Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応勉強会Vol.2 Vulsハンズオン
Search
hogehuga
March 24, 2019
Technology
0
1.5k
脆弱性対応勉強会Vol.2 Vulsハンズオン
IPAの「脆弱性対策の効果的な進め方(ツール活用編)~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~」を基にしたハンズオン資料の概要です。
hogehuga
March 24, 2019
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
360
フライングガーデンLT
hogehuga
0
170
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
79
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
430
最近のドローン界隈(仮)
hogehuga
0
89
サウナととのい と 水風呂ととのい
hogehuga
0
140
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
110
Other Decks in Technology
See All in Technology
Can We Measure Developer Productivity?
ewolff
1
150
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
150
アプリエンジニアのためのGraphQL入門.pdf
spycwolf
0
100
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
890
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
760
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
110
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
390
第1回 国土交通省 データコンペ参加者向け勉強会③- Snowflake x estie編 -
estie
0
130
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
660
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
Featured
See All Featured
YesSQL, Process and Tooling at Scale
rocio
169
14k
Scaling GitHub
holman
458
140k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
100
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
130
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
Being A Developer After 40
akosma
87
590k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Typedesign – Prime Four
hannesfritz
40
2.4k
Transcript
第2回 脆弱性対応勉強会 2019年03月30日 脆弱性対応研究会
脆弱性対応勉強会とは 脆弱性対応についての知見を共有する趣旨で立ち上げた「脆弱性対応研究会」の 勉強会です。 • サーバ等の運用面で発生する脆弱性に対して「どのように脆弱性を発見し、どの ように対応するのか」の知見が、世の中にはまとまっていない気がします。 • この勉強会では、これらの知見を共有していきたいと考えています。 ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を 対象とします。WEBアプリケーション脆弱性については、対象としません。
※本勉強会での発言は個人の見解であり、所属組織を代表するものではありませ ん。また、所属組織の情報を基にした見解ではなく、個人の経験やインシデント リサーチの結果によるものです。
お前誰よ • アカウント • hogehuga • 井上圭(Future株式会社) • 業務履歴 •
警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け!攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ! (勉強会限定)
本日の進め方 IPAテクニカルウォッチ「脆弱英対策の効果的な進め方(ツール 活用篇)」を使ったハンズオンを行います。 • 方針の簡単な説明を行います。 • 既に存在するサーバに、Vulsを導入します。 • Vulsでスキャンを行い、現存する脆弱性を確認します。 •
OWASP DependencyCheckと連携を行います。 • 古いApacheStruts2を配置します • OWASP DependencyCheckを導入し、チェックします • チェック結果を、Vulsと連携します。
タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)
10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します
IPAテクニカルウォッチ 「脆弱性対策の効果的な進め方 (ツール活用編)」 勝手に解説
IPAのテクニカルウオッチ IPAから「脆弱性対策の効果的な進め方(ツール活用編)」が公開さ れました。 • OpenSouceで公開している「Vuls」の利用についての資料でした。 • 脆弱性の「検知」について、このツールを使って楽をしましょう。 https://www.ipa.go.jp/security/technicalwatch/20190221.html
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話
3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証
5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します
脆弱性対策の考え方(抜粋)
脆弱性対策の考え方(抜粋) IPAの資料にて、脆弱性対策の フローが提示されている。 このフローの中で、Vulsで対応 できるものは以下の通り。 • 対象ソフトウェアの把握 ➢パッケージで導入したもの ➢個別で入れたもの(CPE登録) •
脆弱性関連情報の収集 脆弱性対策の効果的な進め方(ツール活用編) 「2.1. 脆弱性対策のフロー」抜粋
脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •
攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.2. 脆弱性情報の収集」抜粋
脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否
• 世界中どこからでも攻撃される可能 性 • 実証コード(所謂PoC)有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.3. 適用の判断」抜粋
少し確認 パッケージを使った方がいいの? • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •
但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの? • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
None
ハンズオン Vulsを既存サーバに導入し、スキャンしてみる
ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン(localモード) •
VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください(各自で調べて実 施) • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します
ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /
鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ! (勉強会限定)
ハンズオン注意 以下の二つの資料を配布します。 • IPAの資料 • 本ハンズオンでの注意点 まずは「本ハンズオンでの注意点」を確認し、IPAの資料のどの タイミングで特別な作業が必要なのか、を確認してください。 • DBの0からのfetchはやめてください。遅い&回線負荷がかかり
ます。直近2年のfetchとかは実施しても大丈夫です。
何かあればご相談ください。 何もなければ、私物のハニーポットの調整をしています。 ハンズオン開始
ハンズオン終了 お疲れさまでした。
おわりに • 今日のハンズオンはいかがでしたでしょうか。 • 脆弱性の検出は、自動化が望ましい • 人的負荷が少なく、検出漏れが少ない • 適用判断はある程度システム化できても、最後は人間が判断 •
今回のUbuntuだと、すべてアップデートすると脆弱性は検出さ れなくなりましたが、CentOSだと…
本日のハンズオンは 終了です。 お疲れさまでした。