Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応勉強会Vol.2 Vulsハンズオン
Search
hogehuga
March 24, 2019
Technology
0
1.6k
脆弱性対応勉強会Vol.2 Vulsハンズオン
IPAの「脆弱性対策の効果的な進め方(ツール活用編)~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~」を基にしたハンズオン資料の概要です。
hogehuga
March 24, 2019
Tweet
Share
More Decks by hogehuga
See All by hogehuga
認知戦の理解と、市民としての対抗策
hogehuga
0
620
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
430
フライングガーデンLT
hogehuga
0
220
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
100
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
500
最近のドローン界隈(仮)
hogehuga
0
120
サウナととのい と 水風呂ととのい
hogehuga
0
160
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
240
Other Decks in Technology
See All in Technology
Dylib Hijacking on macOS: Dead or Alive?
patrickwardle
0
380
HonoとJSXを使って管理画面をサクッと型安全に作ろう
diggymo
0
130
LLMプロダクトの信頼性を上げるには?LLM Observabilityによる、対話型音声AIアプリケーションの安定運用
ivry_presentationmaterials
0
600
「改善」ってこれでいいんだっけ?
ukigmo_hiro
0
370
能登半島災害現場エンジニアクロストーク 【JAWS FESTA 2025 in 金沢】
ditccsugii
0
920
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
310
AWSでAgentic AIを開発するための前提知識の整理
nasuvitz
2
210
プレーリーカードを活用しよう❗❗デジタル名刺交換からはじまるイベント会場交流のススメ
tsukaman
0
190
「れきちず」のこれまでとこれから - 誰にでもわかりやすい歴史地図を目指して / FOSS4G 2025 Japan
hjmkth
1
330
Findy Team+ QAチーム これからのチャレンジ!
findy_eventslides
0
460
Databricks AI/BI Genie の「値ディクショナリー」をAmazonの奥地(S3)まで見に行く
kameitomohiro
1
300
初めてのDatabricks Apps開発
taka_aki
1
190
Featured
See All Featured
Context Engineering - Making Every Token Count
addyosmani
7
270
Docker and Python
trallard
46
3.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
115
20k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Raft: Consensus for Rubyists
vanstee
140
7.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.7k
The Cult of Friendly URLs
andyhume
79
6.6k
Fireside Chat
paigeccino
40
3.7k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
The Pragmatic Product Professional
lauravandoore
36
6.9k
Producing Creativity
orderedlist
PRO
347
40k
KATA
mclloyd
PRO
32
15k
Transcript
第2回 脆弱性対応勉強会 2019年03月30日 脆弱性対応研究会
脆弱性対応勉強会とは 脆弱性対応についての知見を共有する趣旨で立ち上げた「脆弱性対応研究会」の 勉強会です。 • サーバ等の運用面で発生する脆弱性に対して「どのように脆弱性を発見し、どの ように対応するのか」の知見が、世の中にはまとまっていない気がします。 • この勉強会では、これらの知見を共有していきたいと考えています。 ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を 対象とします。WEBアプリケーション脆弱性については、対象としません。
※本勉強会での発言は個人の見解であり、所属組織を代表するものではありませ ん。また、所属組織の情報を基にした見解ではなく、個人の経験やインシデント リサーチの結果によるものです。
お前誰よ • アカウント • hogehuga • 井上圭(Future株式会社) • 業務履歴 •
警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け!攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ! (勉強会限定)
本日の進め方 IPAテクニカルウォッチ「脆弱英対策の効果的な進め方(ツール 活用篇)」を使ったハンズオンを行います。 • 方針の簡単な説明を行います。 • 既に存在するサーバに、Vulsを導入します。 • Vulsでスキャンを行い、現存する脆弱性を確認します。 •
OWASP DependencyCheckと連携を行います。 • 古いApacheStruts2を配置します • OWASP DependencyCheckを導入し、チェックします • チェック結果を、Vulsと連携します。
タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)
10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します
IPAテクニカルウォッチ 「脆弱性対策の効果的な進め方 (ツール活用編)」 勝手に解説
IPAのテクニカルウオッチ IPAから「脆弱性対策の効果的な進め方(ツール活用編)」が公開さ れました。 • OpenSouceで公開している「Vuls」の利用についての資料でした。 • 脆弱性の「検知」について、このツールを使って楽をしましょう。 https://www.ipa.go.jp/security/technicalwatch/20190221.html
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話
3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果
内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証
5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します
脆弱性対策の考え方(抜粋)
脆弱性対策の考え方(抜粋) IPAの資料にて、脆弱性対策の フローが提示されている。 このフローの中で、Vulsで対応 できるものは以下の通り。 • 対象ソフトウェアの把握 ➢パッケージで導入したもの ➢個別で入れたもの(CPE登録) •
脆弱性関連情報の収集 脆弱性対策の効果的な進め方(ツール活用編) 「2.1. 脆弱性対策のフロー」抜粋
脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •
攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.2. 脆弱性情報の収集」抜粋
脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否
• 世界中どこからでも攻撃される可能 性 • 実証コード(所謂PoC)有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方(ツール活用編) 「2.1.3. 適用の判断」抜粋
少し確認 パッケージを使った方がいいの? • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •
但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの? • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
None
ハンズオン Vulsを既存サーバに導入し、スキャンしてみる
ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン(localモード) •
VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください(各自で調べて実 施) • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します
ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /
鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ! (勉強会限定)
ハンズオン注意 以下の二つの資料を配布します。 • IPAの資料 • 本ハンズオンでの注意点 まずは「本ハンズオンでの注意点」を確認し、IPAの資料のどの タイミングで特別な作業が必要なのか、を確認してください。 • DBの0からのfetchはやめてください。遅い&回線負荷がかかり
ます。直近2年のfetchとかは実施しても大丈夫です。
何かあればご相談ください。 何もなければ、私物のハニーポットの調整をしています。 ハンズオン開始
ハンズオン終了 お疲れさまでした。
おわりに • 今日のハンズオンはいかがでしたでしょうか。 • 脆弱性の検出は、自動化が望ましい • 人的負荷が少なく、検出漏れが少ない • 適用判断はある程度システム化できても、最後は人間が判断 •
今回のUbuntuだと、すべてアップデートすると脆弱性は検出さ れなくなりましたが、CentOSだと…
本日のハンズオンは 終了です。 お疲れさまでした。