Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...
Search
okuken
June 17, 2019
Technology
2
2.3k
プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team
プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。
okuken
June 17, 2019
Tweet
Share
More Decks by okuken
See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
300
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
690
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
370
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
380
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
Other Decks in Technology
See All in Technology
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
250
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
TypeScript、上達の瞬間
sadnessojisan
46
13k
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
190
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
Oracle Cloud Infrastructureデータベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
300
Engineer Career Talk
lycorp_recruit_jp
0
160
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
310
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Teambox: Starting and Learning
jrom
133
8.8k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Adopting Sorbet at Scale
ufuk
73
9.1k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Being A Developer After 40
akosma
86
590k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Writing Fast Ruby
sferik
627
61k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Transcript
プロダクトセキュリティチーム立上げにおける Vulsの活用 株式会社ウエディングパーク 奥野 健一 2019.06.17 Vuls祭り#5
Agenda 1. 自己紹介 2. Vulsの導入経緯 3. Vulsの導入 4. Vulsの実用途 5.
まとめ
自己紹介
奥野 健一 @okuken3 情報系の修士卒 SIer、業務パッケージベンダーを経て 2018年12月 株式会社ウエディングパーク 入社 プロダクトセキュリティチーム立上げ
株式会社 ウエディングパーク 式場探しの決めてが見つかる クチコミサイト「ウエディングパーク」 をはじめとする、結婚にまつわる WEBサービスの企画・運営
サービスラインナップ
No.1 Bridal Tech Team By→20 “2020年までに ブライダル業界でNo.1の技術者集団になろう” 社外向け勉強会 https://weddingpark.connpass.com/ 技術ブログ
https://engineers.weddingpark.co.jp/
なぜウエパがVuls祭りに?
2019年4月某日 ↑技術広報 Sさん
enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/
まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…
キーワードをたくさんいれる とイイらしいですよ!
・・・
キーワード ・・・か
・・・・・
脆 弱 性 診 断 Vuls Burp Suite サイバー脅威インテリジェンス SCAP
C V E ISMS JPCERT/CC CSIRT Metasploit W A F IDS/IPS NVD JVN SIEM NIST Mitre Nmap SOC ペネトレーションテスト EDR OWASP JNSA Vuls Burp Suite C V E JPCERT/CC OWASP
無事、盛況でした!
None
None
https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定! Who’s Using This? に掲載! https://vuls.io/ 感激パ…!
Vulsの導入経緯
プロダクトセキュリティチームの立上げ ・ 企業規模の拡大に合わせて、 プロダクトセキュリティ専門チームを立上げ ・ 脆弱性診断の一部内製化が最初のミッション
脆弱性診断の一部内製化 ・ 外部のセキュリティ事業者による定期診断は継続 ・ 一部の診断を内製化することで、以下を達成する - ノウハウの蓄積 - ホワイトボックス観点での診断 -
柔軟なスケジューリング
レイヤー毎の診断ツール レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite
フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 プラットフォーム診断
Vulsの選定理由 ・ プラットフォーム診断の手始めとして - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手) ・ Vulsの魅力 - 高い検知精度(複数の脆弱性情報源による)
- エージェントレス - 国産で勢いのあるOSS
Vulsの導入
構成 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・
Vuls導入 ・導入手順(公式) https://vuls.io/docs/ja/install-manually-centos.html https://vuls.io/docs/ja/vulsrepo.html ⇒ dep ensure -update で解消
⇒ 下記の削除で解消 $GOPATH/pkg/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep $GOPATH/pkg/linux_amd64/github.com/golang/dep.a ・ go-exploitdb の make install でエラー (dep ensure で “failed to export~”) ・ vuls の make install でエラー (dep ensure で “Failed to write~”)
ほんの少しOSS貢献 ・ VulsRepoに脆弱性が表示されない不具合 - cpe指定で検出されたもの全てが対象 - エラーではなくスルーなので致命的
- 諸事情で、弊社の主たる用途はcpe指定 ⇒ 必要に迫られて自ら改修! ★Vulsのレポートのデータ構造は変化しがち(らしい) https://github.com/usiusi360/vulsrepo/pull/71
Vulsの実用途
脆弱性スキャン 1.PHPやLaravel等の脆弱性情報チェック(※1) - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙
(※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認 今後はもっと活用して いきたいパよ!
脆弱性情報対応MTG(週次/臨時) ・ 各サービスのシステム責任者を集め、脆弱性情報を連携 - Vulsで検出したLaravelやPHPの脆弱性を中心として - CVEをプロダクトセキュリティチームで咀嚼して説明 ・
サービス毎に影響有無を確認し、対応要否・スケジュールを検討 - 対応方針、対応結果のレビュー
まとめ
まとめ ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応 キーワードの詰め込み は恥だが役に立つパ!
ご清聴ありがとうございました!