• Home

  • Software

  • 脆弱性検知ツールVulsを試してみた
25
脆弱性対策ツール VULS を試してみた 長谷部 優 2016/06/28

脆弱性検知ツールVulsを試してみた

Embed Size (px)

Citation preview

Page 1: 脆弱性検知ツールVulsを試してみた

脆弱性対策ツール

VULS を試してみた

長谷部 優

2016/06/28

Page 2: 脆弱性検知ツールVulsを試してみた

祝! ガルパン劇場版BD発売!(違

ガルパンはいいぞぉ~

Page 3: 脆弱性検知ツールVulsを試してみた

冗談はさておき…

祝! MORIO Dojo 発足! 入門者絶賛募集中!

MORI帯 取得しました

• スコープはインフラ運用技術者向け • セキュリティ対応・脆弱性対策に追われる人が対象

Page 4: 脆弱性検知ツールVulsを試してみた

そもそも私は誰か?

• 長谷部 優(はせべ ゆう) @cosign930 ▫ 会社:

一個人での参加なので勤め先とかは勘弁してください…

お願いします、なんでもしますからぁ!

▫ お仕事: 構築、運用・監視、業務改善、提案活動などなど

社内ツール作成とか監視プラグイン作成

▫ 興味・関心: 監視システム、OSS、仮想化、クラウド、自動化、Perl、Python

▫ 立ち位置: お客様の抱える様々な課題を技術的に支援・解決する人

▫ 一言: あくまで一個人の意見です。所属会社とはまったく関係ありません。

Page 5: 脆弱性検知ツールVulsを試してみた

なんでこれをやったの?

変動するサーバ環境・構成に対し手間をかけずに把握したい

どのサーバに穴(脆弱性)があるのか一発でわかりたい

できれば通知とかしてくれるといいなぁ…

脆弱性対策に追われる日々の脱却

これまでの発表との関連

• 構成管理 → 現在の構成を整える

• 監視 → 現在のサービス状態を知る

• 脆弱性検知 → 現在の堅牢さを知る ← New !!

Page 6: 脆弱性検知ツールVulsを試してみた

こーゆーことって言われたことありませんか?

Page 7: 脆弱性検知ツールVulsを試してみた

XXX ってパッケージで脆弱性見つかったから、 担当者はサーバを調べて対応しておいてね♪ サーバ毎に該当するのか調べておいてね♪ 各自で対応しておいてね♪

Page 8: 脆弱性検知ツールVulsを試してみた

どうやってこなしてますか?

Page 9: 脆弱性検知ツールVulsを試してみた

人力?

_ / jjjj _ / タ {!!! _ ヽ、 ,/ ノ ~ `、 \ `、 `ヽ. ∧_∧ , ‐'` ノ \ `ヽ(´・ω ・`)“ .ノ/ 力には自信があります! `、ヽ. ``Y" r ' i. 、 ¥ ノ `、.` -‐´;`ー イ

Page 10: 脆弱性検知ツールVulsを試してみた

古き良き EX○EL 管理シート? ____ / \ / ─ ─ \ / (●) (●) \ | (__人__) | ないない \ ` ⌒´ ,/ r、 r、/ ヘ ヽヾ 三 |:l1 ヽ \>ヽ/ |` } | | ヘ lノ `'ソ | | /´ / |. | \. ィ | | | | |

Page 11: 脆弱性検知ツールVulsを試してみた

調査の工数は?

あれ、調査工数こんなにかかっている…

Page 12: 脆弱性検知ツールVulsを試してみた

理想 日々 CVE も確認しています!

すでに対策済みです! 問題ありません!

Page 13: 脆弱性検知ツールVulsを試してみた

現実

/\___/ヽ ヽ / ::::::::::::::::\ つ | ,,-‐‐ ‐‐-、 .:::| わ | 、_(o)_,: _(o)_, :::|ぁぁ | ::< .::|あぁ \ /( [三] )ヽ ::/ああ /`ー‐--‐‐―´\ぁあ

Web Server DB Server APP Server LB Server Manage Server Backup Server Mail Server DNS Server File Server etc…etc…

Page 14: 脆弱性検知ツールVulsを試してみた

多種多様に存在するサーバ群を

人間が全て管理・把握するのは難しい

→ 各サーバにどのような脆弱性が存在するかを

人間だけで管理していくのは難しい

脆弱性が見つかるたびに都度、調査をするのは

現実的ではない

なぜ問題がある? ~なぜなにとらぶるぶんせき ~

Page 15: 脆弱性検知ツールVulsを試してみた

システムにやらせよう!

Page 16: 脆弱性検知ツールVulsを試してみた

VULS!!

Page 17: 脆弱性検知ツールVulsを試してみた

Go 言語で記述された脆弱性検知ツール

脆弱性検知結果をslackやメールで送信できるツール

検知対象のサーバに何も入れなくてOK(エージェントレス)

VULS(バルス) とは? ~なぜなにVULS ~

VULS 構成イメージ図

VULS Server

SQLite3

VULS CVE Dictionary

VULS Scanner

CVE DB Server

対象サーバ群

config.toml

Page 18: 脆弱性検知ツールVulsを試してみた

もう少し詳細なVULSの説明

VULS 構成図

VULS Server

SQLite3

VULS CVE Dictionary

VULS Scanner

CVE DB Server

対象サーバ群

SSH

SSH

CVE DB サーバより 脆弱性情報を取得

CVE 情報から 脆弱性スキャン

スキャン結果を保存

保存されたデータを閲覧 各サーバへはSSHにて

config.toml

各サーバの IPアドレス情報

Page 19: 脆弱性検知ツールVulsを試してみた

IDCFクラウド環境

VULS Server 対象サーバ 対象サーバ

・・・

SQLite3

ということで作ってみた。

Internet

Page 20: 脆弱性検知ツールVulsを試してみた

スキャンした結果のビュー(CLI版)

対象サーバにある脆弱性一覧 CVE 番号、重要度、タイトルが表示

スキャン対象サーバ一覧 OS、バージョン情報

脆弱性詳細情報

Page 21: 脆弱性検知ツールVulsを試してみた

スキャンした結果のビュー(CLI版)

問題がなければ [No vulnerable packages]

が表示される

Page 22: 脆弱性検知ツールVulsを試してみた

で、これやって何が嬉しいの?

• 各サーバの穴(脆弱性)がリスト化され確認できる

• なにを優先して対応しなければならないか一発でわかる

• 人がサーバに入って都度調べなくてよい

→ 工数削減

• 設定によってメールやSlackに通知することも可能

とりあえず、今回はここまで 詳しくは後程の懇親会で…

Page 23: 脆弱性検知ツールVulsを試してみた

バルス(VULS)! (脆弱性的に)

本日はこれが言いたかっただけ…かも

Page 24: 脆弱性検知ツールVulsを試してみた

ご清聴ありがとうございました!

Page 25: 脆弱性検知ツールVulsを試してみた

Next Stage: 俺の構成管理ツール群がこんなにも

使いやすいわけがない


DNSの動向 - iwparchives.jp · dnsソフトウェアの脆弱性 bindの脆弱性の状況 代表的なdnsソフトウェアであるbindにつ いて、2016年は、年間最多となる9件の脆弱性

DNSの動向 - iwparchives.jp · dnsソフトウェアの脆弱性 bindの脆弱性の状況 代表的なdnsソフトウェアであるbindにつ いて、2016年は、年間最多となる9件の脆弱性

Documents
讀書筆記-Brene brown-脆弱的力量

讀書筆記-Brene brown-脆弱的力量

Self Improvement
WideAngle - NTT Communications...OSINTモニタリング 脆弱性診断/セルフ脆弱性診断 脆弱性見える化ソリューション マネージドセキュリティサービス

WideAngle - NTT Communications...OSINTモニタリング 脆弱性診断/セルフ脆弱性診断 脆弱性見える化ソリューション マネージドセキュリティサービス

Documents
2007 - 应用系统脆弱性概论

2007 - 应用系统脆弱性概论

Internet
春の脆弱性祭り 2017/06/13

春の脆弱性祭り 2017/06/13

Software
SSLサーバ証明書のオプション機能で ウェブサイトの脆弱性 …e-staffingシステム 脆弱性アセスメントの仕組 ③脆弱性を発見し たら、管理者メー

SSLサーバ証明書のオプション機能で ウェブサイトの脆弱性 …e-staffingシステム 脆弱性アセスメントの仕組 ③脆弱性を発見し たら、管理者メー

Documents
現場で使える脆弱性検査サービス VAddy

現場で使える脆弱性検査サービス VAddy

Technology
ネットワーク家電と脆弱性 by 堀部 千壽

ネットワーク家電と脆弱性 by 堀部 千壽

Technology
サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)

サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)

Technology
2014.10 Vol.26 Bash 脆弱性を詳細分析 - jp.ahnlab.com · セキュリティプレス・アン 2 UNIX、Linux、OS関連のBash (Born Again Shell) 脆弱性を詳細分析 Bash脆弱性、「シェルショック」で全世界が震撼

2014.10 Vol.26 Bash 脆弱性を詳細分析 - jp.ahnlab.com · セキュリティプレス・アン 2 UNIX、Linux、OS関連のBash (Born Again Shell) 脆弱性を詳細分析 Bash脆弱性、「シェルショック」で全世界が震撼

Documents
脆弱国家 - SPIRIT · 脆弱国家 瀧川ゼミ (水曜5 限) 小丸優佳子・杉山佳菜・田中帆花. 1.脆弱国家とは. 脆弱国家とは、国民の安全や生計を保証するといった国家の基本的役割を果たすことが困

脆弱国家 - SPIRIT · 脆弱国家 瀧川ゼミ (水曜5 限) 小丸優佳子・杉山佳菜・田中帆花. 1.脆弱国家とは. 脆弱国家とは、国民の安全や生計を保証するといった国家の基本的役割を果たすことが困

Documents
カスペルスキー 法人向け製品ポートフォリオ · 可能となります。 脆弱性攻撃ブロック (automatic exploit prevention) 脆弱性攻撃ブロックは、マルウェアの

カスペルスキー 法人向け製品ポートフォリオ · 可能となります。 脆弱性攻撃ブロック (automatic exploit prevention) 脆弱性攻撃ブロックは、マルウェアの

Documents
シスコ脆弱性データベース(VDB)アップ デート …...脆弱性データベースアップデート309でサポートされる アプリケーションの合計数

シスコ脆弱性データベース(VDB)アップ デート …...脆弱性データベースアップデート309でサポートされる アプリケーションの合計数

Documents
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性

Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性

Documents
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )

Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )

Software
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた

サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた

Technology
株式会社 Example ウェブアプリケーション脆弱性診断 報告書

株式会社 Example ウェブアプリケーション脆弱性診断 報告書

Documents
コストを抑えたPCIDSSソリューション 脆弱性診断+WAF

コストを抑えたPCIDSSソリューション 脆弱性診断+WAF

Documents
Drupalの脆弱性(CVE-2018-7602 - mbsd.jp · Drupal の脆弱性(CVE-2018-7600)を標的としたアクセスの観測について:

Drupalの脆弱性(CVE-2018-7602 - mbsd.jp · Drupal の脆弱性(CVE-2018-7600)を標的としたアクセスの観測について:

Documents
認識すべき現場の実態...•脆弱性のスキャニング •脆弱性の評価 •脆弱性の改善 •ゼロデイ攻撃リサーチ •サイバー攻撃(犯罪)プロファイリング

認識すべき現場の実態...•脆弱性のスキャニング •脆弱性の評価 •脆弱性の改善 •ゼロデイ攻撃リサーチ •サイバー攻撃(犯罪)プロファイリング

Documents
~深刻度を評価する「CVSS」を利用した脆弱性対策について ...活用例 脆弱性対策情報 被害を受けるポテンシャ ル ・脆弱性の深刻度の調査

~深刻度を評価する「CVSS」を利用した脆弱性対策について ...活用例 脆弱性対策情報 被害を受けるポテンシャ ル ・脆弱性の深刻度の調査

Documents
IDAの脆弱性とBug Bounty by 千田 雅明

IDAの脆弱性とBug Bounty by 千田 雅明

Technology
プロトコルの脆弱性 - JPNIC...2004/10/05  · TCP/IP プロトコルの脆弱性 Internet Initiative Japan Inc. IP, ICMP, UDP, TCP の既知の脆弱性 低機能レイヤ:

プロトコルの脆弱性 - JPNIC...2004/10/05  · TCP/IP プロトコルの脆弱性 Internet Initiative Japan Inc. IP, ICMP, UDP, TCP の既知の脆弱性 低機能レイヤ:

Documents
シスコ脆弱性データベース(VDB)アップ デート …...•サポートされるディテクタタイプ(5ページ) •脆弱性データベースアップデート303でサポートされるアプリケーションの合計数(6

シスコ脆弱性データベース(VDB)アップ デート …...•サポートされるディテクタタイプ(5ページ) •脆弱性データベースアップデート303でサポートされるアプリケーションの合計数(6

Documents
増加する脆弱性を評価するシステム(CVSS)の活用(共通脆弱性評価システム) • 脆弱性に対する汎用的な評価手法 • CVSSv2 とCVSSv3 がある。

増加する脆弱性を評価するシステム(CVSS)の活用(共通脆弱性評価システム) • 脆弱性に対する汎用的な評価手法 • CVSSv2 とCVSSv3 がある。

Documents
脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要 オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要 オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

Documents
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls

Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls

Software
さらば、Stagefright 脆弱性

さらば、Stagefright 脆弱性

Technology
2020年 月期第1四半期決算説明資料 · ・siem構築、分析、運用支援 ・脆弱性情報提供 脆弱性診断サービス ・webアプリケーション脆弱性診断

2020年 月期第1四半期決算説明資料 · ・siem構築、分析、運用支援 ・脆弱性情報提供 脆弱性診断サービス ・webアプリケーション脆弱性診断

Documents
[CB16] 難解なウェブアプリケーションの脆弱性 by Andrés Riancho

[CB16] 難解なウェブアプリケーションの脆弱性 by Andrés Riancho

Technology