Seccon大阪大会結果からみるcsirt対応について
-
Upload
akitsugu-ito -
Category
Technology
-
view
2.531 -
download
0
Transcript of Seccon大阪大会結果からみるcsirt対応について
![Page 1: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/1.jpg)
隠れたインシデントを見つけ出す!SECCON大阪大会結果からみるCSIRT対応について
1/30/2016 1
SECCON 実行委員伊藤彰嗣
![Page 2: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/2.jpg)
SECCON 2015 大阪大会
CSIRT におけるインシデント対応に求められるスキルを学び、競う大会
1/30/2016 2
http://2015.seccon.jp/osaka-csirt-challenge.html
![Page 3: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/3.jpg)
SECCON 大阪大会 - 予選 -
1/30/2016 3
申込み人数 36チーム105名
概要 CSIRT の窓口対応における初動対応について、具体事例に関する回答を提出いただきました。
サイト改ざん 情報漏えい PC 紛失
不正な通信 リスト型攻撃
![Page 4: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/4.jpg)
課題の審査結果
点数 評価 チーム数
5 回答内容が必要十分である 6
4 回答内容に不足が無く、誤りもない 7
3 回答内容が不足している。もしくは、回答に誤りがある。
15
2 回答内容が不足し、回答に誤りがある。 5
1 回答内容がフォーマットにあっていない。 3
1/30/2016 4
![Page 5: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/5.jpg)
上位チームの解答例(サイト改ざん)
1/30/2016 5
原因
• 内部犯行
• 第三者の攻撃
• フィッシングサイト
• マルバタイジング
• ドメイン乗っ取り
• 誤報告
初動対応
• ヒアリング
• 安全な環境から
サイトにアクセス
• Virustotal の活用
• エスカレーション
• 関係機関への連絡
調査
• 他サイトの調査
• アクセスログの調査
• マルウェア設置方法
• マルウェア解析
• 情報漏えい有無確認
![Page 6: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/6.jpg)
上位チームの回答
1/30/2016 6
• 効率良く初動対応することができる
断片的な事実から多様な原因を想定
• 同時並行的に実行する作業について優先順位付けが明確
• 自社の CSIRT を想定した実践的な内容
「初動対応」と「調査」対応を分離
• お客様データへの被害、個人情報流出有無など
「連絡基準」が明確に定められている
![Page 7: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/7.jpg)
SECCON 大阪大会 - 本選 -
1/30/2016 7
開催日時 2015 年 11 月 8 日(日)
会場 グランフロント大阪 ナレッジキャピタル(タワーC 10 F慶應大阪シティキャンパス)
参加人数 15チーム59名
主催 SECCON 実行委員会日本ネットワークセキュリティ協会(JNSA)
協力 奈良先端科学技術大学院大学トレンドマイクロ株式会社
概要 CSIRT演習をテーマにしたオフラインの競技大会- インシデント体験ボードゲーム
![Page 8: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/8.jpg)
プレーヤーの目的
8
ある企業内で発生する情報セキュリティインシデントを解決すること
![Page 9: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/9.jpg)
断片的な事実
1/30/2016 9
![Page 10: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/10.jpg)
有効な対策を選択
1/30/2016 10
![Page 11: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/11.jpg)
ゲームの流れ
11
• 3ラウンド終了後、会社を存続させることが出来れば勝利となります。
ゲーム終了後に、インシデント対応に関するプレゼンを実施いただき、優勝チームを決定
![Page 12: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/12.jpg)
当日の様子
1/30/2016 12
![Page 13: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/13.jpg)
最終プレゼンの様子
1/30/2016 13
![Page 14: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/14.jpg)
最終審査結果
順位 チーム名 分析 対策 プレゼン 総合点
1 nw 8 6 6 20
2 Binja 6 3 7 16
3 bremen 2 6 2 10
4 GTJ 4 0 5 9
5 indo8 2 0 3 5
1/30/2016 14
![Page 15: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/15.jpg)
優勝チーム nw
1/30/2016 15
WriteUP:http://d.hatena.ne.jp/ozakira/20151108
![Page 16: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/16.jpg)
参加者へのアンケート結果
アンケート項目 点数(5点満点)
総合満足度 4.12
ゲームのできばえ 3.75
自分がファシリテータをやってみたいと思うか
3.24
自社でやってみたいか 3.86
優勝チームの選出方法に納得感はあったか
4.36
1/30/2016 16
全体としては参加者の方に満足いただけた
![Page 17: Seccon大阪大会結果からみるcsirt対応について](https://reader031.fdocuments.net/reader031/viewer/2022021921/58ed3f7c1a28abb8778b467f/html5/thumbnails/17.jpg)
まとめ
1/30/2016 17
• CSIRT演習をテーマにしたオフラインの競技大会を開催
SECCON 2015 大阪大会
• 普段からチーム内で訓練することが重要
断片的な事実から全体を推測する