TMC Tokyo Meetup x ZANSINで脅威モデリングとHardeningを体験した

TMC Tokyo Meetup x ZANSINという、午前中に脅威モデリングをして、その内容を元に午後からHardeningをするという、カレーとラーメンが一緒に出てきたみたいな夢のようなイベントに参加した。これはそのメモ

※カレーは本当に出てきた（後述）

運営やスポンサーの皆様、ありがとうございました。

朝

shinobe179shinobe179.iconの朝は弱い。6:30に一度目が覚めて、気がついたら8:00になっていた（開始9:00）

自宅〜最寄駅と乗り換えで全力疾走、身体能力の低下を感じる

会場最寄駅のどちらの出口から出たほうが早いかレベルのギリギリの駆け引きの末、オンタイムに会場着

脅威モデリング

チームメンバーの中で脅威モデリングの経験があったのが私だけだったので、なるべく他の方にペンを持っていただいた

DFDで現状把握 => STRIDEで脅威の列挙と評価 => Attack Tree（+ MITRE ATT&CK）で脅威の発生可能性経路の列挙という流れ

私のチームはDFDはエンドポイント重視で描き、エンドポイント毎の懸念される脅威を列挙してSTRIDEに当てはめて、最後に各脅威の成立経路をAttack Treeを使ってトップダウンで列挙するという流れ

チーム全体としてもいい感じに意見を出し合えた

メンバー全員、開発なりセキュリティなり強みを持っていたので、それらを活かせていたと思う

個人的には、初めて使ったAttack Treeの体験がよかった

脅威という抽象から原因・手法という具体までをシンプルに表せて、それでいてシステムのセキュリティを考える際の（少なくとも私の）メンタルモデルとも大きく乖離しない、いい道具だと思った

強いて言えば、Attack Treeのときにもっと具体的なイメージを持てていたらよかったのかもしれない

その手法ができるコードはどう書かれていて、どう直すかとか

それができていたら、コードが読みやすかったと思う

昼

カレーが美味しすぎる

あとうどんと牛すじがおいしかった、カレーと食べるうどんと牛すじは反則

Hardening

スプシを使って状況を共有しつつ進めた

休憩で出てきたスポンサー提供のおやつが美味しすぎる

個人的にタルト生地はハードめが好きなので嬉しかった

終了後

スポンサー提供のビールが美味しすぎる

飲んだら酔っ払って悔しさを忘れるので我慢していたが、美味しそうすぎて飲まざるを得なかった

反省

チームとしては、各々の強みを活かして各々が活躍できたと思う

反面、脅威モデリングの結果を活かしきれなかった感がある

脅威モデリングの結果に基づいて環境の確認ができたらよかったかもしれない

そのためには、前述したより具体的な手法、状況への落とし込みが必要だった

経験に基づく場当たり的な対応に終始してしまった

あと上位の組織にできていてうちのチームにできていなかったのは、

役割分担

暫定対応（送信元IPブロックとか）=>恒久対応という流れ

個人の動きの反省としては

Dockerコンテナのポートバインドをlocalhostに切り替えるのに手間取った

KeyError: 'ContainerConfig' みたいなエラーの解消に手間取る

実環境ではできないような無謀な修正もあった

このあたりは日頃から訓練をやる意義かもしれない

コンテナに目を向けすぎて、Docker Engineのオープンポートに気が付かなかった

なんであんな微妙なポート番号なの？

debugも「あるなー」と思いつつ掘り下げが足りなかった

コードの修正に全く貢献できなかった

ISUCONといい、いつまで言い続けるのか

shinobe179.icon今日ISUCONらしい、参加者の皆さん頑張ってください

ツールレベルの話で言うと、

限られた環境内で以下を実現する手段がいる

攻撃の詳細を把握する

脆弱性を効率よく発見する

iptables, ufw

ZANSIN Project

今回のHardening環境（攻撃含む）を提供してくださった精鋭集団

環境の構築から正常アクセス、攻撃まで自動化されたコード群が公開されている

なす術がなかったのと、こういうのが欲しかった（というか作りたかった）という二重の悔しさで、終わった後ビール飲みながらソースコードを読んだ

所属組織でもやってみたい

その前に、一人反省会_φ(･_･