how_team1_competed_with_328hardening

Transcript

1. Team1の PDCAサイクルとOODAループ 2020/09/16 #H3D Softening Day #328Hardening Team1(“Kinoshita”,”Kubo”,””)

2. 目次 ・チーム紹介 ・PDCAサイクル/OODAループ　とは ・PLAN：何をしようとしたか ・DO：やってみた結果… ・CHECK：実際どうだったか ・ACTION：次回どうすべきか

3. チーム紹介 : Team1 左：Kubo 　（技術営業） 右：Kinoshita 　（大学生） 二人とも、 Hardening、 MINI

   Hardening、 それぞれ1回出場。

4. PDCAサイクルとは？ PLAN ：計画（こうしてみようか） DO ：実行（やったるでええ！） CHECK ：確認（結果、こんな感じ） ACT/ADJUST ：修正（次は、ああしたろ） 計画と振り返りのツール

   品質改善など、スタートとゴールが明確な状態で使える。

5. OODAループとは？ Observe：観察　　（今どうなってんの？） Orient ：情勢判断（こうなってんのか！） Decide ：決定　　（ほな、こうしようか） Action ：実行　　（やったるでえ！！！） スタートもゴールも不明確な、現場での意思決定プロセス

6. PLAN：何をしようとしたか ①「パスワードを変えよう」 ②「firewalldを設定しよう」 ③「設定ファイル改ざん検知プログラムを仕込んでみよう」 ④「不審な設定を見つけたらすぐさま対応しよう」 ⑤「.htaccessファイルでアクセスを制限しよう」 ⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 ⑦不必要なプラグインの無効化

7. DO：やってみた結果… # Team Points 報告件数 1 Team4 5757000 27 2

   Team6 4854000 26 3 Team2 4635000 27 4 Team3 4453000 21 5 Team5 3783000 13 6 Team1 1308000 17

8. DO：やってみた結果… # Team Points 報告件数 1 Team4 5757000 27 2

   Team6 4854000 26 3 Team2 4635000 27 4 Team3 4453000 21 5 Team5 3783000 13 6 Team1 1308000 17

9. CHECK：実際どうだったか ①「パスワードを変えよう」 　→変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。 ②「firewalldを設定しよう」 　→学習時間が足りず、やりかたがよくわからなかった。。 ③「設定ファイル改ざん検知プログラムを仕込んでみよう」 　→/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下

   で起きていた。 ④「不審な設定を見つけたらすぐさま対応しよう」 　→・・・どういうのが不審なん？vsftpdってユーザは、ほっといていいの？vagrantは？ ⑤「.htaccessファイルでアクセスを制限しよう」 　→どこに置けばいいの？というか、既にいっぱい.htaccess ファイルがおいてある。。 ⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 　→わからない。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。 ⑦不必要なプラグインの無効化 　→なんかいっぱいある。どれが不必要なんでしたっけ・・・？

10. CHECK：実際どうだったか ①「パスワードを変えよう」 　→変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。 ②「firewalldを設定しよう」 　→学習時間が足りず、やりかたがよくわからなかった。。 ③「設定ファイル改ざん検知プログラムを仕込んでみよう」 　→/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下

    で起きていた。 ④「不審な設定を見つけたらすぐさま対応しよう」 　→・・・どういうのが不審なん？vsftpdってユーザは、ほっといていいの？vagrantは？ ⑤「.htaccessファイルでアクセスを制限しよう」 　→どこに置けばいいの？というか、既にいっぱい.htaccess ファイルがおいてある。。 ⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 　→わからなかった。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。 ⑦不必要なプラグインの無効化 　→なんかいっぱいある。どれが不必要なんでしたっけ・・・？ Observeができていない

11. CHECK：実際どうだったか ①「パスワードを変えよう」 　→変更後パスワードを事前に決めてなかったので時間かかった。あと、対象範囲を決めかねた。 ②「firewalldを設定しよう」 　→学習時間が足りず、やりかたがよくわからなかった。。 ③「設定ファイル改ざん検知プログラムを仕込んでみよう」 　→/etc 配下を監視していたが、実際の改ざんは /var/www/html/wordpress 配下

    で起きていた。 ④「不審な設定を見つけたらすぐさま対応しよう」 　→・・・どういうのが不審なん？vsftpdってユーザは、ほっといていいの？vagrantは？ ⑤「.htaccessファイルでアクセスを制限しよう」 　→どこに置けばいいの？というか、既にいっぱい.htaccess ファイルがおいてある。。 ⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 　→わからなかった。実際の攻撃はパーミッション変更等のログに出力されない攻撃が多かった。。。 ⑦不必要なプラグインの無効化 　→なんかいっぱいある。どれが不必要なんでしたっけ・・・？ DECIDEができていない

12. ACTION：次回どうすべきか ①「パスワードを変えよう」 　→変更後パスワードを事前に決めておく。 ②「firewalldを設定しよう」 　→firewalldの設定について学習・練習。 ③「設定ファイル改ざん検知プログラムを仕込んでみよう」 　→改ざんを検知すべきディレクトリの洗い直し。 ④「不審な設定を見つけたらすぐさま対応しよう」 　→設定上使われないユーザは無効化。セキュリティ事例を見てみよう。 ⑤「.htaccessファイルでアクセスを制限しよう」

    　→学習。 ⑥「journalctlや/var/logをみて、それで攻撃がわかるだろう」 　→改ざん検知プログラムの改修（パーミッション変更も検知。) ⑦不必要なプラグインの無効化 　→WordPressのプラグインについて学ぶ。

13. 反省： PDCAサイクル：PLANが不十分。 OODAループ：Observe,Decideの為の 　　　　　　 予備知識が不十分。