builderscon初参加しました。

おうちに帰るまでじゃなく、ブログ書くまでがビルコンらしいので書きます。

あまりセッションを見られなかったのですが、動画/スライド公開なしの以下のセッションについて、後学のために記録しておこうかと思います。

※ 記憶と少しのメモを頼りに書いています。

builderscon.io

導入

- @Tsubomitchさんの自己紹介の時点でざわつく場内

  - 日替わり変更されるパスコードのある物理部屋に侵入するなど

  - 場合によっては社員証のコピーや不正デバイスも使う

  - ゴール設定は一番守りたいものを狙うこと

    -管理者権限の奪取、重要データの入手、機密エリアの物理侵入など

  - 「いろんな会社様を攻撃する」

概要

- 現実のサイバー攻撃を可能な限り忠実に再現する仕事で、Red Teamと呼ばれる。

- 会社間契約で決められたスコープの中で手段を問わずサイバー攻撃を仕掛ける。

- 管理者権限の奪取などゴールを設定し、抜き打ち実施。

- 攻撃対象は特定のIPやシステムだけでなく組織全体。

- システムの脆弱性だけではなく、人やインシデント対応といった包括的な組織の状況を把握をするためのサービスで、驚異ベースのペネトレーションテストと同義。

メモ

- ユーザの情報はソーシャルハックで取れる

  - SNSなどで指名、出身、学歴、所属等

  - フィッシングの材料

- フィッシングメールによるマルウェア感染を防ぐのは難しい

  - どうしても人の対応に依存する

  - 数撃ちゃ当たる

- 感染した端末から通知を受け取る

  - 感染端末を起点に権限昇格、横断的攻撃

  - pcadminはだいたいどこの会社にもいるのでターゲットにする

- ハッシュ化されたパスワードはクラックするだけ

- 二要素認証はめっちゃいい

  - ユーザとパスワードは大抵割れるが、トークンは難しい

  - 突破できないことないが、非常に手間

  - トークン取得済みのユーザのセッションを使うなど二要素認証の突破自体は回避

    - ユーザがランチに行くなど、席を外すタイミングを狙ってリモートログインする

- 大抵の情報はマイドキュメントにある

  - パスワード、座席表(部門と氏名)、知識ベースの2段階認証など

- わざわざそこまでやるやつはいないだろう、と誰かが言うたびにわざわざそこまでやるやつが現れる

感想と学び

- 標的型攻撃は基本的に防げない。検知できるかどうか、検知後の初動対応が攻撃者との時間勝負となるのでポイント。監視と即時対応の体制が必要。

- RedTeamとしては、設定したゴールは今までほぼ達成しているとの事。つまり、攻撃側が本気になると撃退することは難しい。

- 二要素認証は入れられるだけ入れた方が良い。BtoCで効果を発揮すると思っていたが、一度入り込まれた後の事を考えると社内システムでも有益。

- セキュリティ、脆弱性の情報は勉強会や海外の情報サイト、Twitter等で収集する。

- 体系的に学ぶ

  - サイバーキルチェイン

  - NIST CSF

  - ATT & CK Framework

- 実際に攻撃（される側）を体験する

  - Hardening Project

なかなか聞けない貴重な話で、質問者が大勢いたのも納得。
みんな気になるガチハッカーセッション、とても楽しかったです。

Secureworks Red Team テスト
https://www.secureworks.jp/capabilities/security-risk-consulting/real-world-testing/red-team-testing