Upload
hogehuga
View
2.812
Download
0
Embed Size (px)
Citation preview
脆弱性対策をもっと楽に!2016/07/21
INOUE
最近流行りのセキュリティスキャナについて説明をします。 これにより、運用している方が楽をできたらいいなー、という発表です。
これは何?
セキュリティ対策については、以下の三階層での運用が必要です。 エラッタ等の定期的な確認
Windows は、毎月第二火曜に公開 Linux 等の Errata は不定期リリースのため、随時確認が必要
CVE や JVN に代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、 RSS/RDF などで認識することが多い
脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断 定期的 (1 か月ごと等 )に実施することで、実際の脆弱性を発見できる
必要とされるセキュリティ運用
セキュリティ対策については、以下の三階層で運用が必要です。 エラッタ等の定期的な確認
Windows は、毎月第二火曜に公開 RHEL 等は不定期リリースのため、随時確認が必要
CVE や JVN に代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、 RSS/RDF などで認識することが多い
脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。 定期的 (1 か月ごと等 )に実施。
必要とされるセキュリティ運用
毎日、もれなく、確認が必要!
必要とされるセキュリティ運用
疲れたよ、○トラッシュ…… でもやらないといけないんだ !
そう、俺はゾンビ。死んでも動くんだ…
それは嫌!というわけで、もう少し考えよう。
セキュリティ運用の現状セキュリティ対策については、以下の三階層で運用が必要です。 エラッタ等の定期的な確認
Windowsは、毎月第二火曜に公開 RHEL等は不定期リリースのため、随時確認が必要
CVEやJVNに代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、RSS/RDFなどで認識することが多い
脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。 定期的(1か月ごと等 )に実施。
この階層の中で一番ツールが少ないのは、2番目の、CVEや JVNでの脆弱性情報部分です。 CVE や JVN情報を確認し、自分のシステムに影響があるかを確認する必要がある
エラッタ等と違い、該当する場合は速やかに対応が必要! ErrataはBugfixやEnhancementが含まれているため、セキュリティ的に脆弱だから更新がされた、とは限らない
適用しなくてよいものも多数 これを選別する必要がある
この層できちんと対応できていたら、システム側のセキュリティ上の影響という観点では、大半は対策できているんじゃね?
これ、ないがしろにされてね?
そこで
Vulsの登場です。
現在順次開発中の、セキュリティ スキャナです CVE/JVN の情報を基に、対象サーバをスキャンし、ホストごとに
CVSS スコアを確認したりすることができるものです。 アップデートしていないパッケージ数ではなく、 CVE/JVN の情報からの
CVSS Score で評価できるため、現実的な対応ができます 勝手にアップデートはしません。スキャンだけです。
github.com/future-architect/vuls で公開 Future-architect 社 (http://www.future.co.jp/) の方が公開しているようですが、オープンに開発 / 利用できるため、 OSS と言ってよいと思います。
開発は Slack 上でやり取りが行われています。 現在、順次進化中!です。
Vuls って何よ?
どのような構成なのか
By github.com/future-architect/vuls
Vuls を動かすサーバ go 言語 Git で導入
github.com/kotakanbe/go-cve-dictionary github.com/future-architect/vuls github.com/usiusi360/vulsrepo
Vuls でスキャンされるサーバ スキャン用アカウント
apt-get , apt-cache の sudo 権限が必要 yum-plugin-securiy, yum-changelog の導入が必要
スキャンされる側は、変更がほとんど必要ない!
どうやって入れるのか
Vuls のサーバで、スキャンコマンドを実行 vuls prepare コマンドで、スキャン対象サーバの準備 vuls scan コマンドでスキャン開始
実行結果を WEB-UI で確認する 別途 WEB サーバを用意し、 VulsRepo で情報を見る CVSS Score を見つつ、対処を検討する
利用感
コンソールからも確認可能
WEB-UI のほうが便利
どのように確認ができるのか
見辛い、、? ごもっとも。デモサイトを IDCF クラウド上に 作ったので、見てみましょう
http://pandora-fms.hogehuga.info/vulsrepo/ 予告なく停止する場合があります。 若しくは、開発者の方のデモサイトを見ましょう
http://usiusi360.github.io/vulsrepo/ こっちのほうが、スキャン対象サーバがいっぱいあります。
DEMO
以上、 Vuls につて見てきましたが、これだけではセキュリティ対応は万全ではありません。 アプリケーション上の脆弱性は、パッケージやサービスを更新しても、発生することがあります。
それを発見するのは、脆弱性診断。 脆弱性診断は、頻度は低くとも必要。
とはいえ、これだけではダメ
Service
• サービスの脆弱性• Buffer Overflow 等
Apps• アプリケーションの脆弱性
• XSS 、 SQL Injection 等
Data• データの脆弱性
• 安直なパスワード等
今の世の中のエンジニアは、いろいろ忙しい! 自動化できるところは自動化して、判断することにリソースを集中しましょう 若しくは空いた時間を利用してツーリングにでも行こう!
以上です。
まとめ