皆さん、こんにちは!
2024年度が始まり、弊社にも新しい仲間が加わりました!そこで、新たなメンバーの技術の第一歩を後押しするために「技術合宿」を開催しました。
今回は、その「技術合宿」の開催記です!最後まで見ていただけると嬉しいです。
弊社について
弊社「ストーンビートセキュリティ株式会社」は情報セキュリティの専門企業(技術者集団)です!ペネトレーションテストや脆弱性診断、フォレンジックから緊急対応支援などのサービスを展開しています。
情報セキュリティの専門企業である「ストーンビートセキュリティ株式会社」は、安心して利用できる情報社会を実現するため、情報セキュリティ人材の育成や対策支援サービスなど、人や組織に根ざした幅広いセキュリティ対策を提供しています。
弊社ホームページ : https://www.stonebeat.co.jp/
技術合宿とは
まず技術合宿とは何なのかですが、その名の通り「技術を高める合宿」です!
診断メンバーに加え、新たなメンバーとともに研修センターに2泊3日滞在し、ひたすら学習を行いました。
合宿概要
| SBS | |
|---|---|
| 期間 | 4月17日(水)~ 4月19日(金) |
| 場所 | クロスウェーブ幕張 |
| 実施目的 | ペネトレーションのスキル向上 / 共通認識の醸成 |
| 到達目標 | ペネトレのアプローチ、ナレッジの把握 / HTBのランク取得 |
クロスウェーブ幕張さんに3日間お世話になりました。設備もかなり綺麗で色々と柔軟に対応いただきました。ありがとうございました!
弊社ではペネトレやフォレンジックなど、様々なサービスを提供していますが、今回の合宿ではペネトレに焦点をあてています。
では、技術合宿で具体的に何を行ったのかですが、今回は「HackTheBox」のマシンをひたすら解いていきました。
到達目標にもありますが、弊社は学習教材として「HackTheBox」を活用させていただいており、年に20回ほど「HackTheBox」を使用した勉強会も開催しています。
ということもあり「HackTheBox」を使用してペネトレーションの第一歩を踏み出そう!というのが今回の合宿の趣旨になります。
「HackTheBox」ってなに?という方は弊社が公開している記事を見てみてください!
選定マシン一覧
合宿では、計7つのマシンを選定しました!
| No | マシン名 | OS | 難易度 | URL |
|---|---|---|---|---|
| 1 | Valentine | Linux | Easy | app.hackthebox.com/machines/127 |
| 2 | Squashed | Linux | Easy | app.hackthebox.com/machines/514 |
| 3 | Arctic | Windows | Easy | app.hackthebox.com/machines/9 |
| 4 | Devel | Windows | Easy | app.hackthebox.com/machines/3 |
| 5 | Active | Windows | Easy | app.hackthebox.com/machines/148 |
| 6 | Love | Windows | Easy | app.hackthebox.com/machines/344 |
| 7 | Validation | Linux | Easy | app.hackthebox.com/machines/382 |
ここに挙げたマシンはあまり癖がなく、「HackTheBox」初心者の方でも解きやすいマシンです。これから「HackTheBox」を始めようかなと考えている方や何から学習すればいいかわからないという方にはぜひ参考にしていただきたいです。
いざ技術の旅へ
それでは本題に入りましょう!技術合宿スタートです!
各日の行動を振り返ってもいいかなと思ったのですが、長くなりそうなのでタームごとに振り返ることにします。
技術を学ぶということ
マシンの攻略を行う前に、技術を学ぶ上で意識すると良いことを全体で確認しました。
ペネトレーションという分野は想像以上に幅広いため、何を学ぶ必要があるのかを意識することが大切です。どのようなことをどのように学んでいくと良いのかを再確認できました。
マシン攻略開始!
色々大切なことはありますが、なにより楽しむことを忘れずに!と話したうえでマシンの攻略が始まりました!
いきなり3時間でマシンを解くのはなかなか難しいので、攻略時は診断メンバーがチューターとなり、助言を小出しにすることで時間内の攻略を目指しました。
知らない技術が出てくると、どう攻略すればよいのか分からず、苦しい時間を過ごすこともありましたが、チューターがうまくサポートし調査手法の伝授などを行っていました。
攻略時には、WriteUpを作成することの大切さも伝え、攻略達成の可否に関わらず全員が作成を行いました。
上の写真は実際に作成したWriteUpの例です。WriteUpを作成することで、いつでも振り返ることが出来るだけでなく、文章でまとめることによる理解の整理も可能です。
3時間という時間の中で攻略 + WriteUpの作成を行うのは少しハードでしたが、その分学びも多かったです。
解説でさらに理解を
各マシンの攻略には3時間用意していましたが、時間内に攻略できなかったり、あまり理解できていない部分は解説を聞いて理解します。
上のスライドは SSRF について解説しています。
マシンの攻略方法を伝えるのはもちろんですが、各脆弱性の根本的な問題から確認し、ロジックからしっかりと理解できることを目指しました。
夜の部?
合宿では各日9時~18時で学習を行いましたが、任意の学習として19時~24時まで談話室を用意していました。
任意参加ではありましたが、全員のメンバーが参加し昼の振り返りやWriteUpの作成進めたり、Windows Defenderの回避の勉強会も行われていました。
4月から新しく加わったメンバーと話す機会にもなり、技術だけでなく交流も深まったと思います!
実務とHTB
3日間の合宿ですが、気付けば最終日を迎えていました。
ここまで「HackTheBox」で学習してきましたが、実務と「HackTheBox」は違います。違いを意識せず同じような雰囲気で実務を行うと思わぬトラブルが発生してしまいます。実務と「HackTheBox」の違いを理解し、「HackTheBox」で得た知識や知見をうまく実務に活かしていくことが必要です。
そこで、実務と「HackTheBox」の違いを確認する時間を設けました。
違いをしっかりと理解し、今後の実務に取り組んでいきたいと思います。
合宿を経て
3日間の合宿が無事終了しました!
技術の成果はなかなか目で分かりにくい部分がありますが、マシンの数をこなすたびに調査手法や攻撃手法の手札が増え、スムーズに攻略できるようになっていたと思います。これは、今後実務や学習を行う上でも間違いなく活きてくる部分です。
私自身も多くのことを学ぶことが出来た合宿でした!今後に活かしていきたいと思います!
最後まで閲覧していただき、ありがとうございました!