how_team1_competed_with_328hardening
Team1のPDCAサイクルとOODAループ2020/09/16 #H3D Softening Day #328HardeningTeam1(“Kinoshita”,”Kubo”,””)
View Slide
目次・チーム紹介・PDCAサイクル/OODAループ とは・PLAN:何をしようとしたか・DO:やってみた結果…・CHECK:実際どうだったか・ACTION:次回どうすべきか
チーム紹介 : Team1左:Kubo (技術営業)右:Kinoshita (大学生)二人とも、Hardening、MINI Hardening、それぞれ1回出場。
PDCAサイクルとは?PLAN :計画(こうしてみようか)DO :実行(やったるでええ!)CHECK :確認(結果、こんな感じ)ACT/ADJUST :修正(次は、ああしたろ)計画と振り返りのツール品質改善など、スタートとゴールが明確な状態で使える。
OODAループとは?Observe:観察 (今どうなってんの?)Orient :情勢判断(こうなってんのか!)Decide :決定 (ほな、こうしようか)Action :実行 (やったるでえ!!!)スタートもゴールも不明確な、現場での意思決定プロセス
PLAN:何をしようとしたか①「パスワードを変えよう」②「firewalldを設定しよう」③「設定ファイル改ざん検知プログラムを仕込んでみよう」④「不審な設定を見つけたらすぐさま対応しよう」⑤「.htaccessファイルでアクセスを制限しよう」⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」⑦不必要なプラグインの無効化
DO:やってみた結果…# Team Points 報告件数1 Team4 5757000 272 Team6 4854000 263 Team2 4635000 274 Team3 4453000 215 Team5 3783000 136 Team1 1308000 17
CHECK:実際どうだったか①「パスワードを変えよう」 →変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。②「firewalldを設定しよう」 →学習時間が足りず、やりかたがよくわからなかった。。③「設定ファイル改ざん検知プログラムを仕込んでみよう」 →/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下 で起きていた。④「不審な設定を見つけたらすぐさま対応しよう」 →・・・どういうのが不審なん?vsftpdってユーザは、ほっといていいの?vagrantは?⑤「.htaccessファイルでアクセスを制限しよう」 →どこに置けばいいの?というか、既にいっぱい.htaccess ファイルがおいてある。。⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 →わからない。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。⑦不必要なプラグインの無効化 →なんかいっぱいある。どれが不必要なんでしたっけ・・・?
CHECK:実際どうだったか①「パスワードを変えよう」 →変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。②「firewalldを設定しよう」 →学習時間が足りず、やりかたがよくわからなかった。。③「設定ファイル改ざん検知プログラムを仕込んでみよう」 →/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下 で起きていた。④「不審な設定を見つけたらすぐさま対応しよう」 →・・・どういうのが不審なん?vsftpdってユーザは、ほっといていいの?vagrantは?⑤「.htaccessファイルでアクセスを制限しよう」 →どこに置けばいいの?というか、既にいっぱい.htaccess ファイルがおいてある。。⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 →わからなかった。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。⑦不必要なプラグインの無効化 →なんかいっぱいある。どれが不必要なんでしたっけ・・・?Observeができていない
CHECK:実際どうだったか①「パスワードを変えよう」 →変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。②「firewalldを設定しよう」 →学習時間が足りず、やりかたがよくわからなかった。。③「設定ファイル改ざん検知プログラムを仕込んでみよう」 →/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下 で起きていた。④「不審な設定を見つけたらすぐさま対応しよう」 →・・・どういうのが不審なん?vsftpdってユーザは、ほっといていいの?vagrantは?⑤「.htaccessファイルでアクセスを制限しよう」 →どこに置けばいいの?というか、既にいっぱい.htaccess ファイルがおいてある。。⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 →わからなかった。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。⑦不必要なプラグインの無効化 →なんかいっぱいある。どれが不必要なんでしたっけ・・・?DECIDEができていない
ACTION:次回どうすべきか①「パスワードを変えよう」 →変更後パスワードを事前に決めておく。②「firewalldを設定しよう」 →firewalldの設定について学習・練習。③「設定ファイル改ざん検知プログラムを仕込んでみよう」 →改ざんを検知すべきディレクトリの洗い直し。④「不審な設定を見つけたらすぐさま対応しよう」 →設定上使われないユーザは無効化。セキュリティ事例を見てみよう。⑤「.htaccessファイルでアクセスを制限しよう」 →学習。⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 →改ざん検知プログラムの改修(パーミッション変更も検知。)⑦不必要なプラグインの無効化 →WordPressのプラグインについて学ぶ。
反省:PDCAサイクル:PLANが不十分。OODAループ:Observe,Decideの為の 予備知識が不十分。