Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応勉強会Vol.2 Vulsハンズオン
Search
hogehuga
March 24, 2019
Technology
0
1.5k
脆弱性対応勉強会Vol.2 Vulsハンズオン
IPAの「脆弱性対策の効果的な進め方(ツール活用編)~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~」を基にしたハンズオン資料の概要です。
hogehuga
March 24, 2019
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
370
フライングガーデンLT
hogehuga
0
170
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
82
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
440
最近のドローン界隈(仮)
hogehuga
0
89
サウナととのい と 水風呂ととのい
hogehuga
0
140
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.1k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
110
Other Decks in Technology
See All in Technology
Wantedly での Datadog 活用事例
bgpat
1
500
なぜCodeceptJSを選んだか
goataka
0
160
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
160
コンテナセキュリティのためのLandlock入門
nullpo_head
2
320
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
460
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
32k
.NET 9 のパフォーマンス改善
nenonaninu
0
1k
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
110
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
190
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
hirotomotaguchi
2
750
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.3k
Featured
See All Featured
The Cult of Friendly URLs
andyhume
78
6.1k
Mobile First: as difficult as doing things right
swwweet
222
9k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
4 Signs Your Business is Dying
shpigford
181
21k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.9k
Making Projects Easy
brettharned
116
5.9k
Typedesign – Prime Four
hannesfritz
40
2.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Thoughts on Productivity
jonyablonski
67
4.4k
Designing Experiences People Love
moore
138
23k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Transcript
第2回 脆弱性対応勉強会 2019年03月30日 脆弱性対応研究会
脆弱性対応勉強会とは 脆弱性対応についての知見を共有する趣旨で立ち上げた「脆弱性対応研究会」の 勉強会です。 • サーバ等の運用面で発生する脆弱性に対して「どのように脆弱性を発見し、どの ように対応するのか」の知見が、世の中にはまとまっていない気がします。 • この勉強会では、これらの知見を共有していきたいと考えています。 ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を 対象とします。WEBアプリケーション脆弱性については、対象としません。
※本勉強会での発言は個人の見解であり、所属組織を代表するものではありませ ん。また、所属組織の情報を基にした見解ではなく、個人の経験やインシデント リサーチの結果によるものです。
お前誰よ • アカウント • hogehuga • 井上圭(Future株式会社) • 業務履歴 •
警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け!攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ! (勉強会限定)
本日の進め方 IPAテクニカルウォッチ「脆弱英対策の効果的な進め方(ツール 活用篇)」を使ったハンズオンを行います。 • 方針の簡単な説明を行います。 • 既に存在するサーバに、Vulsを導入します。 • Vulsでスキャンを行い、現存する脆弱性を確認します。 •
OWASP DependencyCheckと連携を行います。 • 古いApacheStruts2を配置します • OWASP DependencyCheckを導入し、チェックします • チェック結果を、Vulsと連携します。
タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)
10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します
IPAテクニカルウォッチ 「脆弱性対策の効果的な進め方 (ツール活用編)」 勝手に解説
IPAのテクニカルウオッチ IPAから「脆弱性対策の効果的な進め方(ツール活用編)」が公開さ れました。 • OpenSouceで公開している「Vuls」の利用についての資料でした。 • 脆弱性の「検知」について、このツールを使って楽をしましょう。 https://www.ipa.go.jp/security/technicalwatch/20190221.html
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話
3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証
5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します
脆弱性対策の考え方(抜粋)
脆弱性対策の考え方(抜粋) IPAの資料にて、脆弱性対策の フローが提示されている。 このフローの中で、Vulsで対応 できるものは以下の通り。 • 対象ソフトウェアの把握 ➢パッケージで導入したもの ➢個別で入れたもの(CPE登録) •
脆弱性関連情報の収集 脆弱性対策の効果的な進め方(ツール活用編) 「2.1. 脆弱性対策のフロー」抜粋
脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •
攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.2. 脆弱性情報の収集」抜粋
脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否
• 世界中どこからでも攻撃される可能 性 • 実証コード(所謂PoC)有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.3. 適用の判断」抜粋
少し確認 パッケージを使った方がいいの? • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •
但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの? • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
None
ハンズオン Vulsを既存サーバに導入し、スキャンしてみる
ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン(localモード) •
VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください(各自で調べて実 施) • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します
ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /
鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ! (勉強会限定)
ハンズオン注意 以下の二つの資料を配布します。 • IPAの資料 • 本ハンズオンでの注意点 まずは「本ハンズオンでの注意点」を確認し、IPAの資料のどの タイミングで特別な作業が必要なのか、を確認してください。 • DBの0からのfetchはやめてください。遅い&回線負荷がかかり
ます。直近2年のfetchとかは実施しても大丈夫です。
何かあればご相談ください。 何もなければ、私物のハニーポットの調整をしています。 ハンズオン開始
ハンズオン終了 お疲れさまでした。
おわりに • 今日のハンズオンはいかがでしたでしょうか。 • 脆弱性の検出は、自動化が望ましい • 人的負荷が少なく、検出漏れが少ない • 適用判断はある程度システム化できても、最後は人間が判断 •
今回のUbuntuだと、すべてアップデートすると脆弱性は検出さ れなくなりましたが、CentOSだと…
本日のハンズオンは 終了です。 お疲れさまでした。