狠狠撸

狠狠撸Share a Scribd company logo

脆弱性スキャナ痴耻濒蝉で始めるセキュリティ対策

?Download as PPTX, PDF?
?
Takayuki Ushida
Takayuki Ushida

[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。

1 of 36
Downloaded 53 times
1 脆弱性スキャナ で始める セキュリティ対策 第2回ゼロから始めるセキュリティ入門 勉強会 2017.1.16 Takayuki Ushida
自己紹介 ? 牛田 隆之(Ushida Takayuki) ? フューチャーアーキテクト株式会社 – Technology Innovation Group – セキュリティーソリューション担当 – 前職ではインフラ運用?監視系 ? 脆弱性スキャナVulsのビューアVulsRepoを開発 ? Twitter/Qiita/GitHub – usiusi360 2
3 昨今の脆弱性情勢と運用面の課題
毎日脆弱性に関するニュースで一杯 4抜粋)IT Pro http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security
5 脆弱性報告件数の推移 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の 取扱いに関する届出状況[2016年第3 四半期(7月~9月)] https://www.jpcert.or.jp/press/2016/vul nREPORT_2016q3.pdf 1日あたり4.2件もの脆弱性が報告されている。 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の取 扱いに関する届出状況[2016年第3四半 期(7月~9月)] https://www.jpcert.or.jp/press/2016/vuln REPORT_2016q3.pdf
6 脆弱性対応は、時間との戦い!! 発見?対処が遅れるほど、外 部から脆弱性を突かれるリス クが高くなる ? 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くた めのヒントが公開されたってこと。 ? 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 ? 実际には公表される前のゼロデイもあって怖い。
7 脆弱性情報を毎日ウォッチしつづけるのはツライ ? CVE等の脆弱性情報は追加だけではない! 過去の情報も頻繁に更新されている。 ? 更新された内容に重大な内容(脆弱性レベル?対象)が含ま れていても、話題になるのは一部だけ。 ? 全てのアップデートについて毎回、自システムのインストー ル構成と照らし合わせて影響があるか一つずつ確認する のはタイヘン!チェック漏れがあったら一大事!!
脆弱性情報を元にした人力運用の限界 ? 日々増えていく脆弱性を人が一つ一つ判断するのは限界 ? 脆弱性情報提供サイトの情報提供自体に遅延が生じている。 脆弱性対策の自動化が必要 脆弱性対策ツールを 適材適所で正しく使う 8
9 サーバにおける脆弱性対策
10 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 脆弱性対策の分類 近年、脆弱性の種類も多様化し、一つの対策方法だけでは防げない。 脆弱性対策 ネットワーク多 層防御 脆弱性診断 侵入 早期検知
11 公開サーバのネットワーク多層防御?侵入早期検知 SYN Flood攻撃(DoS攻 撃) SQLインジェクション クロスサイト スクリプティング ポートスキャン 指定IP以外の送信元 通信 コマンドインジェクショ ン F5攻撃(Dos攻撃) Webアプリケーシ ョン サーバソフト OS ネットワーク WAF IPS ファイアウ ォール Apache mod_security Apache mod_dosdetector Iptables firewalld
12 脆弱性診断 Webアプリケー ション サーバソフトウ ェア OS ネットワーク Webアプリケーション 脆弱性スキャナー ソフトウェア脆弱性 スキャナ ネットワーク 脆弱性スキャナー ネットワーク ポートスキャナー セキュリティ設定 監査ツール Rapid7、Nessus、OpenVAS Nmap OpenVAS、OpenSCAP、 Lynis OpenVAS、OpenSCAP OWASP dependency-check OpenVAS、OWASP ZAP、 Rapid7、Nessus、 Nikto
13 脆弱性スキャナVulsの紹 介 VULnarability Scanner 脆弱性 スキャナー
概要 ?潜在する脆弱性と該当サーバを可視化 ?定期実行で対策漏れがなくなる
15 特徴 ? オープンソース(GPLv3) ? エージェントレス (管理サーバにモジュール配置するのみ) スキャン対象にはSSH接続のみ。非破壊で安全にスキャン。 AWSへの事前申請不要。 ? セットアップ、初期設定が非常に簡単 ? ディストリビューションパッケージ及びパッケージ以外のソフ トウェアの脆弱性も検知可能(要CPE登録) ? オンプレ、クラウドの両方に対応 ? 幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、???) ? Dockerコンテナ対応(SSH不要) ? 日本語でレポート可能 ? 豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
16 Vuls普及の勢い 一時1位(/約1,000万)に! GitHub Stars Vulsの認知度
17 メディア紹介 IPAのWeb記事 ( MyJVN事例紹介) ThinkIT 参照URL: <https://thinkit.co.jp/article/10092> 参照URL: <http://jvndb.jvn.jp/apis/>
18 VulsRepo Vulsの豊富な通知?レポート手段
19 Vuls?SlackVulsのスキャン結果通知 ? Email、Slack通知に対応(日本語で表示可)
20 Vuls?SlackVulsのスキャン結果通知 ? 監視ソフト Zabbixへ検知数を連携 Qiita:脆弱性スキャナVulsのスキャン結果をZabbixへ連携し アラート通知する 脆弱性検知結果を 出力?加工 Zabbixで条件指 定、新規脆弱性検 知 スキャンスクリプトを cronに登録し、 Zabbixに送信
21 Vulsのレポート(分類) レポート提出 コンソール QuickSight ElasticSearch+Kibana 小規模 大規模 クラウド TUI Web(VulsRepo) Excel オンプレ インタラクティブ システム規模と目的に合わせて選択可能
22 Vuls TUI Vuls TUIで簡単に結果をコンソールで閲覧可能。 Vulsのレポート表示(TUI)
23 VulsRepo VulsRepoでVulsの結果をピボットテーブルのように色々な角度か ら集計できる。またグラフ化することもできる。 Vulsのレポート表示(Web- VulsRepo)
24 VulsRepo Qiita:VulsのログをCSVにしてExcelで可視化する - Execlレポートにすることでシステムに直接アクセスできない監査組 織への定期報告に使える Vulsのレポート表示(Excel連携)
25 VulsRepo クラウド上のBI SaaSサービスへ連携することで大規模環境のログでも 素早く集計、ドリルダウンができるようになる。 Vulsのレポート表示(Amazon QuickSight連携)
26 VulsRepo Qiita:VulsのログをElasticSearchに取り込んで可視化する – オンプレ環境で大量のログを集計、可視化する際に有効 Vulsのレポート表示(ElasticSearch+Kibana連携)
27 Vuls構成パターン
28 Vuls構成パターン① Vulsはエージェントレス、スキャンし たいサーバにSSH接続するだけでチ ェックが行えます。疑似攻撃を行うわ けではないためシステムに影響を与 えることなく安全にスキャンできます。 リモートサーバをスキャン dockerコンテナ内のスキャンを行う 場合、「docker exec」コマンドを介し てチェックします。そのためdockerコ ンテナ内にSSHデーモンは必要あり ません。Vulsをインストールしたサー バ以外にリモートのサーバであって も同様にスキャン可能です。 Dockerコンテナをスキャン
29 Vuls構成パターン② 複数のシステムを運用していて、それぞれが別々のネットワークに分離されて いるような環境の場合、個々のVulsサーバでスキャン時に出力されたJSONフ ァイルを一箇所に集めることで、横断的に分析することができます。 複数のVulsサーバによる運用
30 Vuls構成パターン③ Vulsはスキャン時にyumやaptコマンドにより最新版パッケージのchangelogまたは updateinfoの情報を取得するためインターネットへのアクセス経路が必要です。 システムの構成またはポリシー上、外部へ直接アクセスできる経路がない場合は、シス テム内にローカルリポジトリサーバを構築しパブリックなリポジトリサーバのデータをミラ ーし、システム内の各サーバはローカルリポジトリを参照することでスキャンすることが 出来るようになります。 インターネットから隔離された環境での運用
31 他のツールとの比較
32 VulsとOpenVAS、AWS Inspecterの比較 Vuls OpenVAS AWS Inspecter コスト OSS OSS 従量課金 対象OS Amazon Linux、CentOS、Debian、 FreeBSD、Redhat、Ubuntu CentOS、Debian、Fedora、 RedHat、Windows AmazonLinux、Ubuntu(14.04LTS ~)、 Redhat(7.2) CentOS(7.2) Windows Server 2008 R2、2012 チェック 内容 .pkg、.rpmに含まれたCVE CPEを指定したもののCVE .pkg、.rpmに含まれたCVE NVTs(Network Vulnerablility Tests)※検査用シグネチャに基 づいたスキャン 一般的な脆弱性と曝露 CISオペレーションシステムのセ キュリティ設定ベンチマーク セキュリティのベストプラクティス レポート Web、CUI、text、JSON、Mail、 slack、CSV Web、HTML、CSV、PDF Web、CSV ログイン 権限 一般ユーザでのログイン権限+ sudo権限 Root権限を持つユーザでのログ イン権限 エージェントを起動 導入の 容易さ ◎ △ ◎ クラウド 環境で の使用 申請不要 申請必要 申請不要
33 VulsとOpenVAS、AWS Inspecterの比較 ? Qiita:Vuls?OpenVAS?Amazon Inspectorを徹底比較 – Vulsはスキャンスピード、検知精度に優れている結果になった!
34 Vuls 参考情報 ? GitHub https://github.com/future-architect/vuls/blob/master/README.ja.md ※日本語マニュアルがあります。 ? コミュニティSlack https://vuls-github.slack.com/messages/vulsjp/ ? 勉強会(vuls-jp) #1 2016/9/26開催 100名ほど参加 http://vuls-jp.connpass.com/ ? Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e 検索
35 まとめ 脆弱性検知は自動チェックツールを使って運用を楽に! 有償サポート、導入サポート、カスタマイズはご相談ください ? フューチャーアーキテクト株式会社 担当:牛田(ウシダ)まで ? mailto: gr-tig-ta-security@future.co.jp ? 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化すること です。 ? 脆弱性検知は一回行って終わりではありません。継続的に実施するこ とが必要です。 OSSなので無料で使えます! ? 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだけで 構成できます。 ? 規模や運用条件に合わせて柔軟に構成できます。
36

More Related Content

脆弱性スキャナ痴耻濒蝉で始めるセキュリティ対策