Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
Hardening II SU チームカムイ (11) 報告書 2019/07/05 斎藤 祐一郎 (@koemu)
Slide 2
Slide 2 text
TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening OSSの開発と実戦運用 今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 2
Slide 3
Slide 3 text
チームの自己紹介 3
Slide 4
Slide 4 text
メンバー一覧 (左から) ● 曽谷 祐一 (@sotani) ((株)メルカリ セキュリティ) ● 杉江 彩(@rougelecca) (ネットワークエンジニア) ● 斎藤 祐一郎 (@koemu) ((株)メルカリ バックエンドエンジニア) ● 伊佐 大佑(@dajo) (琉球大学) ● 澤田 一樹 (@sekai67) ((株)メルカリ SRE) ● 戸谷 洋介 (@ytotti) ((株)ラック) 4
Slide 5
Slide 5 text
準備 僕らは… この日のために2ヶ月間準 備してきました 5
Slide 6
Slide 6 text
3つのキーポイント ● 過去の出題内容を振り返る ● ロールの明確化 ● 準備と定例MTG 6
Slide 7
Slide 7 text
過去の出題内容を振り返る 出場経験者である@rougeleccaさんから共有を受けた。 ● 過去の出題内容 ● その際に誰がどのように動いたのか ● 事前準備の重要さ ● マーケットプレイスの重要さと活用方法 ● 遅刻しない!!!!! 7
Slide 8
Slide 8 text
ロールの明確化 距離もあり、本職の業務をよく知らない者同士が札幌に集結 して戦うにあたって、備えたこと。 ● 過去の大会を通じて必要なロールの定義。 ● 本職の業務を踏まえたロールの割り当て。 ● 決まったロールをもとに、事前に情報収集。 8
Slide 9
Slide 9 text
準備と定例MTG 1週間に1回 30分、Zoomを使ってオンライン定例MTG。 それ以外はSlackでコミュニケーション。 資料はGoogle Driveで共有。 ● まずはお互いを知る ● 事前準備の進捗 ○ 調査レポート (脆弱性など) ○ テンプレ整備 (CS, 法務, 労務, etc…) ● 資料の読み合わせ 9
Slide 10
Slide 10 text
体制・情報共有など 組織運営に関すること みんなは 上下関係のない、 プロフェッショナル 集団として。 10
Slide 11
Slide 11 text
3つのポイント ● ロール ● チーム内でのコミュニケーション ● 対外コミュニケーション 11
Slide 12
Slide 12 text
ロール ● @sekai67: SRE ● @sotani: レポーター, 渉外 ● @ytotti: 脆弱性切り分け ● @rougelecca: CS, HCA連絡 ● @dajo: 販売管理 ● @koemu: インシデントコマンダー (対外的にはリーダー) 12
Slide 13
Slide 13 text
チーム内でのコミュニケーション ● レポーターにレポートを集約。作業をタイムラインで振り返られる。 ● ロールの近い者同士が近くに座って、スッと寄って話せる。 ● テキストベースのものはすぐにSlackで共有。 ● インシデントコマンダーが決断に責任を負う。 ○ 複数の攻撃を受けたときの優先度を決める。 ○ 経済条件の意思決定を行う。 ○ 時間制限を決める。 ○ 基本、作業は行わない。 ● 意見の対立はなかった。皆が背景を理解し、納得して仕事した。 13
Slide 14
Slide 14 text
対外コミュニケーション 連合間のコミュニケーション ● 定例MTG (2時間おき) ○ チーム間で困っていることを言い合い、スポットで情報を融通。 ○ 前日に呼びかけて決めた。 全体のコミュニケーション ● HCA: 提供された情報を逐次共有できる体制 ● JPCERT: 情報漏えいが確認された際の通報 14
Slide 15
Slide 15 text
インシデントレスポンス 15
Slide 16
Slide 16 text
flos: 本大会向け 運用・監視OSS @sekai67さんが夜なべして作った、 Linux/Windowsサーバ 監視・運用OSS ● 死活監視 ● ログ・プロセスビュー ● コマンド一括送信 ● 自動バックアップ リポジトリ: https://github.com/kaz/flos 16
Slide 17
Slide 17 text
事象への向き合い方 想定とはどうか ● 売上に直結する障害から、順次対処していく。 ● 事前に調べていた脆弱性、特にRCEはだいたい来ていた。 ● 一番の想定外はWindowsの「花」→MPのツールで対策(後述) 渉外対応 ● 隠さない、すぐに言う。 ● 関係各所への報告は迅速にできたと考えている。 17
Slide 18
Slide 18 text
ビジネス価値向上の 取り組み ビジネス GMVがあがってなんぼの もの 18
Slide 19
Slide 19 text
GMVのグロースに向けて ● まずは商品名・商品画像を差し替えるところからスタート。 ● 人気のある商品を中心に、値上げを実施。GMVにインパ クトがあったことを確認。 ○ ただし、初動が遅かったのが悔やまれる。 19
Slide 20
Slide 20 text
公式サイトの整備 ● WIPページの整備 ○ NECさんに委託(後述) ○ テンプレの準備が功を奏した ○ メールフォームも動いた 20
Slide 21
Slide 21 text
事故発生時への向き合い方 ● 売上に直結する障害から順に潰す。 ○ サービス停止は最優先。 ○ 「疑い」レベルは、すでに施した対策でカバーできるの であれば一旦置いておく。 21
Slide 22
Slide 22 text
マーケットプレイス 活用の試み GO BOLDに お金で解決できることは、 お金で解決する。 22
Slide 23
Slide 23 text
購入した製品/サービス ● NEC様 勝つための助っ人派遣ソリューション 2時間 2,000万円 ● Cisco 様 シスコなまらセキュアセット 2,000万円 ● トレンドマイクロ様 IRどうでしょう 500万円 購入の方針 ● 買えない後悔より、高くても買って後悔。 ● ROIは高いはずとチームで決断したものをGO BOLDに買いに行った。 23
Slide 24
Slide 24 text
NEC様 勝つための助っ人派遣 ● Linuxサーバ全てにiptablesの設定を依頼。 ○ 初期段階に設定できたため、マルウェアの通信やバインドシェルの実行 がかなり遮断できた。 ● 公式サイトの整備を依頼。 ○ 手が回っていないところだったので、大変助かりました。 ○ テンプレはこちらで用意していたので、連絡もスムーズでした。 お世話になりました! めっちゃROIが高かったです。2,000万出してよかった。 24
Slide 25
Slide 25 text
Cisco 様 シスコなまらセキュアセット ● シグネチャレベルで防げる通信の遮断には軒並み成功。 ○ より高度な攻撃への対処に集中することができた。 ● レポーティングを通じて、どのような攻撃が到達しているか理解を深めること ができた。 ● 設定等がうまく行っていないと、声をかけてくださったのはありがたかった。 どうもありがとうございました! 25
Slide 26
Slide 26 text
トレンドマイクロ様 IRどうでしょう ● Cisco様のIPSソリューションとかぶっている部分があったので、使わない部分 を値下げいただけた。 ● Windows端末のマルウェア・ウィルスに対する防御を施すことができた。 ● インストールに手間取った際、お声がけいただきサポートいただけた。 どうもありがとうございました! 26
Slide 27
Slide 27 text
総括 27
Slide 28
Slide 28 text
Hardening参加のメリット ● @koemu: 意思決定者は常に知見を高め、周りを見回し、よく話を聞き、そし て心の健康を保ち決断する大切さを理解した。 ● @sekai67: 本物の攻撃とその防御の難しさを、身を以て知った。 ● @sotani: インシデント対応の筋トレ。事前の準備の大切さとその必要性の ジャスティフィケーションを身を持って知る。 ● @ytotti: 自社の考え方に縛られずに、いろいろな経営的観点、技術的観点、 人材的観点に触れることができる。 ● @rougelecca: 自分の力量が可視化されるので、今後どう活かすかを明確化 できた。 ● @dajo: 技術だけじゃない総合力の必要性を知った。 28
Slide 29
Slide 29 text
明日以降どう活かすか ● @koemu: 本番障害でも笑顔でいる、それが仲間の救いになるはず。 ● @sekai67: 当たり前を見直す、疑う。障害に対する心構え。 ● @sotani: 自社のインシデントの準備 ● @ytotti: オフライン状態でのセキュリティ対策は、非常に技術力がつくという 知見を得たので明日以降普段から考慮しながらすごす。 ● @rougelecca: 身近にある攻撃がビジネスに響くことを社内で布教していく。 攻撃と防御を棚卸する。 ● @dajo: 問題の早期対応を意識する。 29
Slide 30
Slide 30 text
今後のイベントに向けての提案 ● @koemu: 運営のみなさまがもっと煽っていくスタイルが良いです。 ● @sekai67: もっと絶望感を。 ● @sotani: 社長=チームリーダーなのか?あたりのたてつけがわかりにくかっ た。そしてわかりにくいまま始まっちゃった。のはいまいちだったが、それ以外 は、いろんな意味でちょうどよかった。 ● @ytotti: 攻撃のタイミングでモニターや音声を用いた演出がもっとあってもい いと思った。 ● @rougelecca: 役員会議や記者会見がモニターで流し見状態だったので本格 的に危機感が感じられるともっと良い。 ● @dajo: 競技中の飲酒許可 30
Slide 31
Slide 31 text
おわりに 31
Slide 32
Slide 32 text
改めて TL;DR 私達は一人ひとりが専門家として、最善を尽くせるた めの準備をし、スピード感を持って戦い抜きました。 ➔ ロールの明確化 誰が何をしているかお互いが理解し、素早い 意思決定が行えるチームでした。 ➔ Hardening OSSの開発と実戦運用 今回の為に開発した監視・運用ツールを投入 しスピード感ある対処ができました。 ➔ マーケットプレイスの活用 特に人的リソースにはROIが高いと判断し、 惜しみなく投資を行いました。 32
Slide 33
Slide 33 text
謝辞 チームメンバー一同、このような機会に恵まれ、大変 感謝し、そして学びがありました。 ➔ 運営のみなさま 素晴らしい大会を用意いただきありがとうござ いました。 ➔ スポンサー・MPのみなさま 素晴らしい機材・サービス・環境の提供をあり がとうございました。 ➔ 参加者のみなさま たのしかったですね!またお会いしましょ う!! 33
Slide 34
Slide 34 text
おわり 34