“申”（猿）がつく セキュリティツールを検証してみた ほよたか（@takahoyo）

私とssmjp • よく参加してたのは2014-2015年頃 • 「無線LANに対するとある攻撃手法とその対策」（2014/11） • 「パケットで遊ぼう」（2015/04） • あの頃は無垢な学生だった（とおいめ • 学生の頃はめっちゃお世話になりました！

ssmjp 12周年おめでとう！LTしよう • お知らせをちゃんと読まずに、久しぶりに何か話すかーと思い とりあえず勢いでLTに申し込む • 干支縛りあったんか…

“申”（猿）がつく セキュリティツールを探す (´・ω・｀)

（続）“申”（猿）がつく セキュリティツールを探す

Infection Monkey • https://github.com/guardicore/monkey • いわゆる BAS（Breach and Attack Simulation）ツール • 攻撃者が使用したテクニックを自動で行い、攻撃をシミュレーション してくれるツール • 攻撃の成否から脆弱性をレポートしてくれる • 管理サーバ（Monkey Island）から各種攻撃を仕掛けて、感染 を広げられるかを試行する • データセンタ内部で侵害があったときに、どれくらいレジリエ ンスがあるかをテストするのが目的

DetectionLab を用いて検証環境を構築 • WindowsのAD環境とモニタリング環境をシュッと立てられる • Vagrantを使ってデスクトップに環境構築可能 https://detectionlab.network/

ツールのセットアップ • GitHubの以下のページにdevelop版のdeploy scriptと説明があ る • https://github.com/guardicore/monkey/tree/develop/deployment_s cripts

スキャンしてみる

攻撃ログを見てみる • DetectionLabのSuricata（IDS)のログを確認

まとめ • “申”（猿）縛りであったが面白いツールを見つけられた • Infection MonkeyはDC内のセキュリティチェックに使えるツール • 自動でスキャンしてDC内の脆弱なホストを自動で見つけられる • 実際にExploitを打つので、セキュリティ機器の検知を試すことができる （Purple Team） • ただし、対応している攻撃はそこまで多くない • 実行は自己責任でお願いします… • DetectionLabは検証用の環境をシュッと立てるのに便利