Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=47 okuken
June 17, 2019

プロダクトセキュリティチーム立上げにおけるVulsの活用 / Using Vuls in Product Security Team

プロダクトセキュリティチームの立上げにおいて、Vulsを導入した経緯から、実際にどのように活用しているかまでをご紹介します。

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=128

okuken

June 17, 2019
Tweet

Transcript

  1. プロダクトセキュリティチーム立上げにおける
 Vulsの活用
 株式会社ウエディングパーク 
 奥野 健一
 2019.06.17 Vuls祭り#5 


  2. Agenda
 1. 自己紹介
 2. Vulsの導入経緯
 3. Vulsの導入
 4. Vulsの実用途
 5.

    まとめ
 

  3. 自己紹介


  4. 奥野 健一
 @okuken3
 情報系の修士卒
 SIer、業務パッケージベンダーを経て
 2018年12月
 株式会社ウエディングパーク 入社
 プロダクトセキュリティチーム立上げ


  5. 株式会社
 ウエディングパーク
 式場探しの決めてが見つかる
 クチコミサイト「ウエディングパーク」
 をはじめとする、結婚にまつわる
 WEBサービスの企画・運営
 


  6. サービスラインナップ


  7. No.1 Bridal Tech Team By→20 “2020年までに
 ブライダル業界でNo.1の技術者集団になろう”
 社外向け勉強会
 https://weddingpark.connpass.com/ 技術ブログ


    https://engineers.weddingpark.co.jp/
  8. なぜウエパがVuls祭りに?


  9. 2019年4月某日
 ↑技術広報 Sさん


  10. enjoy!インハウス、 たくさんの人に 来て欲しいの! https://weddingpark.connpass.com/

  11. まいったなぁ… 登壇も初めてだし、 セキュリティ界隈の 知り合いも少ないし 何か良い手は…

  12. キーワードをたくさんいれる とイイらしいですよ!

  13. ・・・

  14. キーワード ・・・か

  15. ・・・・・

  16. 脆 弱 性 診 断
 Vuls
 Burp Suite
 サイバー脅威インテリジェンス
 SCAP


    C V E
 ISMS
 JPCERT/CC
 CSIRT
 Metasploit
 W A F
 IDS/IPS
 NVD
 JVN
 SIEM
 NIST
 Mitre
 Nmap
 SOC
 ペネトレーションテスト
 EDR
 OWASP
 JNSA
 Vuls
 Burp Suite
 C V E
 JPCERT/CC
 OWASP

  17. 無事、盛況でした!

  18. None
  19. None
  20. https://vuls-jp.connpass.com/event/131960/ Vuls祭り#5 登壇決定!
 Who’s Using This? に掲載!
 https://vuls.io/ 感激パ…!

  21. Vulsの導入経緯


  22. プロダクトセキュリティチームの立上げ
 ・ 企業規模の拡大に合わせて、
  プロダクトセキュリティ専門チームを立上げ
 ・ 脆弱性診断の一部内製化が最初のミッション
 


  23. 脆弱性診断の一部内製化
 ・ 外部のセキュリティ事業者による定期診断は継続
 ・ 一部の診断を内製化することで、以下を達成する
   - ノウハウの蓄積
   - ホワイトボックス観点での診断
   -

    柔軟なスケジューリング
 

  24. レイヤー毎の診断ツール
 レイヤー 自動診断 手動診断 診断ツール WEBアプリケーション 〇 〇 Burp Suite

    フレームワーク / ライブラリ 〇 - Vuls プログラミング言語 〇 - Vuls ミドルウェア 〇 - Vuls OS 〇 - Vuls サーバー(ハードウェア) 〇 - Vuls ネットワーク 〇 〇 Nmap あくまで手始めパ! アプリケーション診断 
 プラットフォーム診断 

  25. Vulsの選定理由
 ・ プラットフォーム診断の手始めとして
   - 既知の危険な脆弱性を含むバージョンを使用していないかのチェックから始める
    (攻撃を伴うプラットフォーム診断の内製化(OpenVAS等を使用)は次の一手)
 ・ Vulsの魅力
   - 高い検知精度(複数の脆弱性情報源による)


      - エージェントレス
   - 国産で勢いのあるOSS

  26. Vulsの導入


  27. 構成
 CVE 等 ⑤詳細確認 (VulsRepo) ①日次フェッチ ④日次差分通知 ③日次レポート ②日次スキャン ・・・


  28. Vuls導入
 ・導入手順(公式)
  https://vuls.io/docs/ja/install-manually-centos.html
  https://vuls.io/docs/ja/vulsrepo.html
 ⇒ dep ensure -update で解消
 


    ⇒ 下記の削除で解消
  $GOPATH/pkg/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep 
  $GOPATH/pkg/linux_amd64/github.com/golang/dep.a 
 ・ go-exploitdb の make install でエラー
  (dep ensure で “failed to export~”)
 ・ vuls の make install でエラー
  (dep ensure で “Failed to write~”)

  29. ほんの少しOSS貢献
 ・ VulsRepoに脆弱性が表示されない不具合 
   - cpe指定で検出されたもの全てが対象 
   - エラーではなくスルーなので致命的 


      - 諸事情で、弊社の主たる用途はcpe指定 
 
 ⇒ 必要に迫られて自ら改修!
 
 ★Vulsのレポートのデータ構造は変化しがち(らしい) 
 https://github.com/usiusi360/vulsrepo/pull/71
  30. Vulsの実用途


  31. 脆弱性スキャン
 1.PHPやLaravel等の脆弱性情報チェック(※1)
   - 基本的に、cpe直指定 かつ type="pseudo"でスキャン(※2) 
   - 弊社ではサービス毎に使用バージョンが異なるので、該当バージョンを全て列挙 


      (※1:この要件だけなら他にもツールはあるが、Vulsに一本化したかった。) 
   (※2:PHPもcpe直指定なのは、弊社諸事情でパッケージマネージャ管理にできていないため。 
       ちなみに、簡易なスクリプトにて自動でバージョン情報を収集しています。) 
 2.OSの定期セキュリティアップデートの前後で、該当CVE数の減少を確認
 今後はもっと活用して いきたいパよ!
  32. 脆弱性情報対応MTG(週次/臨時)
 ・ 各サービスのシステム責任者を集め、脆弱性情報を連携
   - Vulsで検出したLaravelやPHPの脆弱性を中心として 
   - CVEをプロダクトセキュリティチームで咀嚼して説明 
 ・

    サービス毎に影響有無を確認し、対応要否・スケジュールを検討
   - 対応方針、対応結果のレビュー 

  33. まとめ


  34. まとめ
 ・ プロダクトセキュリティチーム立上げ、脆弱性診断の一部内製化
 ・ プラットフォーム診断ツールの一翼としてVuls導入、日次スキャン
 ・ Vulsで検出したCVEに解釈を添えて、システム責任者に連携、対応
 キーワードの詰め込み は恥だが役に立つパ!

  35. ご清聴ありがとうございました!