Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性対応勉強会Vol.2 Vulsハンズオン

hogehuga
March 24, 2019

脆弱性対応勉強会Vol.2 Vulsハンズオン

IPAの「脆弱性対策の効果的な進め方(ツール活用編)~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~」を基にしたハンズオン資料の概要です。

hogehuga

March 24, 2019
Tweet

More Decks by hogehuga

Other Decks in Technology

Transcript

  1. お前誰よ • アカウント • hogehuga • 井上圭(Future株式会社) • 業務履歴 •

    警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け!攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ! (勉強会限定)
  2. タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)

    10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します
  3. 内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話

    3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果
  4. 内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証

    5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します
  5. 脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •

    攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.2. 脆弱性情報の収集」抜粋
  6. 脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否

    • 世界中どこからでも攻撃される可能 性 • 実証コード(所謂PoC)有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.3. 適用の判断」抜粋
  7. 少し確認 パッケージを使った方がいいの? • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •

    但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの? • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
  8. ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン(localモード) •

    VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください(各自で調べて実 施) • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します
  9. ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /

    鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ! (勉強会限定)