Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Pr...

okuken
June 17, 2019

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。

okuken

June 17, 2019
Tweet

More Decks by okuken

Other Decks in Technology

Transcript

  1. 脆 弱 性 診 断
 Vuls
 Burp Suite
 サイバー脅威インテリジェンス
 SCAP


    C V E
 ISMS
 JPCERT/CC
 CSIRT
 Metasploit
 W A F
 IDS/IPS
 NVD
 JVN
 SIEM
 NIST
 Mitre
 Nmap
 SOC
 ペネトレーションテスト
 EDR
 OWASP
 JNSA
 Vuls
 Burp Suite
 C V E
 JPCERT/CC
 OWASP

  2. レイヤー毎の診断ツール
 レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite

    フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 
 プラットフォーム診断 

  3. Vuls導入
 ・導入手順(公式)
  https://vuls.io/docs/ja/install-manually-centos.html
  https://vuls.io/docs/ja/vulsrepo.html
 ⇒ dep ensure -update で解消
 


    ⇒ 下記の削除で解消
  $GOPATH/pkg/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep.a 
 ・ go-exploitdb の make install でエラー
  (dep ensure で “failed to export~”)
 ・ vuls の make install でエラー
  (dep ensure で “Failed to write~”)

  4. ほんの少しOSS貢献
 ・ VulsRepoに脆弱性が表示されない不具合 
   - cpe指定で検出されたもの全てが対象 
   - エラーではなくスルーなので致命的 


      - 諸事情で、弊社の主たる用途はcpe指定 
 
 ⇒ 必要に迫られて自ら改修!
 
 ★Vulsのレポートのデータ構造は変化しがち(らしい) 
 https://github.com/usiusi360/vulsrepo/pull/71
  5. 脆弱性スキャン
 1.PHPやLaravel等の脆弱性情報チェック(※1)
   - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) 
   - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙 


      (※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) 
   (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 
       ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 
 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認
 今後はもっと活用して いきたいパよ!