特定の領域を非常によく見ることができます。

幸運を！

うまくいけば、上記の名前のソースの1つが、調査をさらに進めるのに役立つ可能性があります。
本当に役立つ別の素晴らしい情報源を見つけましたか？以下にコメントを残して、あなたの知識を共有してください。そうすれば、私たち全員があなたから学ぶことができます:-)！

【転載】NSAがセキュアな多要素認証を利用するためのガイドラインを公開

NSAがセキュアな多要素認証を利用するためのガイドラインを公開 Selecting Secure Multi-factor Authentication Solutions [PDF] media.defense.gov/2020/Sep/22/20…: NSAがセキュアな多要素認証を利用するためのガイドラインを公開

Selecting Secure Multi-factor Authentication Solutions

[PDF] media.defense.gov/2020/Sep/22/20…

バックアップ

【転載】東証の障害、富士通はケシカラン!～一国の証券取引所のシステムとしてはやはり運用管理のずさん感はぬぐえない～

東証の障害、富士通はケシカラン!

品質どうなってんだ。

全然関係ないですが、cf.takeover.on_panicというパラメータについてNetApp社のサイトを調べました。

すると、リリース日が違うけどタイトルが同じな2つのマニュアルを見つけました。

富士通や東証の人が信じていた挙動

https://megalodon.jp/2020-1021-2016-08/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1210206

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

Part number: 215-07985_A0

May 2013

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} on enables immediate takeover of a panicked node. This is the default value. off disables immediate takeover of a panicked node. If you disable this option, normal takeover
procedures apply: if a node panics and stays down without sending messages to its partner for 15
seconds, the partner then automatically takes over the failed node.

→ オフでも15秒後には切り替わるよ!

実際の挙動

https://megalodon.jp/2020-1021-2017-57/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1368831

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

October 2020 | 215-08524_B0

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} If the cf.takeover.on_panic option is set to on, a node panic will cause an automatic takeover. If the cf.takeover.on_panic option is set to off, a node panic will not cause an automatic takeover.
You should not turn this option off unless you are instructed by technical support to do so.

→ オフだと切り替わらないぞ! オフにするな!

【転載】資格を保有しているからと言ってプロフェッショナルな行動ができるとは限らない。CISSPしかり、情報処理安全確保支援士しかり。。。

CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた: CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた