chikoblog

やってみたことの掃溜め

Micro Hardening:Enterprise Editionを受講してきました!

トレーニング セキュリティ ホワイトハッカーへの道

この記事は,マイナビ Advent Calendar 2019 12日目の記事となります.

※本記事は講師の方にネタバレにならない程度なら記事にしていいと言われているのでふんわりとした内容となっています。

Micro Hardening:Enterprise Editionとは

「様々な攻撃からECサイトを45分間守りきれ!最大の売上を上げろ!」をコンセプトにしたセキュリティトレーニングです!

どんなことをやるのか

  • 与えられたECサイトのサーバを様々な攻撃から守り、制限時間内に最大の売上を目指してサイトを運用をする。
  • サイトの監視と防御に集中することで、攻撃対処の実践経験を効率的にトレーニングする事ができる。
  • ECサイト(サーバ)を与えられ、1日で演習を4セット経験する事ができます。各セットは全て 同じ攻撃シナリオで行われるため、セット毎に振り返りができ、何を見落としたか?自分の取った行動や対策が有効だったか?さまざま な角度から確認検証ができ、さらに復習⇒定着まで、極めて短時間に密度の濃いスキルアップを行えます。

まぁすべて以下のサイトに書いてあります笑 www.gsx.co.jp

受けてみた感想

同じ会社のアプリが得意な人1名、そのほかインフラ屋さん3名の計4名でトレーニングに参加しました!

当日の役割分担はざっくりこんな感じです!

①ログを監視する人
②サーバの設定の確認・変更をする人
③ セキュリティの設定をする人
④Chikoなんかいろいろしてる

ネタバレにならない程度に図にするとこんな感じ f:id:Chiko_gorilla:20191212163344p:plain

ゴリラが様々な攻撃をしてECサイトを壊しに来ますので
それを防御していくのがこのトレーニングでやることです。

上記した通り4セット経験する事ができ、すべて同じ攻撃です。
45分がたつと作業していたサーバはなくなり作業前のサーバに戻るループものみたい設定でトレーニングが進みます。

First Attack

まず、おのおのが環境の理解に努めました、
どんなアプリを使っているのか?必要なログはどこにあるかのか?
必要なログはそもそも取れているか?などなど…

私はループものなので
次回の対策のために役に立てばと思いどんな攻撃があったかメモするようにしておきました。

Fast Attackはこんな感じで何もできないうちに終わってしまいました…

Second Attack

環境の理解も少しだけできたので、
どんな脆弱性があるとかどんな攻撃を受けているかがわかるものが出てきました。

それの対処とセキュリティの強化を図りました。

そのなかでこんなやり取りがありました。

踏み台からSQLインジェクションされてるんですが…

踏み台からも攻撃受けてるなら踏み台のセキュリティも見ないとですね

ちょっと待ってください...chikoさん…何か知ってます?

いつのやつですか?

5分くらい前ですね

……それ…僕です…

この辺りからのチームの役割分担
①ログを監視する人
②サーバの設定の確認・変更をする人
③セキュリティの設定をする人
ECサイトに攻撃をする人(本来不要) ← Chikoが独断で行う

f:id:Chiko_gorilla:20191212171317p:plain

Second Attackはチームメンバーを裏切る形で終わり迎えました。

Third Attack

脆弱性とその対応もまとまり、より良いセキュリティ設定が可能になりました。
チームメンバーもやることが固まり、作業もスムーズに対応することが可能となりました。

いつものような珍事(身内からの攻撃)もありましたが
ほとんどの攻撃は防げるようになっていました。

僕もただただ攻撃していただけではないので、
いろいろな脆弱性の発見もできチームに貢献してThird Attackは終了しました。

この後、講師の解説がありどんな攻撃がされているかがわかりLast Attackへ移ります。

Last Attack

もうここまでくればどんな攻撃がいつ来るかもわかっているので
対応の優先度を決めすべての攻撃を防ぎまくるだけです。

なので、ここまでくると終盤やることがなくなってしまったりしましたね。

最後は僕も何も攻撃できず少々寂しい気持ちになってしまいました。

結果はほぼ満点でこのトレーニングを終わることができました!

まとめ

チームで作業をおこなうので
いつ何を作業したかの連携は非常に大切なトレーニングでした。

私みたいなことをやるとチームが混乱してしまいますのでやめましょう。
SQLインジェクションダメ!絶対!

基本中の基本である以下のようなことが大切だと再度気づかせてくれるいいトレーニングでした。

  • 作業の記録
  • 作業内容の共有
  • オペミス時の復旧手順
  • サービス稼働状況の監視・調査
  • ログの監視・調査
  • 脆弱性を放置しない
  • SQLインジェクションしない…

興味がある方は是非参加してみてはどうでしょうか?
セキュリティ意識高まりますぞ!