Cisco Japan Blog

Hardening Project 2020 H3DX @フルオンライン開催 参加レポート

1 min read



11月13日-14日の 2日間に渡って、Hardening Project 2020 H3DX が開催されました。Hardening Project は、Web Application Security Forum (WASForum) が定期的に開催しているイベントで、シスコは 2016 年よりスポンサーとして参画しています。 今回は、新型コロナウィルスの影響により、初めてフルオンラインでの開催となりました(図 1)。オンライン開催ということもあり、今大会は過去最大の参加人数での競技開催となりました!

[図1 今回オンラインでの開催となったHardening Project]

[ 図 1 今回オンラインでの開催となったHardening Project ]

Hardening Project とは?

シスコは 2016 年より、「衛る技術」の価値を最大化することを目指す、このセキュリティプロジェクト、“Hardening Project” にスポンサーおよびマーケットプレイスとして参画しています。

他のセキュリティ競技では、技術力に特化した CTF (Capture The Flag) などが有名ですが、Hardening Project はセキュリティに関心のある参加者が競技チームを結成して、疑似環境において脆弱性が内在する EC サイトを堅牢化 (Hardening) しながら売上を伸ばす、新しいセキュリティ競技です。初日は Hardening Day としその競技を終日行い、2 日目は Softening Day として振り返りや表彰会を行います。

ルールとしては、競技者は 8-9 名ほどのチームで架空の EC サイトを運用し、運営チーム扮するサイバー攻撃集団 (kuromame6) からの洗練された攻撃を防ぎつつビジネスの最大化を目指して競い合い、最終的に見込み販売力が一番高いところがグランプリとなります。

そのため、EC サービスが攻撃者に落とされない様に衛りながら、顧客からのメール問合せに対応したり、在庫の補充をしたり、情報漏洩やサービス停止時には記者会見を開いたり、攻撃キャンペーンや脆弱性を発見したら JPCERT/CC などに情報提供したり、実際の業務にとことん忠実です。また、各チームの売上は常にリアルタイムでスコアボード (図 2) で表示され、競技者はそれを見て衛りつつ、売上をあげる必要があります。

[図2 リアルタイムにサイトに表示されるスコアボード]

[ 図 2 リアルタイムにサイトに表示されるスコアボード ]

また面白いことに、仮に情報漏洩をしてしまっても適切な役員報告(図 3 )を行うことができれば評価対象となります。競技と言えど、リアルな設定になっており、非常に勉強になります。

[図3 Hardening Day 競技中での役員報告の様子(オンライン)]

[図 3 Hardening Day 競技中での役員報告の様子(オンライン)]

 

リモートツール (Discord , Web 会議, Guacamole) を使用したオンライン開催

今大会は新型コロナウィルスの影響により、初めてフルオンラインでの開催という今までにない新しい取り組みの Hardening Project となりました。大会の運営等は今回 Discord(図 4)を使用して行われていました。

[図4 Discordでのやりとりの例]

[ 図 4 Discordでのやりとりの例 ]

運営と競技者間は Discord に加えて、Web 会議を使用してコミュニケーションを実施しておりました。

競技中での我々シスコ内では、普段の業務から使いなれている Webex(図 5)を使用してコミュニケーションをとり、リアルタイムに競技者環境への攻撃及び脅威に対して対応しておりました!

[図5 Webex でコミュニケーションをとる、シスコ(左上から)私、小林、瓜倉、坂川]

[ 図 5 Webex でコミュニケーションをとる、シスコ(左上から)私、小林、瓜倉、坂川 ]

また、様々なツールを活用しながら競技を進行していく必要がある為、使用する画面数もかなり必要となるため、図6の例の様に複数のディスプレイとデバイスを活用して競技に臨んでおりました。

[図6 Hardening 競技中でのPC体制図の例 ]

[ 図6 Hardening 競技中でのPC体制図の例 ]

今大会、競技者が使う環境として Apache Guacamole (図 7) が使用されました。Apache Guacamole はWeb ブラウザ経由で遠隔にある環境へ接続することができる OSS です。そのため、Web ブラウザがあれば、リモートで特別なソフトウェアを設定せずに、遠隔の Windows や Linux の競技環境へアクセスする事ができます。シスコでも dcloud やハンズオントレーニングなどで環境にアクセスする際、使用されている事が多く、非常に便利です。

[図7 Guacamole イベント時での使用方法 ]

[ 図7 Guacamole イベント時での使用方法 ]

マーケットプレイスとは?

EC サイトを構成する約 20 台の端末群 (Windows サーバ、Linux サーバ [CentOS, Ubuntu]など) には、あらかじめ脆弱性のある OS やアプリケーションなどが含まれおり、また競技者には前日まで EC サイトの環境は伝えられておらず、限られた時間の中で効率的な対策を講じる必要があります。そこで登場するのがマーケットプレイス(企業からの参加)です。

マーケットプレイスは様々なセキュリティ企業や IT ベンダーが参加しており、EC サイトを防御するために必要なセキュリティ製品/ソリューションや、インシデント レスポンス支援やコンサルティングなど人材の派遣などのようなサービスを販売します。競技参加者は、自分たちのチームに足りない部分や強化したい部分については、実際のセキュリティ運用と同じく外部のリソースを活用することができます。

今回の Hardening Project (Business Objective)において、シスコは過去の大会同様、ネットワークを衛る IPS(Intrusion Prevention System)製品として 次世代 Firewall & IPS: Firepower Threat Defenseを、エンドポイントを守る EDR(Endpoint Detection and Response)製品として AMP for Endpoints  を提供させていただきました(図 8)。

[図8 各チームに配布したソリューション説明資料]

[ 図 8 各チームに配布したソリューション説明資料 ]

今大会もおかげさまで、多くのチームからご用命をいただくことができました!(年々、落札金額も上がっており、非常に感謝です…!)

グランプリを受賞されたチーム (これで 大会連続で弊社ソリューションご購入チームのグランプリ受賞!) の皆様を始め、導入いただいたチームの皆様から、Firepower Threat Defense や AMP for Endpoints に対する称賛だけでなく、親身になった相談対応 (Discordを介して) に対し、多くのお褒めの言葉を頂戴することができ、参加者一同競技後、非常に達成感がありました!

そして今大会からはベンダーではなく個人に表彰される、MVV(Most Valuable Vendor) 賞に弊社小林が受賞いたしました!MVV に選んで頂いた、参加者チームの皆様には、この場をお借りしまして御礼と深謝を申し上げます..!m(__)m

[図9 今大会 MVV賞を受賞したシスコ小林]

[ 図9 今大会 MVV賞を受賞したシスコ小林 ]

 

では、ここから今大会、Firepower Threat Defense や AMP for Endpoints が実際にどのように活躍したのかを解説したいと思います。

次世代 Firewall & IPS : Firepower Threat Defense (Cisco Secure Firewall)

Firepower Threat Defense (以下 Firepower) は、最も一般的に使われている IPS エンジンである Snortpopup_icon をベースにした、次世代 Firewall & IPS & Malware 対策のセキュリティ製品です。Layer 2/3/4 の情報だけでなく、アプリケーション情報やユーザ認証情報等も含めた Layer 7 の情報をベースにした Firewall と、環境に合わせた自動チューニングや実際の影響度を加味したアラートを出すことが可能な IPS が、今回活躍した主な機能です。

IPS (Intrusion Prevention System)として検知した攻撃について、Firepower はそのパケットそのものを取得できます。ロギングされた攻撃に対し、パケット詳細を Firepower の管理ツールである Firepower Management Center (以下、FMC) で通信ログとして取得して表示することも可能です (図 10)。また、キャプチャデータとしてダウンロードすることもでき、パケットアナライザなどで解析することも可能です。過去の協議会では、これらの機能は、非常に有益であり、また、カスタムルールを作り、この通信を検知する機能を導入チームに提供しておりました。

[図10 Firepowerにて競技中に検出した Connection Event]

[ 図 10 Firepowerにて競技中に検出した Connection Event ]

もともと Snort は以下の例のように、カスタムルール を自分で作ることができますが、

例:

alert tcp 192.168.2.0/16 any -> any 21(flow:to_server, established; content:”root”; pcre:”/user¥s_root/i”;)
[ Snort ルールの例: 誰かが特定のネットワークから接続し、ルートとしてログインした場合に警告を発する]

 

このFMC を使うことで、このように、カスタムルール (図 11 ) を簡単に作ることができます。

 [図11 FMCでのカスタムルール: 10.2.10.192/26 宛てかつ Dstport 445/tcp, 445/udp, 137/tcp, 137/udp, 139/tcp, 139/udp, 10050/tcp 宛て通信をブロック]

[ 図 11 FMC でのカスタムルール: 10.2.10.192/26 宛てかつ Dstport 445/tcp, 445/udp, 137/tcp, 137/udp, 139/tcp, 139/udp, 10050/tcp 宛て通信をブロック]

今大会では前回大会同様、IPS ルールは Security over Connectivity (接続性よりもセキュリティを優先) ポリシーでスタートしました。このポリシーは正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。

競技中は Discord (図4) を通じて競技者からのリクエストを受け、随時ポリシーを書き換えたり、設定ログの提供を行いました。また競技中に Firepower にて見つけた不審な通信等についてはローカルシグニチャを作って積極的に適用いたしました。

 

FMC を使うことで、攻撃レポートも非常に簡単に作成することができます(図 12)。

前回大会(Business Objective)では FirepowerのIntrusion Event は特定の時間でしか検知いたしませんでしたが、今大会では IPS が攻撃を多く検知をし、攻撃を防ぐことができました!

各導入していただいたチームにそれぞれに対して、定期的にネットワークの状況をレポートして提供し、参加者各チームの振り返り会である Softening Day にて大いにご活用していただけました!

 [図12 各参加者チームに配布したFMCで収集したIntrusion Eventsのレポート]

[ 図 12 各参加者チームに配布した FMC で収集した Intrusion Events のレポート ]

ただ、現在 HTTP/HTTPS トラフィックの 82% が暗号化されており HTTPS 等の暗号化された攻撃は、シンプルな IP アドレスやポート番号、サーバ証明書でわかる情報等で検知できるもの以外は、SSL 復号により、通信の中身を Firepower が見る必要があります。

今後競技内での通信もほどんどが TLS (Transport Layer Security) になって行くと考えられる為、今後は Firepower で SSL 復号を行い IPS / ブラックリスト機能を活かせる様にする必要性を感じました。

 

EDR: AMP for Endpoints (Cisco Secure Endpoints)

AMP for Endpoints は、エンドポイント側 (端末側) に “AMP Connector” というエージェントソフトウェアをインストールすることによって、マルウェアの検知と EDR を行えるシスコのエンドポイントセキュリティ製品です。端末に出入りするファイルのハッシュ値を瞬時に計算し、そのハッシュ値を持つファイルが既知の危険なファイルなのか安全なファイルなのか、あるいは未知のファイルなのかを判断して適切なアクションを取ることができます。

例えば、チーム内のサーバー上で特異なファイルがあれば、それを検査対象として解析します。管理者は手動で行うこともできますし、自動化することもできます。一度悪意あると判断されると、過去の入り込んだ特異なファイルを起点として直ちにアラートや隔離イベントを実行することができます。前回大会同様、今大会もこの Amp for Endpoint が競技中、多いに活躍いたしました!

まず、大会環境にはあらかじめ脆弱性のある OS やアプリケーションなどが含まれているため、それらも AMP for Endpoints にて検出し、確認することができました! (図 13)

[図13 AMP for Endpoints によって被害が広がる前に隔離した端末内に潜んでいた悪意あるファイル]

[ 図 13  AMP for Endpoints によって被害が広がる前に隔離した端末内に潜んでいた悪意あるファイル ]

また、ファイルトラジェクトリ機能を使用し、他にチーム内のどの端末が忍び込んでいるのか一目で追跡することができます。場合によっては社内ネットワークで感染を拡大する、ラテラルムーブメントを実行するマルウェアに有効な機能です。

例として (図 14) の様に、Command Line を確認してみると ”wget コマンドが実行されて、http://10.2.250.41/checker へ接続して何かをダウンロードしている” という競技環境の Linux サーバで怪しい挙動が確認されました!

[図14 Linuxサーバで不審なwgetコマンドが実行されているという怪しい挙動を確認]

[ 図 14 Linux サーバで不審な wget コマンドが実行されているという怪しい挙動を確認 ]

また、Cisco Threat Response を用いる事で、単一のコンソールで迅速に脅威調査および、インシデント対応を行う事が可能です。(図 15)。Cisco Threat Response は、複数製品を横断して、関連コンポーネントを相関的に表示させるツールとなります。

検出、調査、修復の一連のアクションを高速かつ容易にするためのツールで、この GUI 画面から端末隔離や、ハッシュをブラックリストへ入れる等の対応も行うことも可能となります。

[図15 Threat Responseでの脅威の可視化 ]

[ 図 15 Threat Responseでの脅威の可視化 ]

 

競技会を終えて

私は今回計 3 回目(2018/11 SecureEach, 2020/01 Business Objective, 2020/11 H3DX)の参加でしたが、何度参加しても常に新しいことを学ぶ事ばかりです!

普段のプリセールス活動業務では、このような大量のサイバー攻撃に晒される過酷な環境下で、脅威や攻撃を検知 & 防御し、また攻撃ログを調査するという経験はなかなかできないため、大変勉強になり、非常に良い刺激となりました。

今回、完全フルリモートでの開催となり、普段コラボレーション製品を提案する身としては、この貴重な経験を元に日々の業務の中で活かせるよう模索していきたいと思います!

最後となりましたが、素晴らしいイベントを企画・実行された運営者ならびに競技参加者、マーケットプレイスの皆様、本当にありがとうございました。

今大会提供した Firepower Threat Defense、AMP for Endpoints はもちろん、その他、ゼロトラストクラウドセキュリティなど、セキュリティ、そして Webex などの Web 会議のコラボレーションツールに関する様々なことに関してブログをあげておりますので、そちらも、是非チェックして読んでいただければと思います。

URLはこちら:

 

Authors

関井 貴大

テクニカルソリューションズスペシャリスト

Japan Collaboration SE

コメントを書く