Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

okuken
June 17, 2019
Technology
2
2.1k

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。

okuken

June 17, 2019
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
72
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
260
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
270
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
170
Dangerous usage of JNDI
okuken
0
240
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
260
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
110
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
490
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
240

Other Decks in Technology

See All in Technology
サポートiOSバージョンを定期的にあげる仕組みづくり / iOSDC Japan 2022
fromatom
1
760
TokyoR#101_RegressionAnalysis
kilometer
0
140
Azure Container Apps で .NET 7 アプリを Blue-Green デプロイしてみよう!/jazug12
thara0402
0
420
コミュニティを活用した勉強習慣化.pdf
taketakekaho
1
240
php-srcを読んでみよう / php-src codereading
tzmfreedom
0
400
人と技術のモダナイズをScrumで実証してみた
koichimatsui
0
350
IIJmio meeting 33 IIJmio 2022年夏のおすすめ端末
iij_techlog
0
2.8k
PHP メモリ管理術
memory1994
PRO
2
600
All About Regular Expressions
jadeallenx
1
110
今から始める Amplify Studio #stapy
tacck
0
280
Drivemode 会社資料 (採用向け) - We are hiring!
drivemode
0
150
aws-nuke + Github Actoinsで AWSアカウントのクリーンアップを 自動化した話
msato
0
740

Featured

See All Featured
A Modern Web Designer's Workflow
chriscoyier
690
180k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
21
1.5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
316
19k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
Building a Scalable Design System with Sketch
lauravandoore
450
30k
Gamification - CAS2011
davidbonilla
75
4k
Building an army of robots
kneath
300
40k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1k
Support Driven Design
roundedbygravity
87
8.7k
4 Signs Your Business is Dying
shpigford
169
20k
Testing 201, or: Great Expectations
jmmastey
23
5.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
235
1.1M

Transcript

  1. プロダクトセキュリティチーム立上げにおける
 Vulsの活用
 株式会社ウエディングパーク 
 奥野 健一
 2019.06.17 Vuls祭り#5 


  2. Agenda
 1. 自己紹介
 2. Vulsの導入経緯
 3. Vulsの導入
 4. Vulsの実用途
 5.

    まとめ
 


  3. 自己紹介


  4. 奥野 健一
 @okuken3
 情報系の修士卒
 SIer、業務パッケージベンダーを経て
 2018年12月
 株式会社ウエディングパーク 入社
 プロダクトセキュリティチーム立上げ


  5. 株式会社
 ウエディングパーク
 式場探しの決めてが見つかる
 クチコミサイト「ウエディングパーク」
 をはじめとする、結婚にまつわる
 WEBサービスの企画・運営
 


  6. サービスラインナップ


  7. No.1 Bridal Tech Team By→20 “2020年までに
 ブライダル業界でNo.1の技術者集団になろう”
 社外向け勉強会
 https://weddingpark.connpass.com/ 技術ブログ


    https://engineers.weddingpark.co.jp/

  8. なぜウエパがVuls祭りに?


  9. 2019年4月某日
 ↑技術広報 Sさん


  10. enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/

  11. まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…

  12. キーワードをたくさんいれる とイイらしいですよ!

  13. ・・・

  14. キーワード ・・・か

  15. ・・・・・

  16. 脆 弱 性 診 断
 Vuls
 Burp Suite
 サイバー脅威インテリジェンス
 SCAP


    C V E
 ISMS
 JPCERT/CC
 CSIRT
 Metasploit
 W A F
 IDS/IPS
 NVD
 JVN
 SIEM
 NIST
 Mitre
 Nmap
 SOC
 ペネトレーションテスト
 EDR
 OWASP
 JNSA
 Vuls
 Burp Suite
 C V E
 JPCERT/CC
 OWASP


  17. 無事、盛況でした!

  18. None
  19. None

  20. https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定!
 Who’s Using This? に掲載!
 https://vuls.io/ 感激パ…!

  21. Vulsの導入経緯


  22. プロダクトセキュリティチームの立上げ
 ・ 企業規模の拡大に合わせて、
  プロダクトセキュリティ専門チームを立上げ
 ・ 脆弱性診断の一部内製化が最初のミッション
 


  23. 脆弱性診断の一部内製化
 ・ 外部のセキュリティ事業者による定期診断は継続
 ・ 一部の診断を内製化することで、以下を達成する
   - ノウハウの蓄積
   - ホワイトボックス観点での診断
   -

    柔軟なスケジューリング
 


  24. レイヤー毎の診断ツール
 レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite

    フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 
 プラットフォーム診断 


  25. Vulsの選定理由
 ・ プラットフォーム診断の手始めとして
   - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める
    (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手)
 ・ Vulsの魅力
   - 高い検知精度(複数の脆弱性情報源による)


      - エージェントレス
   - 国産で勢いのあるOSS


  26. Vulsの導入


  27. 構成
 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・


  28. Vuls導入
 ・導入手順(公式)
  https://vuls.io/docs/ja/install-manually-centos.html
  https://vuls.io/docs/ja/vulsrepo.html
 ⇒ dep ensure -update で解消
 


    ⇒ 下記の削除で解消
  $GOPATH/pkg/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep.a 
 ・ go-exploitdb の make install でエラー
  (dep ensure で “failed to export~”)
 ・ vuls の make install でエラー
  (dep ensure で “Failed to write~”)


  29. ほんの少しOSS貢献
 ・ VulsRepoに脆弱性が表示されない不具合 
   - cpe指定で検出されたもの全てが対象 
   - エラーではなくスルーなので致命的 


      - 諸事情で、弊社の主たる用途はcpe指定 
 
 ⇒ 必要に迫られて自ら改修!
 
 ★Vulsのレポートのデータ構造は変化しがち(らしい) 
 https://github.com/usiusi360/vulsrepo/pull/71

  30. Vulsの実用途


  31. 脆弱性スキャン
 1.PHPやLaravel等の脆弱性情報チェック(※1)
   - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) 
   - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙 


      (※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) 
   (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 
       ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 
 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認
 今後はもっと活用して いきたいパよ!

  32. 脆弱性情報対応MTG(週次/臨時)
 ・ 各サービスのシステム責任者を集め、脆弱性情報を連携
   - Vulsで検出したLaravelやPHPの脆弱性を中心として 
   - CVEをプロダクトセキュリティチームで咀嚼して説明 
 ・

    サービス毎に影響有無を確認し、対応要否・スケジュールを検討
   - 対応方針、対応結果のレビュー 


  33. まとめ


  34. まとめ
 ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化
 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン
 ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応
 キーワードの詰め込み は恥だが役に立つパ!

  35. ご清聴ありがとうございました!