• Home

  • Software

  • (Vulsで)脆弱性対策をもっと楽に!
15
脆脆脆脆脆脆脆脆脆脆脆2016/07/21 INOUE

(Vulsで)脆弱性対策をもっと楽に!

Embed Size (px)

Citation preview

Page 1: (Vulsで)脆弱性対策をもっと楽に!

脆弱性対策をもっと楽に!2016/07/21

INOUE

Page 2: (Vulsで)脆弱性対策をもっと楽に!

最近流行りのセキュリティスキャナについて説明をします。 これにより、運用している方が楽をできたらいいなー、という発表です。

これは何?

Page 3: (Vulsで)脆弱性対策をもっと楽に!

セキュリティ対策については、以下の三階層での運用が必要です。 エラッタ等の定期的な確認

Windows は、毎月第二火曜に公開 Linux 等の Errata は不定期リリースのため、随時確認が必要

CVE や JVN に代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、 RSS/RDF などで認識することが多い

脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断 定期的 (1 か月ごと等 )に実施することで、実際の脆弱性を発見できる

必要とされるセキュリティ運用

Page 4: (Vulsで)脆弱性対策をもっと楽に!

セキュリティ対策については、以下の三階層で運用が必要です。 エラッタ等の定期的な確認

Windows は、毎月第二火曜に公開 RHEL 等は不定期リリースのため、随時確認が必要

CVE や JVN に代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、 RSS/RDF などで認識することが多い

脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。 定期的 (1 か月ごと等 )に実施。

必要とされるセキュリティ運用

毎日、もれなく、確認が必要!

Page 5: (Vulsで)脆弱性対策をもっと楽に!

必要とされるセキュリティ運用

疲れたよ、○トラッシュ…… でもやらないといけないんだ !

そう、俺はゾンビ。死んでも動くんだ…

それは嫌!というわけで、もう少し考えよう。

Page 6: (Vulsで)脆弱性対策をもっと楽に!

セキュリティ運用の現状セキュリティ対策については、以下の三階層で運用が必要です。 エラッタ等の定期的な確認

Windowsは、毎月第二火曜に公開 RHEL等は不定期リリースのため、随時確認が必要

CVEやJVNに代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、RSS/RDFなどで認識することが多い

脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。 定期的(1か月ごと等 )に実施。

この階層の中で一番ツールが少ないのは、2番目の、CVEや JVNでの脆弱性情報部分です。 CVE や JVN情報を確認し、自分のシステムに影響があるかを確認する必要がある

エラッタ等と違い、該当する場合は速やかに対応が必要! ErrataはBugfixやEnhancementが含まれているため、セキュリティ的に脆弱だから更新がされた、とは限らない

適用しなくてよいものも多数 これを選別する必要がある

この層できちんと対応できていたら、システム側のセキュリティ上の影響という観点では、大半は対策できているんじゃね?

これ、ないがしろにされてね?

Page 7: (Vulsで)脆弱性対策をもっと楽に!

そこで

Vulsの登場です。

Page 8: (Vulsで)脆弱性対策をもっと楽に!

現在順次開発中の、セキュリティ スキャナです   CVE/JVN の情報を基に、対象サーバをスキャンし、ホストごとに

CVSS スコアを確認したりすることができるものです。 アップデートしていないパッケージ数ではなく、 CVE/JVN の情報からの

CVSS Score で評価できるため、現実的な対応ができます 勝手にアップデートはしません。スキャンだけです。

github.com/future-architect/vuls で公開 Future-architect 社 (http://www.future.co.jp/) の方が公開しているようですが、オープンに開発 / 利用できるため、 OSS と言ってよいと思います。

開発は Slack 上でやり取りが行われています。 現在、順次進化中!です。

Vuls って何よ?

http://www.future.co.jp/
http://www.future.co.jp/
Page 9: (Vulsで)脆弱性対策をもっと楽に!

どのような構成なのか

By github.com/future-architect/vuls

Page 10: (Vulsで)脆弱性対策をもっと楽に!

Vuls を動かすサーバ go 言語 Git で導入

github.com/kotakanbe/go-cve-dictionary github.com/future-architect/vuls github.com/usiusi360/vulsrepo

Vuls でスキャンされるサーバ スキャン用アカウント

apt-get , apt-cache の sudo 権限が必要 yum-plugin-securiy, yum-changelog の導入が必要

スキャンされる側は、変更がほとんど必要ない!

どうやって入れるのか

Page 11: (Vulsで)脆弱性対策をもっと楽に!

Vuls のサーバで、スキャンコマンドを実行 vuls prepare コマンドで、スキャン対象サーバの準備 vuls scan コマンドでスキャン開始

実行結果を WEB-UI で確認する 別途 WEB サーバを用意し、 VulsRepo で情報を見る CVSS Score を見つつ、対処を検討する

利用感

Page 12: (Vulsで)脆弱性対策をもっと楽に!

コンソールからも確認可能

WEB-UI のほうが便利

どのように確認ができるのか

Page 13: (Vulsで)脆弱性対策をもっと楽に!

見辛い、、? ごもっとも。デモサイトを IDCF クラウド上に 作ったので、見てみましょう

http://pandora-fms.hogehuga.info/vulsrepo/ 予告なく停止する場合があります。 若しくは、開発者の方のデモサイトを見ましょう

http://usiusi360.github.io/vulsrepo/ こっちのほうが、スキャン対象サーバがいっぱいあります。

DEMO

http://pandora-fms.hogehuga.info/vulsrepo/
http://pandora-fms.hogehuga.info/vulsrepo/
http://usiusi360.github.io/vulsrepo/
http://usiusi360.github.io/vulsrepo/
Page 14: (Vulsで)脆弱性対策をもっと楽に!

以上、 Vuls につて見てきましたが、これだけではセキュリティ対応は万全ではありません。 アプリケーション上の脆弱性は、パッケージやサービスを更新しても、発生することがあります。

それを発見するのは、脆弱性診断。 脆弱性診断は、頻度は低くとも必要。

とはいえ、これだけではダメ

Service

• サービスの脆弱性• Buffer Overflow 等

Apps• アプリケーションの脆弱性

• XSS 、 SQL Injection 等

Data• データの脆弱性

• 安直なパスワード等

Page 15: (Vulsで)脆弱性対策をもっと楽に!

今の世の中のエンジニアは、いろいろ忙しい! 自動化できるところは自動化して、判断することにリソースを集中しましょう 若しくは空いた時間を利用してツーリングにでも行こう!

以上です。

まとめ


春の脆弱性祭り 2017/06/13

春の脆弱性祭り 2017/06/13

Software
IDAの脆弱性とBug Bounty by 千田 雅明

IDAの脆弱性とBug Bounty by 千田 雅明

Technology
コストを抑えたPCIDSSソリューション 脆弱性診断+WAF

コストを抑えたPCIDSSソリューション 脆弱性診断+WAF

Documents
脆弱性スキャナー Nessus 利用ガイド初級編

脆弱性スキャナー Nessus 利用ガイド初級編

Software
Microsoft脆弱性発見数業界No. 2015 7kaneda).pdf脆弱性を見つければIPSにフィルタを配布 2 03 DVLabs リサーチ & QA 週1回の フィルタ配布 Microsoft脆弱性発見数業界No.1

Microsoft脆弱性発見数業界No. 2015 7kaneda).pdf脆弱性を見つければIPSにフィルタを配布 2 03 DVLabs リサーチ & QA 週1回の フィルタ配布 Microsoft脆弱性発見数業界No.1

Documents
2020年 月期第1四半期決算説明資料 · ・siem構築、分析、運用支援 ・脆弱性情報提供 脆弱性診断サービス ・webアプリケーション脆弱性診断

2020年 月期第1四半期決算説明資料 · ・siem構築、分析、運用支援 ・脆弱性情報提供 脆弱性診断サービス ・webアプリケーション脆弱性診断

Documents
~深刻度を評価する「CVSS」を利用した脆弱性対策について ...活用例 脆弱性対策情報 被害を受けるポテンシャ ル ・脆弱性の深刻度の調査

~深刻度を評価する「CVSS」を利用した脆弱性対策について ...活用例 脆弱性対策情報 被害を受けるポテンシャ ル ・脆弱性の深刻度の調査

Documents
~脆弱性調査ツールの解説と法の動向~ 独立行政法 …2018年9月26日(水) 目次 1. 脆弱性発見手法の学習 2. 脆弱性の評価方法 3. 脆弱性情報の取扱いについて

~脆弱性調査ツールの解説と法の動向~ 独立行政法 …2018年9月26日(水) 目次 1. 脆弱性発見手法の学習 2. 脆弱性の評価方法 3. 脆弱性情報の取扱いについて

Documents
WideAngle - NTT Communications...OSINTモニタリング 脆弱性診断/セルフ脆弱性診断 脆弱性見える化ソリューション マネージドセキュリティサービス

WideAngle - NTT Communications...OSINTモニタリング 脆弱性診断/セルフ脆弱性診断 脆弱性見える化ソリューション マネージドセキュリティサービス

Documents
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )

Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )

Software
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性

Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性

Documents
シスコ脆弱性データベース(VDB)アップ デート 299 のリリース ... · 脆弱性データベースアップデート299でサポートされる アプリケーションの合計数

シスコ脆弱性データベース(VDB)アップ デート 299 のリリース ... · 脆弱性データベースアップデート299でサポートされる アプリケーションの合計数

Documents
Nessus は脆弱性、構成、コンプライアンス評価に、世界中で …...Nessus Professional 脆弱性スキャナー 業界で最も広く普及している脆弱性評価ソリューション、Nessus®

Nessus は脆弱性、構成、コンプライアンス評価に、世界中で …...Nessus Professional 脆弱性スキャナー 業界で最も広く普及している脆弱性評価ソリューション、Nessus®

Documents
脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要 オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要 オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

Documents
TCP の脆弱性から〜...2 TOPIC • 2004年4月21日に公開されたTCPの脆弱性Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程!

TCP の脆弱性から〜...2 TOPIC • 2004年4月21日に公開されたTCPの脆弱性Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程!

Documents
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls

Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls

Software
SSLサーバ証明書のオプション機能で ウェブサイトの脆弱性 …e-staffingシステム 脆弱性アセスメントの仕組 ③脆弱性を発見し たら、管理者メー

SSLサーバ証明書のオプション機能で ウェブサイトの脆弱性 …e-staffingシステム 脆弱性アセスメントの仕組 ③脆弱性を発見し たら、管理者メー

Documents
DNSの動向 - iwparchives.jp · dnsソフトウェアの脆弱性 bindの脆弱性の状況 代表的なdnsソフトウェアであるbindにつ いて、2016年は、年間最多となる9件の脆弱性

DNSの動向 - iwparchives.jp · dnsソフトウェアの脆弱性 bindの脆弱性の状況 代表的なdnsソフトウェアであるbindにつ いて、2016年は、年間最多となる9件の脆弱性

Documents
脆弱性もバグ、だからテストしよう DevSummiFukuoka

脆弱性もバグ、だからテストしよう DevSummiFukuoka

Technology
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性

Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性

Software
讀書筆記-Brene brown-脆弱的力量

讀書筆記-Brene brown-脆弱的力量

Self Improvement
SecPoint脆弱性検査ツール (ペネトレーションツー …プライシング:脆弱性診断 Cloud Penetrator 【契約だけで即利用可能なSaaS】 1 IPライセンス

SecPoint脆弱性検査ツール (ペネトレーションツー …プライシング:脆弱性診断 Cloud Penetrator 【契約だけで即利用可能なSaaS】 1 IPライセンス

Documents
GNU Bash 環境変数コマンド インジェクト脆弱性 - …2014/09/26  · GNU Bash 環境変数コマンド インジェクト脆弱 性 High アドバイザリーID : cisco-sa-

GNU Bash 環境変数コマンド インジェクト脆弱性 - …2014/09/26  · GNU Bash 環境変数コマンド インジェクト脆弱 性 High アドバイザリーID : cisco-sa-

Documents
クラウド型Webアプリケーション脆弱性診断ツール VAddy(バ … · クラウド型Webアプリケーション脆弱性診断ツールVAddy 5 Webアプリケーション脆弱性検査を全ての人へ

クラウド型Webアプリケーション脆弱性診断ツール VAddy(バ … · クラウド型Webアプリケーション脆弱性診断ツールVAddy 5 Webアプリケーション脆弱性検査を全ての人へ

Documents
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた

サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた

Technology
認識すべき現場の実態...•脆弱性のスキャニング •脆弱性の評価 •脆弱性の改善 •ゼロデイ攻撃リサーチ •サイバー攻撃(犯罪)プロファイリング

認識すべき現場の実態...•脆弱性のスキャニング •脆弱性の評価 •脆弱性の改善 •ゼロデイ攻撃リサーチ •サイバー攻撃(犯罪)プロファイリング

Documents
サイバー攻撃と脆弱性の動向 - JPNIC

サイバー攻撃と脆弱性の動向 - JPNIC

Documents
増加する脆弱性を評価するシステム(CVSS)の活用(共通脆弱性評価システム) • 脆弱性に対する汎用的な評価手法 • CVSSv2 とCVSSv3 がある。

増加する脆弱性を評価するシステム(CVSS)の活用(共通脆弱性評価システム) • 脆弱性に対する汎用的な評価手法 • CVSSv2 とCVSSv3 がある。

Documents
RealPresence Group Ver4.1.3.2及び4.0.2.2 (OpenSSL脆弱 ......2014 年5 月2 日 RealPresence Group Ver4.1.3.2及び4.0.2.2 (OpenSSL脆弱性対応) バージョンアップ手順書

RealPresence Group Ver4.1.3.2及び4.0.2.2 (OpenSSL脆弱 ......2014 年5 月2 日 RealPresence Group Ver4.1.3.2及び4.0.2.2 (OpenSSL脆弱性対応) バージョンアップ手順書

Documents
2007 - 应用系统脆弱性概论

2007 - 应用系统脆弱性概论

Internet