ハードニング競技会用ベンチマーカー「katayude」（仮）

ハードニング競技会用ベンチマーカー「katayude」（仮） @shinobe179 2023/11/08

ハードニング競技会は、ハードニング能力、インシデント対応能力の向上に適した取り組みである個人で開催するナレッジに乏しいハードニング競技会の実施ハードルを下げられないか？サマリー

だいたい以下のような方式で行われる。競技者には、脆弱性があるシステムを与えられる競技開始後、正常通信（サイト回遊、商品購入など）が継続的に行われる正常通信が仕様通りに完了することで、スコアが加算されるしばらくすると、攻撃者による偵察、攻撃が始まる競技者は、正常トラフィックを止めないように攻撃からシステムを守る競技終了時、スコアが最も高かった競技者の勝ち！振り返りの後、同じシナリオを何度か繰り返す
こともある。ハードニング競技会とは？

準備するものが多く（重く）、競技会を実施するハードルが高い。シナリオを作る同じシナリオを再現できる仕組みを作る攻撃を受けるシステムを作る競技会に必要なリソース

競技会に必要なリソースの表現方法をフレームワーク化して、実施や共有を簡単にできないか？シナリオを作る => katayude 同じシナリオを再現できる仕組みを作る => katayude 攻撃を受けるシステムを作る =>
Ansible、Packerなど競技会のフレームワーク化

インフラチューニングの競技会「ISUCON」から着想を得ている。競技者には、パフォーマンスに課題があるシステムを与えられる競技者はボトルネックを解消し、ベンチマーカーにベンチマークをリクエストするベンチマーカーはリクエストに応じて、システムに対してリクエストを送信するシステム仕様通りにレスポンスできれば加点ボトルネックの解消とベンチマークを繰り返し、最終的に最もスコアが高かった競技者が勝ち！（簡単に言うと）
「ベンチマーカー」の着想

ISUCON公式でベンチマーカーのフレームワークが公開されている。 https://github.com/isucon/isucandar クライアント（ブラウザ）挙動のシミュレーション並列実行管理スコア管理・・・ ……ほぼ完成では？ベンチマーカーの実装

ハードニングのためには、以下のような機能が必要そう。正常通信 HTTP(S)以外のプロトコルのクライアントのシミュレーション例：FTPによるファイルアップロードが正常に動作するか？攻撃通信偵察行為や攻撃の再現、成功判定ツール（Nmap、Metasploit、Nucleiなど）の抽象化各アクションのスケジューリングベンチマーク（開始から「決まった時間に」「決まったアクション」をするように）
追加で必要な機能

ハードニング競技会は、ハードニング能力、インシデント対応能力の向上に適した取り組みである個人で開催するナレッジに乏しいハードニング競技会の実施ハードルを下げられないか？ありがとうございました。まとめ（サマリー再掲）

ハードニング競技会用ベンチマーカー「katayude」（仮）

ハードニング競技会用ベンチマーカー「katayude」（仮）

shinobe179

Featured

Transcript