Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応勉強会Vol.2 Vulsハンズオン
Search
hogehuga
March 24, 2019
Technology
0
1.5k
脆弱性対応勉強会Vol.2 Vulsハンズオン
IPAの「脆弱性対策の効果的な進め方(ツール活用編)~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~」を基にしたハンズオン資料の概要です。
hogehuga
March 24, 2019
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
360
フライングガーデンLT
hogehuga
0
170
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
79
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
430
最近のドローン界隈(仮)
hogehuga
0
89
サウナととのい と 水風呂ととのい
hogehuga
0
140
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
110
Other Decks in Technology
See All in Technology
フルカイテン株式会社 採用資料
fullkaiten
0
40k
TypeScript、上達の瞬間
sadnessojisan
46
13k
第1回 国土交通省 データコンペ参加者向け勉強会③- Snowflake x estie編 -
estie
0
130
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
Can We Measure Developer Productivity?
ewolff
1
150
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
290
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.3k
Engineer Career Talk
lycorp_recruit_jp
0
140
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
520
39k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Side Projects
sachag
452
42k
Building Adaptive Systems
keathley
38
2.3k
What's in a price? How to price your products and services
michaelherold
243
12k
KATA
mclloyd
29
14k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
We Have a Design System, Now What?
morganepeng
50
7.2k
Transcript
第2回 脆弱性対応勉強会 2019年03月30日 脆弱性対応研究会
脆弱性対応勉強会とは 脆弱性対応についての知見を共有する趣旨で立ち上げた「脆弱性対応研究会」の 勉強会です。 • サーバ等の運用面で発生する脆弱性に対して「どのように脆弱性を発見し、どの ように対応するのか」の知見が、世の中にはまとまっていない気がします。 • この勉強会では、これらの知見を共有していきたいと考えています。 ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を 対象とします。WEBアプリケーション脆弱性については、対象としません。
※本勉強会での発言は個人の見解であり、所属組織を代表するものではありませ ん。また、所属組織の情報を基にした見解ではなく、個人の経験やインシデント リサーチの結果によるものです。
お前誰よ • アカウント • hogehuga • 井上圭(Future株式会社) • 業務履歴 •
警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け!攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ! (勉強会限定)
本日の進め方 IPAテクニカルウォッチ「脆弱英対策の効果的な進め方(ツール 活用篇)」を使ったハンズオンを行います。 • 方針の簡単な説明を行います。 • 既に存在するサーバに、Vulsを導入します。 • Vulsでスキャンを行い、現存する脆弱性を確認します。 •
OWASP DependencyCheckと連携を行います。 • 古いApacheStruts2を配置します • OWASP DependencyCheckを導入し、チェックします • チェック結果を、Vulsと連携します。
タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)
10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します
IPAテクニカルウォッチ 「脆弱性対策の効果的な進め方 (ツール活用編)」 勝手に解説
IPAのテクニカルウオッチ IPAから「脆弱性対策の効果的な進め方(ツール活用編)」が公開さ れました。 • OpenSouceで公開している「Vuls」の利用についての資料でした。 • 脆弱性の「検知」について、このツールを使って楽をしましょう。 https://www.ipa.go.jp/security/technicalwatch/20190221.html
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話
3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証
5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します
脆弱性対策の考え方(抜粋)
脆弱性対策の考え方(抜粋) IPAの資料にて、脆弱性対策の フローが提示されている。 このフローの中で、Vulsで対応 できるものは以下の通り。 • 対象ソフトウェアの把握 ➢パッケージで導入したもの ➢個別で入れたもの(CPE登録) •
脆弱性関連情報の収集 脆弱性対策の効果的な進め方(ツール活用編) 「2.1. 脆弱性対策のフロー」抜粋
脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •
攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.2. 脆弱性情報の収集」抜粋
脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否
• 世界中どこからでも攻撃される可能 性 • 実証コード(所謂PoC)有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.3. 適用の判断」抜粋
少し確認 パッケージを使った方がいいの? • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •
但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの? • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
None
ハンズオン Vulsを既存サーバに導入し、スキャンしてみる
ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン(localモード) •
VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください(各自で調べて実 施) • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します
ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /
鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ! (勉強会限定)
ハンズオン注意 以下の二つの資料を配布します。 • IPAの資料 • 本ハンズオンでの注意点 まずは「本ハンズオンでの注意点」を確認し、IPAの資料のどの タイミングで特別な作業が必要なのか、を確認してください。 • DBの0からのfetchはやめてください。遅い&回線負荷がかかり
ます。直近2年のfetchとかは実施しても大丈夫です。
何かあればご相談ください。 何もなければ、私物のハニーポットの調整をしています。 ハンズオン開始
ハンズオン終了 お疲れさまでした。
おわりに • 今日のハンズオンはいかがでしたでしょうか。 • 脆弱性の検出は、自動化が望ましい • 人的負荷が少なく、検出漏れが少ない • 適用判断はある程度システム化できても、最後は人間が判断 •
今回のUbuntuだと、すべてアップデートすると脆弱性は検出さ れなくなりましたが、CentOSだと…
本日のハンズオンは 終了です。 お疲れさまでした。