Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...
Search
okuken
June 17, 2019
Technology
2
2.3k
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team
プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。
okuken
June 17, 2019
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
300
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
690
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
370
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
380
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
Other Decks in Technology
See All in Technology
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
540
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
180
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
FlutterアプリにおけるSLI/SLOを用いたユーザー体験の可視化と計測基盤構築
ostk0069
0
110
複雑なState管理からの脱却
sansantech
PRO
1
160
強いチームと開発生産性
onk
PRO
35
12k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
120
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
490
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
170
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
7
680
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
Featured
See All Featured
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
Fireside Chat
paigeccino
34
3k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
What's new in Ruby 2.0
geeforr
343
31k
Being A Developer After 40
akosma
87
590k
Transcript
プロダクトセキュリティチーム立上げにおける Vulsの活用 株式会社ウエディングパーク 奥野 健一 2019.06.17 Vuls祭り#5
Agenda 1. 自己紹介 2. Vulsの導入経緯 3. Vulsの導入 4. Vulsの実用途 5.
まとめ
自己紹介
奥野 健一 @okuken3 情報系の修士卒 SIer、業務パッケージベンダーを経て 2018年12月 株式会社ウエディングパーク 入社 プロダクトセキュリティチーム立上げ
株式会社 ウエディングパーク 式場探しの決めてが見つかる クチコミサイト「ウエディングパーク」 をはじめとする、結婚にまつわる WEBサービスの企画・運営
サービスラインナップ
No.1 Bridal Tech Team By→20 “2020年までに ブライダル業界でNo.1の技術者集団になろう” 社外向け勉強会 https://weddingpark.connpass.com/ 技術ブログ
https://engineers.weddingpark.co.jp/
なぜウエパがVuls祭りに?
2019年4月某日 ↑技術広報 Sさん
enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/
まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…
キーワードをたくさんいれる とイイらしいですよ!
・・・
キーワード ・・・か
・・・・・
脆 弱 性 診 断 Vuls Burp Suite サイバー脅威インテリジェンス SCAP
C V E ISMS JPCERT/CC CSIRT Metasploit W A F IDS/IPS NVD JVN SIEM NIST Mitre Nmap SOC ペネトレーションテスト EDR OWASP JNSA Vuls Burp Suite C V E JPCERT/CC OWASP
無事、盛況でした!
None
None
https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定! Who’s Using This? に掲載! https://vuls.io/ 感激パ…!
Vulsの導入経緯
プロダクトセキュリティチームの立上げ ・ 企業規模の拡大に合わせて、 プロダクトセキュリティ専門チームを立上げ ・ 脆弱性診断の一部内製化が最初のミッション
脆弱性診断の一部内製化 ・ 外部のセキュリティ事業者による定期診断は継続 ・ 一部の診断を内製化することで、以下を達成する - ノウハウの蓄積 - ホワイトボックス観点での診断 -
柔軟なスケジューリング
レイヤー毎の診断ツール レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite
フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 プラットフォーム診断
Vulsの選定理由 ・ プラットフォーム診断の手始めとして - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手) ・ Vulsの魅力 - 高い検知精度(複数の脆弱性情報源による)
- エージェントレス - 国産で勢いのあるOSS
Vulsの導入
構成 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・
Vuls導入 ・導入手順(公式) https://vuls.io/docs/ja/install-manually-centos.html https://vuls.io/docs/ja/vulsrepo.html ⇒ dep ensure -update で解消
⇒ 下記の削除で解消 $GOPATH/pkg/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep.a ・ go-exploitdb の make install でエラー (dep ensure で “failed to export~”) ・ vuls の make install でエラー (dep ensure で “Failed to write~”)
ほんの少しOSS貢献 ・ VulsRepoに脆弱性が表示されない不具合 - cpe指定で検出されたもの全てが対象 - エラーではなくスルーなので致命的
- 諸事情で、弊社の主たる用途はcpe指定 ⇒ 必要に迫られて自ら改修! ★Vulsのレポートのデータ構造は変化しがち(らしい) https://github.com/usiusi360/vulsrepo/pull/71
Vulsの実用途
脆弱性スキャン 1.PHPやLaravel等の脆弱性情報チェック(※1) - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙
(※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認 今後はもっと活用して いきたいパよ!
脆弱性情報対応MTG(週次/臨時) ・ 各サービスのシステム責任者を集め、脆弱性情報を連携 - Vulsで検出したLaravelやPHPの脆弱性を中心として - CVEをプロダクトセキュリティチームで咀嚼して説明 ・
サービス毎に影響有無を確認し、対応要否・スケジュールを検討 - 対応方針、対応結果のレビュー
まとめ
まとめ ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応 キーワードの詰め込み は恥だが役に立つパ!
ご清聴ありがとうございました!