須藤あどみん VS FutureVuls 対談

Copyright © 2023 by Future Corporation   - 1 -
  vuls.biz 

  vuls.biz  自己紹介  神戸康多（かんべこうた）   フューチャー株式会社  OSS脆弱性スキャナ「Vuls」作者  脆弱性管理クラウド「FutureVuls」の運営      実績  ▪ Vuls普及のために３０回以上登壇  ▪ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演  ▪ 情報処理学会ソフトウェアジャパン2020 アワード  ▪ Google OSS Peer Bonus Winners of 2022 

  vuls.biz  本日のアジェンダ  脆弱性管理の課題  CVSSの課題を解決する  脆弱性管理手法「SSVC」の紹介  FutureVulsのSSVC機能  FutureVulsの紹介とデモ  第１部  第２部 

  vuls.biz  Vuls等で脆弱性を一覧化できるようになった  以前の手動での脆弱性管理は大変だったが、2016年に公開された「Vuls」等のツールによりシステムに潜在する脆弱性を簡単に漏れなく一覧化出来るようになった。   • 年間2万件以上のCVEが新規公開   • NVDやJVN、SNSを定期的にウォッチ   • 深刻な脆弱性は全社メールで周知     情報収集  • サーバのパッケージやライブラリ等のバージョンを調査  影響調査  • パッチを適用など  • メールやExcel等で対応状況を報告   対応  ツール  で検知  次のステップは、継続的な脆弱性管理課題  • 設定等を確認して該当する場合は対応   • 対応の要否を判断  判断  判断  対応 

  vuls.biz  継続的な脆弱性管理は必須だが、組織の対応力は十分ではない  攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用である。   米国の平均的な組織は新規に検知された脆弱性の 10%しかパッチを当てられない。  出所：Mandiant M-Trends 2023 By The Numbers Infographic     <攻撃者が最初に使用する攻撃経路>   <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）>   出所：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice   すべての脆弱性数に対応できた場合   (Open=Close)  実際に対応できた脆弱性数  

  vuls.biz  継続的な脆弱性管理の課題  現実的に組織が対応可能な数まで高リスクな脆弱性を絞り込めなければ脆弱性対応はまわらないが CVSSでは絞り込めない。  実際に攻撃に使われる脆弱性は 2%程度 <CVSSスコアごとの件数>   約1.4万件 2.24%　約4,615件  ＜攻撃に利用される高リスクな脆弱性＞   CVSSでは絞り込めない Exploit情報や、CISA-KEV、JPCERT/CCの注意喚起等で絞りこむにも知識と労力が必要出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape   課題  課題  課題  ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計 

  vuls.biz  SSVC - CVSSの課題を解決する脆弱性管理手法  SSVCとは『リスク = 脆弱性 x 脅威 x 資産重要度』に相当する情報を元に決定木を用いて脆弱性の対応優先度を４段階に決定できるフレームワークである。   SSVC Stakeholder-Specific Vulnerability Categorization    背景  ✔カーネギーメロン大学が提案   ✔CISAがトリアージ手法として推奨     概要  ✔リスクベースで「脆弱性優先判断」するためのフレームワーク   ✔用途毎の決定木が用意されている   - CERT向け「coordinator tree」   - 運用者向け「deployer tree」   - PSIRT向け「supplier tree」   - https://democert.org/ssvc/   ＜Depoyerツリー（運用者向け）＞   Depoyerツリー（運用者向け）  

  vuls.biz  SSVCの人手での対応判断の課題  検知した脆弱性に対してSSVCの項目を判断するにはセキュリティ担当と運用者の両方の知識と情報が必要である。SSVCの判断を人手でやると人的コストがかかるので自動化が理想。   SSVC  セキュリティ担当  運用者  攻撃コードの悪用レベル   　　　わかる  　　　判断しにくい  システム露出レベル   　　　判断しにくい  　　　わかる  攻撃者にとっての有用性   　　　わかる  　　　判断しにくい  業務影響  　　　判断しにくい  　　　わかる  SSVCを使っても人手で判断すると人的コストがかかる課題 

  vuls.biz  FutureVulsの紹介 - 国産の脆弱性管理SaaS  日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。   新規に公開された脆弱性にすぐに気づけるので、高リスクな脆弱性に先手を打って対応可能  様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac, コンテナ Java等のOSSライブラリクラウド / オンプレ / 閉域環境商用ソフトウェア管理対象資産管理ライセンス管理脆弱性管理（チケット管理） SBOM入出力自動トリアージ基本機能

  vuls.biz  FutureVulsのSSVC機能はトリアージとその後の追跡まで自動化  検知した脆弱性を４つの優先度に振り分け、タスク対応期限等の指示まで自動化。   後日Exploitが公開されて「脅威」が変化した時点で自動再評価してくれるので追跡可能。   immediate  構成情報  脆弱性  検知処理  タスク  - ステータス   - 対応期限   - 優先度  - 担当者  - コメント  defer  脆弱性情報  SSVC決定木  脅威の変化で再判断   SSVC結果が変更されたらタスクを自動で再設定   対応期限などを自動設定して対応指示  

  vuls.biz  FutureVulsのSSVC機能の初期設定は２ステップで簡単  システム単位で「インターネット露出度」と「資産重要性」を設定する。次に、SSVCの結果ごとに、タスク優先度や期限等を自動設定するルールを定義すれば設定は完了。   immediate に分類されたタスクの   - ステータス：未対応  - 優先度を　：High  - 対応期限　：７日後  に自動設定して自動で対応を指示   そのシステムの  - インターネット露出度   - 資産重要性  といった環境情報を設定   <環境情報の設定画面>   <タスク自動設定のルールを設定する画面>  

  vuls.biz  FutureVulsのSSVC機能を用いたDev/Ops目線の運用  運用者は immediate 検知の通知受けてログイン。決定木、プロセスやPort開放状態、  IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応する。   Login  決定木の判断理由    攻撃がアクティブかつ、  インターネット公開システムかつ、RCEかつ、重要システムなのでimmediate と判断された  「ソフトウェア名」  「プロセス有無」  「Port開放状況」  対象機器や対応期限等   「脆弱性情報」  「CERT注意喚起」  「Exploit情報」 

  vuls.biz  FutureVulsのSSVC機能を用いたCSIRT目線の管理  CSIRTは全社横断で immediate と out-of-cycle の対応状況を確認し、対応期限が超過したタスクには一括で対応を催促する。脆弱性管理の工数を削減可能。   immediate に分類されたタスクのうち   「未対応」かつ「対応期限が超過している」   などでフィルタ  タスクの担当者に対応を催促。   一つの操作で全社の担当者に指示   一括選択  

  vuls.biz  SSVCの効果  ５つの環境を想定して、「4,716件」の脆弱性をSSVCで分類した。   immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている。  immediate out-of-cycle immediate/out-of -cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム(勤怠管理など) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 なおCVSS ≧ 7.0 は「2,863件」、≧ 8.0 は「990件」であり CVSSだけでは絞り込めない。 

  vuls.biz  第１部まとめ  Vuls等のツールを用いて脆弱性を一覧化できるようになり、脆弱性管理が楽になった。   継続的なトリアージと脆弱性対応が重要   ツールで脆弱性を一覧化出来る   脆弱性一覧化後のトリアージが課題。CVSSによる判断は運用はまわらない。   SSVCのような別のリスク判断方法が必要だが、人手では多大な人的コストがかかる。 FutureVulsのSSVC機能はトリアージから対応指示まで自動化可能。運用がまわる。  SaaSで脆弱性管理を自動化しましょう  

  vuls.biz  本日のアジェンダ  　FutureVulsのSSVC機能  FutureVulsの紹介  デモ  第１部  第２部 

  vuls.biz  FutureVulsの紹介 - 国産の脆弱性管理SaaS  日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。   新規に公開された脆弱性にすぐに気づけるので、高リスクな脆弱性に先手を打って対応。   様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac, コンテナ Java等のOSSライブラリクラウド / オンプレ / 閉域環境商用ソフトウェア管理対象資産管理ライセンス管理脆弱性管理（チケット管理） SBOM入出力自動トリアージ基本機能

  vuls.biz  FutureVulsの特徴  SSVCを搭載した自動トリアージ機能がウリの脆弱性管理サービス。スキャナからWebまで自社開発なので要望に柔軟に対応可能。エンジニアが日本語で直接サポートに対応。     特徴  顧客満足  上位プランの継続率（継続的な脆弱性管理目的）はほぼ100 %  サポート  開発エンジニアが日本語で直接サポートするので解決までが早い   継続的改良  ユーザフィードバックやR&Dの成果をもとに改良。1-2ヶ月単位でリリース   技術力  スキャナからWeb UIまで国内で自社開発なので要望に柔軟に対応可能   スキャナはOSSとして公開中（Vuls)。Black HatやHITCON等で登壇   UI / UX  ユーザから大好評。一括操作を考慮したUI。SPAでサクサク動く   管理対象  クラウド、オンプレ、閉域網までサポート（エージェント不要）   Windows, Linux, Mac, コンテナ、言語ライブラリ、ミドルウェア、NW機器   自動トリアージ  SSVCによるリスクベースの対応判断から運用者への指示まで自動化  

  vuls.biz  FutureVulsの料金プラン  スモールスタート可能なStandardプランと、大規模環境向けなCSIRTプランがあります。機能と契約期間、支払い方法が異なります。 

  vuls.biz  StandardプランとCSIRTプランの機能比較  CSIRTプランは、Standardプランの全機能に加えて自動トリアージや全社管理、エンタープライズ系の機能が追加されている。詳細は[料金ページ]( https://vuls.biz/price)を参照    機能  Standard  CSIRT  スキャン対象  Linux, Windows, Mac, コンテナ, ライブラリ, NW機器等       対象環境  クラウド, オンプレ, 閉域網       脆弱性管理  コンソール画面、チケット管理機能       SBOM  SBOM Import / Export機能       自動トリアージ  SSVC自動トリアージ       全社管理  複数グループ横断管理, 資産検索, ライセンス検索       エンタープライズ  シングルサインオン・監査ログ等      

  vuls.biz  本日のアジェンダ  　FutureVulsのSSVC機能  FutureVulsの紹介  デモ  第１部  第２部 

  vuls.biz  Organization  GroupSet(ALL)  グループとユーザ管理の概要  GroupSet(A)  GruopSet(B)  GroupA  GroupB  GroupC  「Organization」は会社単位で作成。「Group」はシステム単位で作成し管理対象とユーザを紐付ける。複数Groupを一括管理したい場合は「GroupSet」を作成する。  

  vuls.biz  FutureVulsのタスクステータス遷移  タスクのステータスで「未対応」「対応中」「対応済」を表現する。     状態  説明  New  新規検知状態  脆弱性検知時に設定される   Investigating  調査中の状態  検知した脆弱性の調査時に設定する   Ongoing  作業中の状態  調査完了後、対応検討や対応準備中   Defer  対応を保留中  定期メンテナンス時に対応する場合   Workaround  緩和策を実施  仮想パッチや設定変更等の緩和策を実施   Not Affected  影響がない  脆弱性が環境に影響しないことを確認   Risk Accepted  リスク許容  脆弱性による影響を許容することを決定   Patch Applied  パッチを適用状態  patch適用後の次のスキャンで自動設定   手動でのステータス設定は不可   NEW  Investigating  Ongoing  Patch Applied  Workaround  Not Affected  Risk Accespted  Defer  未対応対応中対応済

  vuls.biz  Vulsローカルスキャンの動作概要  サーバに配置されたVulsスキャナがCRONジョブ等でスケジュール実行される。VulsスキャナはOSパッケージやKB、Java等のライブラリの構成情報FutureVulsにアップロードする。   スキャン対象サーバ   収集  脆弱性DB  Upload先  CVE  CVE  CVE  Detect  構成情報の  JSON  Upload  詳細は https://help.vuls.biz/manual/scan/ を参照 

  vuls.biz  Vulsリモートスキャンの動作概要  Vulsスキャナがスキャン対象サーバ群にSSH接続して構成情報を収集する。その後スキャナサーバが各スキャン対象サーバの構成情報を一括でFutureVulsにアップロードする。   スキャナサーバ  生成  脆弱性DB  Upload先  CVE  CVE  CVE  Detect  Upload  スキャン対象サーバ   SSH server  SSH接続  詳細は https://help.vuls.biz/manual/scan/ を参照  スキャン対象サーバの構成情報JSON  スキャン対象サーバ   SSH server  SSH接続 

  vuls.biz  ペーストスキャンの動作概要  閉域網環境にはスキャナから直接アップロードできないため、rpm -qa等の結果を手順書に記載。その後、インターネットに接続できる環境からFutureVulsの画面上に結果をペーストして構成情報を登録すれば閉域網のサーバの継続的な脆弱性管理が可能。   閉域網  脆弱性DB  CVE  CVE  CVE  Detect  手順書記載のrpm -qaの結果を   FutureVulsのWebにペーストして登録  構成情報DB  rpm -qaの結果を   手順書にペースト   手順書  FutureVulsに登録   詳細は https://help.vuls.biz/manual/scan/ を参照 

  vuls.biz  コンテナイメージスキャンの動作概要  「aquasecurity/trivy」「anchore/syft」のスキャン結果をFutureVulsに登録可能。コンテナやライブラリの脆弱性管理とSSVCによる自動トリアージを利用できる。   脆弱性DB  CVE  CVE  CVE  Detect  Upload  commit  Workflow  Build & Scan  SBOM  Workflow  構成情報DB  詳細は https://help.vuls.biz/manual/scan/ を参照 

  vuls.biz  NW機器の発見機能の動作概要  VulsスキャナがCIDRレンジのNW機器を発見し「ベンダー/製品名/バージョン」を特定する。その後 FutureVulsにNW機器のCPEを登録することでNW機器の脆弱性管理が可能。   スキャナサーバ  脆弱性DB  構成情報DB  CVE  CVE  CVE  Detect  192.168.100.1  cpe:/o:fortinet:fortios:5.4.0   CPE登録  SNMP  192.168.100.0/24  SNMPからCPE特定   (※CPEとはCommon Platform Enumerationの略で情報システムを構成する、ハードウェア、ソフトウェアなどを識別するための共通の名称基準のこと   詳細は https://help.vuls.biz/manual/scan/ を参照 

  vuls.biz  第２部まとめ        https://vuls.biz からオンラインサインアップすると２週間試せます（カード登録不要）     CSIRTプランの無償PoC、詳細なデモ、脆弱性管理のお悩み相談など、お気軽にお問い合わせください。    CloudNativeさん経由でも直接でもOKです。   Vuls 

  vuls.biz  国内でも耳にする機会が増えてきた「SBOM」  SBOM（ソフトウェア部品表）により構成情報、脆弱性、ライセンス等を共通フォーマットで定義し流通できるようになる。  SBOM  ～Software Bill of Materials～   背景  ✔米国政府での調達時にSBOM活用が必須化  　(大統領令EO14028)   ✔多国間取引企業を含めSBOM整備のが義務化されたことで2021年頃から急速に普及     概要  ✔日本語にすると「ソフトウェア部品表」  ✔機器のソフトウェアを構成するアプリケーション・コンポーネント、脆弱性情報、ライセンス情報等をリスト化   ✔サプライチェーン上のリスク管理に活用できる    Supplier Application Version   …  SBOM A  Supplier Application Version   …  SBOM α  SBOM a,b  Supplier Application Version   …  SBOM B  SBOM c,d  SBOM A,B  SBOM a,b  Supplier Application Version   …  SBOM b  Supplier Application Version   …  SBOM a  Supplier Application Version   …  SBOM c  Supplier Application Version   …  SBOM d  SBOM c,d  早期に脆弱性を発見可能 

  vuls.biz  特にPSIRT領域ではSBOMの効果が大きい  製造業のサプライチェーンに見られる「多数の組織にまたがる複雑な階層的ソフトウェア構造」は、現状管理されていないことが多く、SBOMの活用が有効。   PSIRTの場合 CSIRTの場合対象システム自社プロダクト・制御製品情報システム従来の脆弱性管理の課題製造業サプライチェーンのソフトウェアは管理されていないことが多い商用製品やNW機器等の脆弱性情報が貧弱 SBOM導入の効果構成情報、脆弱性、ライセンスが可視化きるようになるので効果は大きいツールで既に管理している組織にとっては SBOMにより得られる効果は小さい脆弱性  ライセンス  構成情報  OS  ミドルウェア  ライブラリ  Webアプリ（別途診断必要）   NW機器  アプライアンス  SBOM  商用製品  ※OSやライブラリの検知精度は100%だが、商用製品ベンダやJVNから現在提供されるアドバイザリは影響バージョンがマシンリーダブルではない。SBOMの潮流で改善されればNW機器や商用ソフトウェアの検知精度が良くなる。 

  vuls.biz  SSVCのHuman Impact（ビジネスへの影響）の考え方  ▪ 経済的損害  Exploitによりどの程度の経済的損害が発生するか  ▪ 風評被害  Exploitによりビジネスに影響を与えるような風評被害  が発生するか  ▪ コンプライアンス違反  コンプライアンス違反はどの程度か  ▪ プライバシー侵害  個人を特定できる情報はどの程度開示されるか    右側の表で計算した平均の値を参考にHumanImpactを設定するのが良さそう  OWASP Risk Rating Methodologyのビジネスインパクトファクターが参考になる。   出所 OWASP Risk Rating Methodology https://owasp.org/www-community/OWASP_Risk_Rating_Methodology  

須藤あどみん VS FutureVuls 対談

須藤あどみん VS FutureVuls 対談

More Decks by FutureVuls

Other Decks in Technology

Featured

Transcript