Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた

2,177 views

Published on

#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた

Published in: Technology
  • Be the first to comment

#qpstudy 2015.11 Hardening 10 ValueChainで惨敗してきた

  1. 1. Hardening 10 ValueChain 惨敗してきた #qpstudy 2015.11 Aki @nekoruri
  2. 2. Hardeningってなんぞ? • 渡されたシステムを攻撃から守り切るセキュリティの競技
  3. 3. Hardeningってなんぞ? • 渡されたシステムを攻撃から守り切るセキュリティの競技 システム運用 • 「セキュリティ技術」だけに偏らない全般的なシステム継続の 能力が問われる総合競技 • 脆弱性調査・対応 • 障害調査・対応 • 性能チューニング • 商品の在庫管理 • 広報・お詫び • 社長の説得
  4. 4. Hardening 10 ValueChain • 11/07,08 @ 沖縄県宜野湾市 沖縄コンベンションセンター • 8時間耐久競技 • 10人×6チーム • 複雑な競技環境 (20台) • 公開サーバ 8台 • 踏み台サーバ 6台 • 社内サーバ 5台 • ルータ 1台 • CentOS 12台 • Windwos Server 2台 • Windows 5台 • vyOS 1台
  5. 5. http://www.iij.ad.jp/company/development/tech/techweek/pdf/151112_2.pdf
  6. 6. 精神と時の部屋 • たった8時間で炎上したサイトの一生を楽しめます。 11時 標的型攻撃 12時 在庫管理アプリからの情報漏洩 13時 DD4BC 14時 Malverising 15時 マルウェア再度活動 16時 新卒採用受付からの情報漏洩
  7. 7. わがチームの基本戦略 • ビジネスとして当たり前のことをやろう • 脆弱かわからないサービスをリリースする のはそもそもビジネスとしてありえない • スタートダッシュに本気出し、 開幕メンテぶっぱで安全性を確保 「やられる前に塞ぐ」 • 漏洩事故を起こさず対応に力を入れる事で 評価点と後半の売上を確保しに行く
  8. 8. スタートダッシュ • 1時間のダウンタイムで固めるだけ固める • 数分以内で分かりやすい侵入経路の阻止 • パスワード変更 • auditdルール設定 • Sorry画面に切り替え • 細かい設定はまず止めてから ↑ この発想が諸悪の根源(準備不足)
  9. 9. 初手の失敗 • PC設定の不備でスタートダッシュに躓く • Sorry化に27分 • WordPressの保護に時間が掛かる • 開かない管理画面 • 不慣れなZIPファイル経由でのアップグレード • WPのアップグレードに3時間 • 対象コンポーネントの取りこぼし • Tomcatに手が回らない、見れる人が足りない • 結局なにも対策しないままの再オープン
  10. 10. 焦り
  11. 11. 後手の連続 • Windowsクライアントへの対応 • とりあえずKaspersky入れる方針ではあった • 結局16時くらいまでずるずる引っ張った • Windowsが止まるとメール送受信が滞る • 在庫問題 • 初動が遅れている間に在庫数が改竄 • 調査に多大な時間が割かれる • とっとと社長に聞けば良かった • 事故に追い回される • スタートダッシュ戦略が完全に破綻
  12. 12. 敗因1: チームビルディング • チームビルディングの失敗 • 3チームに分けて作業 • 全体の作業管理ができていなかった • インシデント発生以後、必要な連携が取れず • 意志決定者の不在 • 対応方針を決めきれない • 優先順位が決められない
  13. 13. 敗因2: インシデント対応の不備 • 必要と判っている対応が全然進まない • 意志決定力の欠如により、全てが遅れる • 例)13時半に必要とした連絡が結局できない
  14. 14. 敗因3: 準備不足の積み重ね • スタートダッシュ作業の作り込み • 資料を熟読し前日から当日朝まで時間を掛けていれば、より早く完璧 な守りが可能だった • 作業環境の最適化不足 • 踏み台Windowsの取り合い ブラウザだけならXvncなどもあり得た • メールやりとりの共有 • 事前に枠組みを作っておくべきだった
  15. 15. 終了時点での仕掛かり作業 • 漏洩事故の該当者への連絡 • コーポレートサイトの侵入調査 • 問い合わせ・新卒フォームのWAF対応 • 改竄された在庫数の修正 • EC全体が遅い問題の調査 • vyattaの通信棚卸し • キーロガーの調査(おそらくBash) • WordPressプラグインアップグレード • 取られたWindowsクライアントの調査、封じ込め • なんかおかしいADの調査
  16. 16. 良かった取り組み • サービス再開後、しばらくは安定できていた • ※ ただし後手に回り始めるまで • 戦略そのものは正しかったという認識 • (当然ながら)きちんと防げた攻撃も多い • Wordpressバージョンアップ • ShellshockとかBindとか • 踏み台Linuxの不正トラフィックの検知 • Bashプロセスっぽいのでおそらくキーロガー? なお間に合わなかった模様 きちんと準備して 1時間でやりきれていれば……
  17. 17. マーケットプレイス • 正直うまく活用できなかった • 結局Kasperskyだけ • 守り切れなかった(Win10等) • 気付いたときには遅かった • チームに不足しているスキルの拡充 • インシデント対応時の人手 • 買い占めという正義(他Tに使わせない)
  18. 18. 今回のアイドルPepper • rootパス読み上げちゃん (震え声) • 声がたまに聞こえなかった • 天の声が優しかった https://twitter.com/MikumoConoHa/status/557495607326031872
  19. 19. 感想 • 圧倒的な準備とコミュニケーション不足 • 外部サービスの活用の重要性 • 「リリース前に止める」戦略で、 誰かもっと上手くやってみて欲しい。 • みんな次回(来年春?)参加しよう!

×