Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

須藤あどみん VS FutureVuls 対談

FutureVuls
October 20, 2023

須藤あどみん VS FutureVuls 対談

2023 須藤あどみん VS FutureVuls 対談の資料です。
https://youtu.be/cxelC7QcifI?t=1819

===
バーチャル情シス「須藤あどみん」がゲストをお迎えして対談するシリーズ。
今回はFutureVulsを提供するフューチャー株式会社さんをゲストにお迎えします!!

年間2万件以上の脆弱性が新たに公開されていますが、自分の管理しているサーバーに関係する脆弱性なのか確認するのは大変ですよね。
FutureVulsを使えば、脆弱性を効率的にコントロールすることができます。数万もの脆弱性から、自組織の環境にとって関係のあるものだけを抽出してくれます。最新のトリアージエンジン「SSVC」を搭載していて、リスクベースの判断から対応指示までを全て自動化してくれます。
今回はそんなフューチャー株式会社さんに、あどみんと一緒にお話を聞いてみましょう!

FutureVuls

October 20, 2023
Tweet

More Decks by FutureVuls

Other Decks in Technology

Transcript

  1. Copyright © 2023 by Future Corporation 
 - 2 -

    
 vuls.biz
 自己紹介
 神戸康多(かんべこうた) 
 フューチャー株式会社
 OSS脆弱性スキャナ「Vuls」作者
 脆弱性管理クラウド「FutureVuls」の運営
 
 
 実績
 ▪ Vuls普及のために30回以上登壇
 ▪ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演
 ▪ 情報処理学会ソフトウェアジャパン2020 アワード
 ▪ Google OSS Peer Bonus Winners of 2022

  2. Copyright © 2023 by Future Corporation 
 - 3 -

    
 vuls.biz
 本日のアジェンダ
 脆弱性管理の課題
 CVSSの課題を解決する
 脆弱性管理手法「SSVC」の紹介
 FutureVulsのSSVC機能
 FutureVulsの紹介とデモ
 第1部
 第2部

  3. Copyright © 2023 by Future Corporation 
 - 4 -

    
 vuls.biz
 Vuls等で脆弱性を一覧化できるようになった
 以前の手動での脆弱性管理は大変だったが、2016年に公開された「Vuls」等のツールによりシステム に潜在する脆弱性を簡単に漏れなく一覧化出来るようになった。 
 • 年間2万件以上のCVEが新規公開 
 • NVDやJVN、SNSを定期的にウォッチ 
 • 深刻な脆弱性は全社メールで周知 
 
 情報収集
 • サーバのパッケージやライブラリ等のバー ジョンを調査
 影響調査
 • パッチを適用など
 • メールやExcel等で対応状況を報告 
 対応
 ツール
 で検知
 次のステップは、継続的な脆弱性管理 課題
 • 設定等を確認して該当する場合は対応 
 • 対応の要否を判断
 判断
 判断
 対応

  4. Copyright © 2023 by Future Corporation 
 - 5 -

    
 vuls.biz
 継続的な脆弱性管理は必須だが、組織の対応力は十分ではない
 攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用である。 
 米国の平均的な組織は新規に検知された脆弱性の 10%しかパッチを当てられない。
 出所:Mandiant M-Trends 2023 By The Numbers Infographic 
 
 <攻撃者が最初に使用する攻撃経路> 
 <月ごとのOpen/Closeできた脆弱性数の分布(100組織を調査)> 
 出所:Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice 
 すべての脆弱性数に対応できた場合 
 (Open=Close)
 実 際 に対 応 できた脆 弱 性 数 

  5. Copyright © 2023 by Future Corporation 
 - 6 -

    
 vuls.biz
 継続的な脆弱性管理の課題
 現実的に組織が対応可能な数まで高リスクな脆弱性を絞り込めなければ脆弱性対応はまわらないが CVSSでは絞り込めない。
 実際に攻撃に使われる脆弱性は 2%程度 <CVSSスコアごとの件数> 
 約1.4万件 2.24% 約4,615件
 <攻撃に利用される高リスクな脆弱性> 
 CVSSでは絞り込めない Exploit情報や、CISA-KEV、JPCERT/CCの注意喚起等で絞りこむにも知識と労力が必要 出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 
 課題
 課題
 課題
 ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計

  6. Copyright © 2023 by Future Corporation 
 - 7 -

    
 vuls.biz
 本日のアジェンダ
 脆弱性管理の課題
 CVSSの課題を解決する
 脆弱性管理手法「SSVC」の紹介
 FutureVulsのSSVC機能
 FutureVulsの紹介とデモ
 第1部
 第2部

  7. Copyright © 2023 by Future Corporation 
 - 8 -

    
 vuls.biz
 SSVC - CVSSの課題を解決する脆弱性管理手法
 SSVCとは『リスク = 脆弱性 x 脅威 x 資産重要度』 に相当する情報を元に決定木を用いて脆弱性の対 応優先度を4段階に決定できるフレームワークである。 
 SSVC Stakeholder-Specific Vulnerability Categorization
 
 背景
 ✔カーネギーメロン大学が提案 
 ✔CISAがトリアージ手法として推奨 
 
 概要
 ✔リスクベースで「脆弱性優先判断」す るためのフレームワーク 
 ✔用途毎の決定木が用意されている 
 - CERT向け「coordinator tree」 
 - 運用者向け「deployer tree」 
 - PSIRT向け「supplier tree」 
 - https://democert.org/ssvc/ 
 <Depoyerツリー(運用者向け)> 
 Depoyerツリー(運用者向け) 

  8. Copyright © 2023 by Future Corporation 
 - 9 -

    
 vuls.biz
 SSVCの人手での対応判断の課題
 検知した脆弱性に対してSSVCの項目を判断するにはセキュリティ担当と運用者の両方の知識と情報 が必要である。SSVCの判断を人手でやると人的コストがかかるので自動化が理想。 
 SSVC
 セキュリティ担当
 運用者
 攻撃コードの悪用レベル 
    わかる
    判断しにくい
 システム露出レベル 
    判断しにくい
    わかる
 攻撃者にとっての有用性 
    わかる
    判断しにくい
 業務影響
    判断しにくい
    わかる
 SSVCを使っても人手で判断すると人的コストがかかる 課題

  9. Copyright © 2023 by Future Corporation 
 - 10 -

    
 vuls.biz
 本日のアジェンダ
 脆弱性管理の課題
 CVSSの課題を解決する
 脆弱性管理手法「SSVC」の紹介
 FutureVulsのSSVC機能
 FutureVulsの紹介とデモ
 第1部
 第2部

  10. Copyright © 2023 by Future Corporation 
 - 11 -

    
 vuls.biz
 FutureVulsの紹介 - 国産の脆弱性管理SaaS
 日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。 
 新規に公開された脆弱性にすぐに気づけるので、 高リスクな脆弱性に先手を打って対応 可能
 様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac, コンテナ Java等のOSSライブラリ クラウド / オンプレ / 閉域環境 商用ソフトウェア 管理対象 資産管理 ライセンス管理 脆弱性管理(チケット管理) SBOM入出力 自動トリアージ 基本機能
  11. Copyright © 2023 by Future Corporation 
 - 12 -

    
 vuls.biz
 FutureVulsのSSVC機能はトリアージとその後の追跡まで自動化
 検知した脆弱性を4つの優先度に振り分け、タスク対応期限等の指示まで自動化。 
 後日Exploitが公開されて「脅威」が変化した時点で自動再評価してくれるので追跡可能。 
 immediate
 構成情報
 脆弱性
 検知処理
 タスク
 - ステータス 
 - 対応期限 
 - 優先度
 - 担当者
 - コメント
 defer
 脆弱性情報
 SSVC決定木
 脅威の変化で再判断 
 SSVC結果が変更されたらタスクを自動で再設定 
 対応期限などを自動設定して対応指示 

  12. Copyright © 2023 by Future Corporation 
 - 13 -

    
 vuls.biz
 FutureVulsのSSVC機能の初期設定は2ステップで簡単
 システム単位で「インターネット露出度」と「資産重要性」を設定する。次に、SSVCの結果ごとに、タスク 優先度や期限等を自動設定するルールを定義すれば設定は完了。 
 immediate に分類されたタスクの 
 - ステータス:未対応
 - 優先度を :High
 - 対応期限 :7日後
 に自動設定して自動で対応を指示 
 そのシステムの
 - インターネット露出度 
 - 資産重要性
 といった環境情報を設定 
 <環境情報の設定画面> 
 <タスク自動設定のルールを設定する画面> 

  13. Copyright © 2023 by Future Corporation 
 - 14 -

    
 vuls.biz
 FutureVulsのSSVC機能を用いたDev/Ops目線の運用
 運用者は immediate 検知の通知受けてログイン。決定木、プロセスやPort開放状態、
 IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応する。 
 Login
 決定木の判断理由
 
 攻撃がアクティブかつ、
 インターネット公開システム か つ、RCEかつ、重要システムな のでimmediate と判断された
 「ソフトウェア名」
 「プロセス有無」
 「Port開放状況」
 対象機器や対応期限等 
 「脆弱性情報」
 「CERT注意喚起」
 「Exploit情報」

  14. Copyright © 2023 by Future Corporation 
 - 15 -

    
 vuls.biz
 FutureVulsのSSVC機能を用いたCSIRT目線の管理
 CSIRTは全社横断で immediate と out-of-cycle の対応状況を確認し、対応期限が超過したタスクに は一括で対応を催促する。脆弱性管理の工数を削減可能。 
 immediate に分類されたタスクのうち 
 「未対応」かつ「対応期限が超過している」 
 などでフィルタ
 タスクの担当者に対応を催促。 
 一つの操作で全社の担当者に指示 
 一 括 選 択 

  15. Copyright © 2023 by Future Corporation 
 - 16 -

    
 vuls.biz
 SSVCの効果
 5つの環境を想定して、「4,716件」の脆弱性をSSVCで分類した。 
 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている 。
 immediate out-of-cycle immediate/out-of -cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム(販売管理など) 0 16 0.33% 4700 0 業務影響が小さい社内システム(勤怠管理など) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 なおCVSS ≧ 7.0 は「2,863件」、≧ 8.0 は「990件」であり CVSSだけでは絞り込めない。

  16. Copyright © 2023 by Future Corporation 
 - 17 -

    
 vuls.biz
 第1部 まとめ
 Vuls等のツールを用いて脆弱性を一覧化できるようになり、脆弱性管理が楽になった。 
 継続的なトリアージと脆弱性対応が重要 
 ツールで脆弱性を一覧化出来る 
 脆弱性一覧化後のトリアージが課題。CVSSによる判断は運用はまわらない。 
 SSVCのような別のリスク判断方法が必要だが、人手では多大な人的コストがかかる。 FutureVulsのSSVC機能はトリアージから対応指示まで 自動化可能。運用がまわる。
 SaaSで脆弱性管理を自動化しましょう 

  17. Copyright © 2023 by Future Corporation 
 - 18 -

    
 vuls.biz
 本日のアジェンダ
  FutureVulsのSSVC機能
 FutureVulsの紹介
 デモ
 第1部
 第2部

  18. Copyright © 2023 by Future Corporation 
 - 19 -

    
 vuls.biz
 FutureVulsの紹介 - 国産の脆弱性管理SaaS
 日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。 
 新規に公開された脆弱性にすぐに気づけるので、 高リスクな脆弱性に先手を打って対応。 
 様々な業界の企業様に導入頂いています Cisco, Fortinet等のNW機器 Linux, Windows, Mac, コンテナ Java等のOSSライブラリ クラウド / オンプレ / 閉域環境 商用ソフトウェア 管理対象 資産管理 ライセンス管理 脆弱性管理(チケット管理) SBOM入出力 自動トリアージ 基本機能
  19. Copyright © 2023 by Future Corporation 
 - 20 -

    
 vuls.biz
 FutureVulsの特徴
 SSVCを搭載した自動トリアージ機能がウリの脆弱性管理サービス。スキャナからWebまで自社開発な ので要望に柔軟に対応可能。エンジニアが日本語で直接サポートに対応。 
 
 特徴
 顧客満足
 上位プランの継続率(継続的な脆弱性管理目的)はほぼ100 %
 サポート
 開発エンジニアが日本語で直接サポートするので解決までが早い 
 継続的改良
 ユーザフィードバックやR&Dの成果をもとに改良。1-2ヶ月単位でリリース 
 技術力
 スキャナからWeb UIまで 国内で自社開発なので要望に柔軟に対応可能 
 スキャナはOSSとして公開中(Vuls)。Black HatやHITCON等で登壇 
 UI / UX
 ユーザから大好評。一括操作を考慮したUI。SPAでサクサク動く 
 管理対象
 クラウド、オンプレ、閉域網までサポート(エージェント不要) 
 Windows, Linux, Mac, コンテナ、言語ライブラリ、ミドルウェア、NW機器 
 自動トリアージ
 SSVCによるリスクベースの対応判断から運用者への指示まで自動化 

  20. Copyright © 2023 by Future Corporation 
 - 21 -

    
 vuls.biz
 FutureVulsの料金プラン
 スモールスタート可能なStandardプランと、大規模環境向けなCSIRTプランがあります。機能と契約期 間、支払い方法が異なります。

  21. Copyright © 2023 by Future Corporation 
 - 22 -

    
 vuls.biz
 StandardプランとCSIRTプランの機能比較
 CSIRTプランは、Standardプランの全機能に加えて自動トリアージや全社管理、エンタープライズ系の 機能が追加されている。詳細は[料金ページ]( https://vuls.biz/price)を参照
 
 機能
 Standard
 CSIRT
 スキャン対象
 Linux, Windows, Mac, コンテナ, ライブラリ, NW機器等 
 
 
 対象環境
 クラウド, オンプレ, 閉域網 
 
 
 脆弱性管理
 コンソール画面、チケット管理機能 
 
 
 SBOM
 SBOM Import / Export機能 
 
 
 自動トリアージ
 SSVC自動トリアージ 
 
 
 全社管理
 複数グループ横断管理, 資産検索, ライセンス検索 
 
 
 エンタープライズ
 シングルサインオン・監査ログ等 
 
 

  22. Copyright © 2023 by Future Corporation 
 - 23 -

    
 vuls.biz
 本日のアジェンダ
  FutureVulsのSSVC機能
 FutureVulsの紹介
 デモ
 第1部
 第2部

  23. Copyright © 2023 by Future Corporation 
 - 24 -

    
 vuls.biz
 Organization
 GroupSet(ALL)
 グループとユーザ管理の概要
 GroupSet(A)
 GruopSet(B)
 GroupA
 GroupB
 GroupC
 「Organization」は会社単位で作成。「Group」はシステム単位で作成し管理対象とユーザを紐付ける。 複数Groupを一括管理したい場合は「GroupSet」を作成する。 

  24. Copyright © 2023 by Future Corporation 
 - 25 -

    
 vuls.biz
 FutureVulsのタスクステータス遷移
 タスクのステータスで「未対応」「対応中」「対応済」を表現する。 
 
 状態
 説明
 New
 新規検知状態
 脆弱性検知時に設定される 
 Investigating
 調査中の状態
 検知した脆弱性の調査時に設定する 
 Ongoing
 作業中の状態
 調査完了後、対応検討や対応準備中 
 Defer
 対応を保留中
 定期メンテナンス時に対応する場合 
 Workaround
 緩和策を実施
 仮想パッチや設定変更等の緩和策を実施 
 Not Affected
 影響がない
 脆弱性が環境に影響しないことを確認 
 Risk Accepted
 リスク許容
 脆弱性による影響を許容することを決定 
 Patch Applied
 パッチを適用 状態
 patch適用後の次のスキャンで自動設定 
 手動でのステータス設定は不可 
 NEW
 Investigating
 Ongoing
 Patch Applied
 Workaround
 Not Affected
 Risk Accespted
 Defer
 未対応 対応中 対応済
  25. Copyright © 2023 by Future Corporation 
 - 26 -

    
 vuls.biz
 Vulsローカルスキャンの動作概要
 サーバに配置されたVulsスキャナがCRONジョブ等でスケジュール実行される。VulsスキャナはOSパッ ケージやKB、Java等のライブラリの構成情報FutureVulsにアップロードする。 
 スキャン対象サーバ 
 収集
 脆弱性DB
 Upload先
 CVE
 CVE
 CVE
 Detect
 構成情報の
 JSON
 Upload
 詳細は https://help.vuls.biz/manual/scan/ を参照

  26. Copyright © 2023 by Future Corporation 
 - 27 -

    
 vuls.biz
 Vulsリモートスキャンの動作概要
 Vulsスキャナがスキャン対象サーバ群にSSH接続して構成情報を収集する。その後スキャナサーバが 各スキャン対象サーバの構成情報を一括でFutureVulsにアップロードする。 
 スキャナサーバ
 生成
 脆弱性DB
 Upload先
 CVE
 CVE
 CVE
 Detect
 Upload
 スキャン対象サーバ 
 SSH server
 SSH接続
 詳細は https://help.vuls.biz/manual/scan/ を参照
 スキャン対象 サーバの構成 情報JSON
 スキャン対象サーバ 
 SSH server
 SSH接続

  27. Copyright © 2023 by Future Corporation 
 - 28 -

    
 vuls.biz
 ペーストスキャンの動作概要
 閉域網環境にはスキャナから直接アップロードできないため、rpm -qa等の結果を手順書に記載。その 後、インターネットに接続できる環境からFutureVulsの画面上に結果をペーストして構成情報を登録す れば閉域網のサーバの継続的な脆弱性管理が可能。 
 閉域網
 脆弱性DB
 CVE
 CVE
 CVE
 Detect
 手順書記載のrpm -qaの結果を 
 FutureVulsのWebにペーストして登 録
 構成情報DB
 rpm -qaの結果を 
 手順書にペースト 
 手順書
 FutureVulsに登録 
 詳細は https://help.vuls.biz/manual/scan/ を参照

  28. Copyright © 2023 by Future Corporation 
 - 29 -

    
 vuls.biz
 コンテナイメージスキャンの動作概要
 「aquasecurity/trivy」「anchore/syft」のスキャン結果をFutureVulsに登録可能。コンテナやライブラリの 脆弱性管理とSSVCによる自動トリアージを利用できる。 
 脆弱性DB
 CVE
 CVE
 CVE
 Detect
 Upload
 commit
 Workflow
 Build & Scan
 SBOM
 Workflow
 構成情報DB
 詳細は https://help.vuls.biz/manual/scan/ を参照

  29. Copyright © 2023 by Future Corporation 
 - 30 -

    
 vuls.biz
 NW機器の発見機能の動作概要
 VulsスキャナがCIDRレンジのNW機器を発見し「ベンダー/製品名/バージョン」を特定する。その後 FutureVulsにNW機器のCPEを登録することでNW機器の脆弱性管理が可能。 
 スキャナサーバ
 脆弱性DB
 構成情報DB
 CVE
 CVE
 CVE
 Detect
 192.168.100.1
 cpe:/o:fortinet:fortios:5.4.0 
 CPE登録
 SNMP
 192.168.100.0/24
 SNMPからCPE特定 
 (※CPEとはCommon Platform Enumerationの略で情報システムを構成する、ハードウェア、ソフトウェアなどを識別するための共通の名称基準のこと 
 詳細は https://help.vuls.biz/manual/scan/ を参照

  30. Copyright © 2023 by Future Corporation 
 - 31 -

    
 vuls.biz
 第2部 まとめ
 
 
 
 https://vuls.biz からオンラインサインアップすると2週間試せます(カード登録不要) 
 
 CSIRTプランの無償PoC、詳細なデモ、脆弱性管理のお悩み相談など、お気軽にお問い合わせくださ い。
 
 CloudNativeさん経由でも直接でもOKです。 
 Vuls

  31. Copyright © 2023 by Future Corporation 
 - 33 -

    
 vuls.biz
 国内でも耳にする機会が増えてきた「SBOM」
 SBOM(ソフトウェア部品表)により 構成情報、脆弱性、ライセンス等 を共通フォーマットで定義し流通で きるようになる。
 SBOM
 ~Software Bill of Materials~ 
 背景
 ✔米国政府での調達時にSBOM活用 が必須化
  (大統領令EO14028) 
 ✔多国間取引企業を含めSBOM整備のが義務化された ことで2021年頃から急速に普及 
 
 概要
 ✔日本語にすると「 ソフトウェア部品表 」
 ✔機器のソフトウェアを構成するアプリケーション・コン ポーネント、脆弱性情報、ライセンス情報等をリスト化 
 ✔サプライチェーン上のリスク管理に活用 できる
 
 Supplier Application Version 
 …
 SBOM A
 Supplier Application Version 
 …
 SBOM α
 SBOM a,b
 Supplier Application Version 
 …
 SBOM B
 SBOM c,d
 SBOM A,B
 SBOM a,b
 Supplier Application Version 
 …
 SBOM b
 Supplier Application Version 
 …
 SBOM a
 Supplier Application Version 
 …
 SBOM c
 Supplier Application Version 
 …
 SBOM d
 SBOM c,d
 早期に脆弱性を 発見可能

  32. Copyright © 2023 by Future Corporation 
 - 34 -

    
 vuls.biz
 特にPSIRT領域ではSBOMの効果が大きい
 製造業のサプライチェーンに見られる「多数の組織にまたがる複雑な階層的ソフトウェア構造」は、現 状管理されていないことが多く、SBOMの活用が有効。 
 PSIRTの場合 CSIRTの場合 対象システム 自社プロダクト・制御製品 情報システム 従来の脆弱性管理の課題 製造業サプライチェーンのソフトウェアは 管理されていないことが多い 商用製品やNW機器等の脆弱性情報が貧弱 SBOM導入の効果 構成情報、脆弱性、ライセンスが 可視化きるようになるので効果は大きい ツールで既に管理している組織にとっては SBOMにより得られる効果は小さい 脆弱性
 ライセンス
 構成情報
 OS
 ミドルウェア
 ライブラリ
 Webアプリ(別途診断必要) 
 NW機器
 アプライアンス
 SBOM
 商用製品
 ※OSやライブラリの検知精度は100%だが、商用製品ベンダやJVNから現在提供されるアドバイザリは影響バージョンがマシンリー ダブルではない。SBOMの潮流で改善されればNW機器や商用ソフトウェアの検知精度が良くなる。

  33. Copyright © 2023 by Future Corporation 
 - 35 -

    
 vuls.biz
 SSVCのHuman Impact(ビジネスへの影響)の考え方
 ▪ 経済的損害
 Exploitによりどの程度の経済的損害が発生するか
 ▪ 風評被害
 Exploitによりビジネスに影響を与えるような風評被害
 が発生するか
 ▪ コンプライアンス違反
 コンプライアンス違反はどの程度か
 ▪ プライバシー侵害
 個人を特定できる情報はどの程度開示されるか
 
 右側の表で計算した平均の値を参考にHumanImpactを設 定するのが良さそう
 OWASP Risk Rating Methodologyのビジネスインパクトファクターが参考になる。 
 出所 OWASP Risk Rating Methodology https://owasp.org/www-community/OWASP_Risk_Rating_Methodology