Hardening 2022 Decade マーケットプレイス参加レポート
「衛る技術」の価値を最大化するプロジェクトである Hardening Project に、シスコは 2016年よりスポンサーとして参画しています。2022年11月中旬にこのプロジェクトの競技会である Hardening 2022 Decade が、沖縄県名護市でのオンサイトとオンラインでのハイブリッドで開催され、シスコはこの競技会にマーケットプレイスという役割にて参加しました。過去のシスコからの参加レポートは Hardening というタグをつけて公開しておりますので、是非検索してみてください。
オンサイト会場の名護市万国津梁館
Hardening 2022 Decade とは
Hardening Project は、実際に手を動かすセキュリティ技術に関心のある競技者がチームを組み、疑似環境において、チーム毎に予め作られた EC サイトを運営しながら、内在するあらゆる脆弱性を突いてくる攻撃からサイトを衛り、商品を売り上げながら正しく EC サイトを運営していくことを争う競技会です。
競技参加者はランダムに 9-10名のチームに組まれ、本番の競技会に向けて組織を形成し、技術的な準備等を実施していきます。
この競技会が、Hardening 2022 Decade と題して11月に開催されました。
今回はこのようなチームが 10チーム構成され、各チームに若干名のオンライン参加者がいるようでした。
競技会の様子 (Hardening Projectより提供)
マーケットプレイスの役割
この競技会には、各チームの EC サイトの運営への手助けとなる、マーケットプレイスという仕組みがあります。スポンサーとなる会社が自社のサービスや製品を提供することで、各チームの EC サイトの堅牢化に対する技術支援やインシデント時の人的な対応支援などを行うことができます。
ここ数年、シスコはこのマーケットプレイスにて、以下の2つの製品を競技会の環境に持ち込み、マネージドサービスを提供しています。
- Next Generation Firewall (NGFW) & IPS: Cisco Secure Firewall Threat Defense (FTD)
- Endpoint Detection and Response (EDR): Cisco Secure Endpoint
今回もこの2つの製品を使い、マネージドサービスを競技者の皆様に提供しました。
シスコのマーケットプレイスのメンバー構成は以下の通りです。
- 小林 (FTD 担当プリセールスエンジニア) (このブログの筆者です)
- 坂川 (Secure Endpoint 担当プリセールスエンジニア)
- 瓜倉 (セキュリティ全般プロフェッショナルサービスエンジニア)
- 石橋 (Cisco SOC セキュリティアナリスト)
競技中のシスコマーケットプレイスメンバー
小林と坂川が製品の構築、運用を中心に担当し、瓜倉と石橋がイベント解析を中心に担当しました。結果として、単なるマネージドサービスだけでなく、アグレッシブなスレットハンティングサービスまで提供できたと思っています。
実際にどのようにこれらの製品を運用したかを解説したいと思います。
Cisco Secure Firewall Threat Defense (FTD)
FTD は、世界でもっとも使われている IPS エンジンである Snort をベースにした FirePOWER というソフトウェアに、シスコが従来から提供していた Firewall 機能を合わせた NGFW & IPS のソフトウェアです。今回は、Firepower 4145 という高性能ハードウェアアプライアンスに、複数の FTD のインスタンスを構築し、管理サーバとなる Firewall Management Center として、FMC 4500 と合わせて FTD のマネージドサービスを提供しました。
FMC を使った FTD の運用する大きなメリットは、ネットワークの学習を経て自動的に最適な IPS ルールチューニングを行い、また、攻撃のインパクトを計算できることですが、自動学習期間が必要なため、この競技会ではそのような機能は使わずに、純粋に使いやすい高機能な NGFW & IPS として構築し、利用しました。
競技会でシスコのマーケットプレイスのサービスを購入したチームには、Firewall や IPS にてパケットフィルタリングや攻撃防御をして欲しい内容を、オンラインや口頭にて依頼をしてもらい、シスコ側がその要求を実現する設定を FTD に実施する、というマネージドサービスを実施しました。
FMC では、様々なイベントを監視し、解析することができます。通信ログも攻撃検知イベントもまとめて1つの画面でリアルタイムに監視することが簡単な Unified Event Viewer で発生するイベントを目視していくところから運用を開始しました。
FMC の Unified Event Viewer
さらには、事前に FTD からの syslog を別のサーバで受け付けるように構築し、Kibana を使って syslog を可視化させ、この syslog を様々な角度からリアルタイムで解析することで、不審な通信や攻撃かもしれないイベントを見つけ次第、すぐにシスコから積極的に競技者チームに情報提供を行うようなスレットハンティングサービスも行いました。
Kibana で syslog を可視化
競技終了後には FMC で生成した通信内容や攻撃解析のレポートを競技者チームに提供することができました。
Cisco Secure Endpoint
Secure Endpoint は EDR と EPP の機能を兼ね備えた、シスコが提供するエンドポイント・セキュリティ製品です。端末に Connector と呼ばれるエージェントソフトウェアを導入し、このエージェントが端末上で動作するファイルの SHA256 のハッシュ値を瞬時に計算し、そのハッシュ値を持つファイルが既知の危険なファイルなのか安全なファイルなのか、あるいは未知のファイルなのかを判断して適切なアクションを取ることができます。
また、そのときには未知のファイルだったとしても、後から危険なファイルだとわかった際に、そのファイルの判断をリコールし、既知の危険なファイルとして取り扱うことが可能です。
他にも端末を安全にするためにユニークな機能がいろいろあります。あるマルウェアが、その端末でどうやって出現してきたのかを追いかけるデバイストラジェクトリはそのユニークな機能の代表でもあります。今回も、Linux サーバ側で python のプロセスが意図しない外部への通信を行っているところを発見することができました。さらには (競技終了後での発見とはなりましたが) httpd プロセスから wget が呼び出されて不審なファイルの取得を試みている事象を確認できました。
Secure Endpoint 管理コンソールでのデバイストラジェクトリ画面
マーケットプレイスとしての活動結果
昨年、一昨年のオンライン開催にて、シスコは連続して MVV (Most Valuable Vendor) の賞をいただいたこともあり、今回も昨年までの経験を活かしたほぼ同じ構成でのサービス提供であることを、事前に競技者のみなさまにアピールしておりました。
ちなみに、昨年はなんと11チーム中10チームからの入札をいただき、入札金額上位4チームにサービスを提供することができました。
しかしながら、今回は、事前のアピールにてシスコが提供する予定のサービスに真新しさが無かったと受け取られたか、なんと競技中にシスコへの入札を行ったチームがゼロという状態での競技会スタートとなりました。マーケットプレイスで参加したメンバー全員がショックを受けてしまい、競技会会場のすぐ裏の海を見に行きそうになったのは言うまでもありません。
その後、入札でなくても、サービス提供側にまだ余裕があれば、任意で購入をいただけるというルールに基づき、すぐに2チームからのシスコのサービスを購入いただけました。この2チームに我々のリソースを全力で投入できたこともあり、非常に中身の濃いマネージドサービスと事実上のスレットハンティングサービスを提供できたものと思っております。
競技終了後にいろいろな方のお話をお聞きしたところ、昨年までのシスコのマーケットプレイスとしての実績が認められたことで、入札価格の暴騰をお互いに牽制し合った結果、誰も買わない…という状態になってしまっていたようです。これを聞いたとき、マーケットプレイスメンバー一同、ほっとしました。
各チームの考察や、攻撃チーム側の解説、表彰が後日行われました。
シスコのサービスをご利用いただいた2チームが素晴らしい結果を残してくださったおかげで、今回の MVV にシスコが選ばれました。
まさかの MVV 三連覇です。関係者一同、大喜びでした。
実行委員長から MVV 賞を驚きながら受けるシスコマーケットプレイスメンバー (Hardening Projectより提供)
振り返りと今後に向けて
シスコの NGFW & IPS と EDR が、過酷な環境でもしっかりと「衛るチカラ」があることが改めて証明できたと感じております。製品単体での「衛るチカラ」はもちろん、シスコが誇るプロフェッショナルサービスや SOC サービスを併用することで、その「衛るチカラ」は大きく向上することも、今回の競技参加者や関係者の皆様にはアピールできたものと思っております。
私自身、この Hardening Project の面白さと辛さの両方にすっかり魅了されており、次回以降も機会をいただけるのであれば、より新しいことを試しながらマーケットプレイスとして本プロジェクトを盛り上げていきたいと感じております。
このような最高の競技会を企画 & 実行された運営および攻撃チームのみなさま、競技に参加されたみなさま、マーケットプレイスのみなさま、その他関係者のみなさま、ありがとうございました。
Tags:
