Hardening 10 ValueChain惨敗してきた

#qpstudy 2015.11

Aki @nekoruri

Hardeningってなんぞ？

• 渡されたシステムを攻撃から守り切るセキュリティの競技

Hardeningってなんぞ？

• 渡されたシステムを攻撃から守り切るセキュリティの競技システム運用

• 「セキュリティ技術」だけに偏らない全般的なシステム継続の能力が問われる総合競技• 脆弱性調査・対応

• 障害調査・対応

• 性能チューニング

• 商品の在庫管理

• 広報・お詫び

• 社長の説得

Hardening 10 ValueChain

• 11/07,08 @ 沖縄県宜野湾市 沖縄コンベンションセンター

• 8時間耐久競技

• 10人×6チーム

• 複雑な競技環境 (20台)• 公開サーバ 8台

• 踏み台サーバ 6台

• 社内サーバ 5台

• ルータ 1台

• CentOS 12台

• Windwos Server 2台

• Windows 5台

• vyOS 1台

http://www.iij.ad.jp/company/development/tech/techweek/pdf/151112_2.pdf

精神と時の部屋

• たった8時間で炎上したサイトの一生を楽しめます。

11時 標的型攻撃12時 在庫管理アプリからの情報漏洩13時 DD4BC14時 Malverising15時 マルウェア再度活動16時 新卒採用受付からの情報漏洩

わがチームの基本戦略

• ビジネスとして当たり前のことをやろう• 脆弱かわからないサービスをリリースする

のはそもそもビジネスとしてありえない

• スタートダッシュに本気出し、開幕メンテぶっぱで安全性を確保「やられる前に塞ぐ」

• 漏洩事故を起こさず対応に力を入れる事で評価点と後半の売上を確保しに行く

スタートダッシュ

• 1時間のダウンタイムで固めるだけ固める

• 数分以内で分かりやすい侵入経路の阻止• パスワード変更

• auditdルール設定

• Sorry画面に切り替え

• 細かい設定はまず止めてから

↑ この発想が諸悪の根源（準備不足）

初手の失敗

• PC設定の不備でスタートダッシュに躓く• Sorry化に27分

• WordPressの保護に時間が掛かる• 開かない管理画面

• 不慣れなZIPファイル経由でのアップグレード

• WPのアップグレードに3時間

• 対象コンポーネントの取りこぼし• Tomcatに手が回らない、見れる人が足りない

• 結局なにも対策しないままの再オープン

焦り

後手の連続

• Windowsクライアントへの対応• とりあえずKaspersky入れる方針ではあった

• 結局16時くらいまでずるずる引っ張った

• Windowsが止まるとメール送受信が滞る

• 在庫問題• 初動が遅れている間に在庫数が改竄

• 調査に多大な時間が割かれる

• とっとと社長に聞けば良かった

• 事故に追い回される• スタートダッシュ戦略が完全に破綻

敗因1: チームビルディング

• チームビルディングの失敗• 3チームに分けて作業

• 全体の作業管理ができていなかった

• インシデント発生以後、必要な連携が取れず

• 意志決定者の不在• 対応方針を決めきれない

• 優先順位が決められない

敗因2: インシデント対応の不備

• 必要と判っている対応が全然進まない• 意志決定力の欠如により、全てが遅れる

• 例）13時半に必要とした連絡が結局できない

敗因3: 準備不足の積み重ね

• スタートダッシュ作業の作り込み• 資料を熟読し前日から当日朝まで時間を掛けていれば、より早く完璧

な守りが可能だった

• 作業環境の最適化不足• 踏み台Windowsの取り合い

ブラウザだけならXvncなどもあり得た

• メールやりとりの共有• 事前に枠組みを作っておくべきだった

終了時点での仕掛かり作業

• 漏洩事故の該当者への連絡• コーポレートサイトの侵入調査• 問い合わせ・新卒フォームのWAF対応• 改竄された在庫数の修正• EC全体が遅い問題の調査• vyattaの通信棚卸し• キーロガーの調査（おそらくBash）• WordPressプラグインアップグレード• 取られたWindowsクライアントの調査、封じ込め• なんかおかしいADの調査

良かった取り組み

• サービス再開後、しばらくは安定できていた• ※ ただし後手に回り始めるまで

• 戦略そのものは正しかったという認識

• （当然ながら）きちんと防げた攻撃も多い• Wordpressバージョンアップ

• ShellshockとかBindとか

• 踏み台Linuxの不正トラフィックの検知• Bashプロセスっぽいのでおそらくキーロガー？

なお間に合わなかった模様

きちんと準備して1時間でやりきれていれば……

マーケットプレイス

• 正直うまく活用できなかった• 結局Kasperskyだけ

• 守り切れなかった(Win10等)

• 気付いたときには遅かった• チームに不足しているスキルの拡充

• インシデント対応時の人手

• 買い占めという正義（他Tに使わせない）

今回のアイドルPepper

• rootパス読み上げちゃん（震え声）

• 声がたまに聞こえなかった

• 天の声が優しかった

https://twitter.com/MikumoConoHa/status/557495607326031872

感想

• 圧倒的な準備とコミュニケーション不足

• 外部サービスの活用の重要性

• 「リリース前に止める」戦略で、誰かもっと上手くやってみて欲しい。

• みんな次回(来年春？）参加しよう！