狠狠撸

狠狠撸Share a Scribd company logo

Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )

?
?
Takayuki Ushida
Takayuki Ushida

Vuls祭り #1(http://vuls-jp.connpass.com/event/38391/)の資料です。

1 of 30
Downloaded 26 times
Vulsで危険な脆弱性を最速検知! The fastest detection of dangerous vulnerability by Vuls! Takayuki Ushida
Who am I ? ? Takayuki Ushida P-01 ? VulsRepo https://github.com/usiusi360/vulsrepo ? Qiita http://qiita.com/usiusi360
質問 Question ? 脆弱性の対応手段として 「プロダクション環境」でyum updateで全部のパッケージを毎 日アップデートしている人 ? 挙手! As for a method to deal with vulnerability, does anyone update all of the packages every day using the yum update in the “ production environment ”? ? Raise your hand! P-03 コードフリーズしカットオーバーしたシステム環境で全部のパッ ケージをアップデートするのは怖い I am scared to update all of the packages in the system environment which has already cut over but code-freezed. 業務アプリが動かなくなったら??? 全部再テスト??? 検証どこまでやれば??? じゃあ、外部の脆弱性情報をウォッチして自システムに影響のある ものだけアップデートしますか? Do you check the vulnerability information about the updates of rpms having the impact on the system ? ? 現実問題として As a practical matter
脆弱性情報をウォッチしつづけるのはツライ Painful to keep watching the vulnerability information ? CVE等の脆弱性情報は追加だけではない!過去の情報も頻繁 に更新されている。 The vulnerability information about CVE is not only added, but the past information has also been updated frequently. ? 更新された内容に重大な内容(脆弱性レベル?対象)が含まれていても、話 題になりにくい。 Even if an important information is included in the updated contents, it does not become a hot topic. ? 全てのアップデート情報について自システムのインストール構 成と照らし合わせて影響があるか一つずつ確認するのはタイヘ ン!チェック漏れがあったら一大事!! For all updates, it’s a tough work to make sure the impact of the installation configuration for the local system. If you leak a check, it will become a big deal. P-01
サイトに書かれている情報が 常に正しいとは限らない The information on the site is not necessarily correct. ? 脆弱性の影響範囲の情報が変更されてもNVD,JVN等に反映されるまでには、かな りタイムラグがある。(情報がアップデートされるのに数ヶ月掛かる場合もある) It requires a long time to reflect information about the vulnerability on NVD and JVN. Information in some cases take several months to be updated. ? そもそもNVD,JVNに詳細が載らないものも結構ある。 (CVE-IDだけ払い出されていて、詳細はベンダーサイトへ) There is much vulnerability whose details have not been published in the NVD and JVN. P-01 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5320
脆弱性対応は、時間との戦い!! Deal for the vulnerability, we need to hurry. ? 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くため のヒントが公開されたってこと。 The tips on how to attack the vulnerability is published mean that the hints for attackers has been open. ? 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 After vulnerability is published, it will increase the number of attacks rapidly. P-02 警察庁セキュリティポータルサイトより抜粋 http://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf ~~~ 発見?対処が遅れるほど、外 部から脆弱性を突かれるリス クが高くなる When the discovery and deal of vulnerability is delayed, the posibilyty of risks attacked from the outside will be higher.
P-01 Vulsは悩めるセキュリティ担当の救世主!! Vuls is a savior of the beleaguered security personnel ! !
Vulsによる自動差分チェックを運用中に 実際に遭遇した事例 Actual case which is encountered at the automatic differential check operated by Vuls ? 2016/6/24(Fri) – Vuls is detected the CVE-2016-1762 to the new – CVSS Score: 10.0(HIGH) MAX !! – ServerOS:CentOS6 – RPM Packeage:libxml2 P-01
CVE MITRE (The contents of 2016/6/24 time) P-01
NVD (The contents of 2016/6/24 time) P-01
JVN (The contents of 2016/6/24 time) P-01
あれ?スキャンしたのは 「CentOS」なんですけど? Why? We scan " CentOS " but? P-01
P-01 なんでApple製品対象の 脆弱性を検知してんの? Why dose it detect the vulnerability of an Apple product? もしかしてVulsが誤検知? Does it mean Vuls has made a mistake?
P-01 いやいや、Vuls先輩は正しく 検知してくれていました! No, Vuls has detected the vulnerability correctly!
RHELのサイトを見ると??? View the site of RHEL and ... P-01 スキャンした日の前日に 更新パッケージが出てる!! At the day before of the scanning, I came up with an update package ! ! https://access.redhat.com/security/cve/cve-2016-1762
P-01 確かにCVE-2016-1762に関する 更新がされてる!! Certainly it has been updated on the CVE-2016-1762! ! https://rhn.redhat.com/errata/RHSA-2016-1292.html
P-01 2016/9/5 74 days after 2016/7/27 34 days after 2016/6/23(Vuls Scan 6/24) RedHat Important: libxml2 security update NVD JVN 各サイトの更新状況 Update status of each site CVE MITRE 2016/1/13 Assigned
P-01 何故、Vulsは検知できたのか? Why is Vuls able to detect it? Question
P-01 Answer パッケージのchangelogからCVE-IDを拾い出しているから Because it picks up CVE-ID from the changelog of the package.
P-01 ?インストールされているものより新しいバージョンのあるパッケージについて全 部changelogをチェック Check all the changelog of the packages with the newer version than the installed ones. NVD、JVNに情報が載るよりも先に検知することも。 またNVD、JVNに詳細が載らなくても検知できる。 We can detect the information earlier than it is described in NVD and JVN. We can also detect it even if the details are not written in NVD or JVN. Vulsは擬似攻撃や自動アップデートは行わない。だから 環境に影響を与えることはない。安全にチェックできる。 Vuls does not perform a pseudo-attacks and automatic update. So, it does not affect the environment. It can be checked at safety.
Vulsで素早く検知?対応するため の運用方法 Operation method for quickly detecting and corresponding by Vuls. P-01
通知に関する問題 Issues related to notification ? 最初はVulsで全件検知させて、対応の要不要を判断。 First of all, we detect all vulnerability by Vuls and determine the necessity whether we should cope with the vulnerability. ? それ以降は差分通知がしたい! After that, it notifies the differences of updated vulnerability information. P-01 毎日スキャンし新しく検知した内容だけをウォッチするこ とで、新しい情報を見逃さない!埋もれさせない! If we scan the vulnerability information and pay attention to the newly detected contents, we can not miss the new information ! Vulsはシステムに存在する脆弱性を毎回全件通知 毎回大量に通知が発生すると必要な情報が埋もれてしまう Vuls notifies all vulnerability information for a system every time. If a large amount of notifications are generated, the necessary information is buried in them.
P-01 ? text形式のレポートをDiff Diff the text format of the report – Qiita:脆弱性検知ツールVulsで前日分との差分だけレポートする (http://qiita.com/usiusi360/items/90bad397c16c07a9630b) ? json形式のレポートを元に監視システムへ連携 Cooperation the json format of reports to the monitoring system – vuls scan&zabbixにsend [gist] (https://gist.github.com/aomoriringo/2ec69042d8330dbce0ae6097288a6ce4) – Zabbix上へ脆弱性(CVEID)の数を連携 ? Zabbix上でグラフ化 Graphed on Zabbix ? Zabbixのトリガー?アクション機能を使って、通知先を一元管理可能 Using the trigger action function of Zabbix, the notification destination centralized management possible Vulsで差分があったときだけ通知 Notify only when there is a difference in Vuls
P-01 VulsRepoでVulsの結果をピボットテーブルのように様々な角度か ら集計できる。 The results of the Vuls can be analyzed from a variety of view points as pivot tables in VulsRepo. VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo
P-01 VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo VulsRepoでは集計した結果をグラフにすることもできる。 The VulsRepo can display a graph aggregated by the results.
P-01 どのCVE-IDを新しく検知したのか? 脆弱性対応を行ったあと、ちゃんと脆弱性が無くなったか? Which CVE-ID does Vuls detect newly? After you have dealt with the vulnerability, does the vulnerability disappear properly? スキャン時間とCveIDを軸にして 見ることで、何が変化したか 簡単に見つけ出すことが可能 If we investigate the vulnerability information centered on the scan time and CveID, we can easily find out what has changed. VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo
P-01 VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo リンクをクリックするだけで外部 の情報サイトへ遷移 We can easily transit the outside information site by clicking a link.
P-01 ? VulsRepoを気に入った場合は ぜひGitHub Starを! Please to grant GitHub Star if you like the VulsRepo. VulsRepoのオンラインデモ Online demo of VulsRepo GitHub https://github.com/usiusi360/vulsrepo
P-01 まとめ Summary ? Vulsとサイトの情報を併用して多角的に情報収集が必要。 We cannot swallow the site information. We need to collect the information from the multiple views by Vuls. ? 検知した内容を埋もれさせない工夫が必要。 We need a method that the detected vulnerability information is not buried in the large amount of data. ? VulsRepoで多角的に分析 We can analyze from the multiple view points by VulsRepo.
P-01 Thank you

More Related Content

Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )