"申" （猿）がつくセキュリティツールを検証してみた

Transcript

1. “申”（猿）がつく セキュリティツールを検証してみた ほよたか（@takahoyo）

2. 私とssmjp • よく参加してたのは2014-2015年頃 • 「無線LANに対するとある攻撃手法とその対策」（2014/11） • 「パケットで遊ぼう」（2015/04） • あの頃は無垢な学生だった（とおいめ •

   学生の頃はめっちゃお世話になりました！

3. ssmjp 12周年おめでとう！LTしよう • お知らせをちゃんと読まずに、久しぶりに何か話すかーと思い とりあえず勢いでLTに申し込む • 干支縛りあったんか…

4. “申”（猿）がつく セキュリティツールを探す (´・ω・｀)

5. （続）“申”（猿）がつく セキュリティツールを探す

6. Infection Monkey • https://github.com/guardicore/monkey • いわゆる BAS（Breach and Attack Simulation）ツール

   • 攻撃者が使用したテクニックを自動で行い、攻撃をシミュレーション してくれるツール • 攻撃の成否から脆弱性をレポートしてくれる • 管理サーバ（Monkey Island）から各種攻撃を仕掛けて、感染 を広げられるかを試行する • データセンタ内部で侵害があったときに、どれくらいレジリエ ンスがあるかをテストするのが目的

7. DetectionLab を用いて検証環境を構築 • WindowsのAD環境とモニタリング環境をシュッと立てられる • Vagrantを使ってデスクトップに環境構築可能 https://detectionlab.network/

8. ツールのセットアップ • GitHubの以下のページにdevelop版のdeploy scriptと説明があ る • https://github.com/guardicore/monkey/tree/develop/deployment_s cripts

9. スキャンしてみる

10. 攻撃ログを見てみる • DetectionLabのSuricata（IDS)のログを確認

11. まとめ • “申”（猿）縛りであったが面白いツールを見つけられた • Infection MonkeyはDC内のセキュリティチェックに使えるツール • 自動でスキャンしてDC内の脆弱なホストを自動で見つけられる • 実際にExploitを打つので、セキュリティ機器の検知を試すことができる

    （Purple Team） • ただし、対応している攻撃はそこまで多くない • 実行は自己責任でお願いします… • DetectionLabは検証用の環境をシュッと立てるのに便利