やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

大和SEC×神戸脆弱性診断の会:紫秋 Purple Autumn

日記 IT

大和SEC&神戸脆弱性診断の会主催の勉強会に行ってきました。
9月17日9月18日9月22日とKali Linuxと戯れていたのは、
これのためです。


今回の題材はPurple Teaming(パープルチーム)。
https://yamatosecurity.connpass.com/event/93526/
セキュリティにおける、攻撃側をRed Teaming(レッドチーム)、
守る方をBlue Teamingブルーチームといい、
その間を取り持つ役割といったところでしょうか。


内容はやられサーバ、Kali Linux、OSSEC(厳密にはWAZUH)で手を動かしながら、
攻撃と防御を体験してグループワーク(自分は下記画像の6グループ)するというもの。
これ、普通にやったら最低でも攻撃:1日、防御:1日はかかりそう。
Kali Linuxの準備してる時点でめっちゃ頭使うだろうなと思って、
開始前に糖分系の飲み物を買っていきましたが、楽勝で飲み切りました。
お腹いっぱいになれる、非常に内容の濃い勉強会でした。


講演資料は上記にアップされるかもしれませんが、手元に自分メモしてたので、
いつも通り、記憶が新しいうちに整理&晒してみます。


(1)オリエンテーション
・会場説明とか参加者の自己紹介とか
参加者の年齢層が若い!私、かなり年寄りな方かも(苦笑)


・パープルチームとは?
人によって定義が違うが、だいたいこんな感じ。
 ・レッドチーム:攻撃する人(脆弱性診断やペンテストやる人に相当)
 ・ブルーチーム:システムを守る人(SoCとか情シスに相当)
 ・パープルチーム:レッドとブルー両方を経験している人。レッドとブルーの仲介者。


・レッドチームとブルーチームの目的と課題
いずれも組織のセキュリティを高めることを目的としているが、
お互いの気持ちがわからず、協力関係にならないことが多い。
【例】エゴ、費用、テクニックを教えたくない etc

そもそもセキュリティはキリのない話。
とりあえず、できることから取り組むしかない。


Team!=Teaming
Teaming=診断・攻撃


ペネトレーションテスト(侵入テスト・ペンテスト・ペネトレ
脆弱性を使って実際にシステムに侵入できるかのテスト(脆弱性診断とは違う)。
PCI-DSSに準拠しないといけない組織は年に1回受けなければならない
(世のPCI-DSS準拠組織はちゃんとできてるんだろうか・・・!?)。
実際にリスクが見える反面、システムを壊す可能性もある(実施の際には、テスト環境必須だなあ・・・)
【例】標的型メールを使って社内LANに侵入できるか? ソーシャルハッキングできるか? etc

要はシステム・人間含めて手段を問わず、侵入ができるかをテストする。


・パープルチームアセスメントが必要なところ
すべての会社/組織
ブルーチームのある(CIRTがある)会社
ブルーチームのレベルを上げたい組織


・キルチェーンを見とくべし
・パープルチームをより知りたい場合はSANS 599などを受講するとよい




(2)攻撃演習
Kali Linuxを使って、やられ環境の仮想マシンを攻撃する。
ポートスキャン(nmap)、WP系の攻撃(wpscan)、MetaSploitなどをフル活用して、
フラグをゲットしましょうというもの。
Kaliとやられ環境いずれもメモリをめちゃめちゃ使うので、
それなりの端末をこさえる必要がある。
自分の端末は物理4GBのメモリなので、Kaliだけでいっぱいいっぱい。
途中からやられ環境はスタッフさんで準備いただいたVMを利用。
攻撃内容はどこまで書いていいかわからないので割愛。




(3)防御演習
(2)を踏まえて、オープンソースのIDSを使いながら防御策を検討する。
単に防御するのではなく、対応優先度・被害を受けた場合の対応も求められる。


・OSSEC
https://www.ossec.net/
DeepSecurityの検知エンジンにも使われている。
管理用のWebUIにXSSがあってイケてない(直る予定もない)。


・WAZUH(ワーズと読むらしい!?)
https://wazuh.com/
2015年にOSSECからフォークしたツール。
OSSEC・OpenSCAP・ElasticSearchが統合されている。
Vuls統合の話があるとかないとか!?




(4)成果発表・質疑応答など
・模範解答のほか、xml-rpc.phpを使って1リクエストで大量の試行ができる模様。
https://www.mbsd.jp/blog/20151112.html


・WAZUHにはElasticSearchが使われているが、ElasticSearchはアップデートの頻度がハンパない。
 →実運用で使うには課題が多そう。OSSECを知る意味で使うという段階か。


(5)その他
OWASP Kansaiのシールの色は、青と赤の次が準備中らしい。