VulsとOpenVASの比較 目指すところは違うので、お互いの良い点を利用しよう 2018/08/27 hogehuga

急遽LTすることになりました なので、色々抜け落ちがありますが、ご容赦ください。

summary 脆弱性スキャナ VulsとOpenVASについて、スキャン結果を比べた • 背景 • Vulsはバージョンアップにより、CVE定義の脆弱性検知数が増加した。 • OpenVASはその手法から、すべてのCVE定義の脆弱性を検知できるものでは ないと推定される。 • 両社は、目指す方向と手法が異なる。 • 比較 • CentOS/Debian/Ubuntuについて、インストール直後とアップデート後の状 態をスキャンする。 • 検出に関する、所要時間とCVE定義脆弱性数を比較する • そのうえで、その他の違いについても考察する

Scan with OpenVAS

OpenVAS: スキャン方法 以下の設定でスキャンした • Scan config • Full and very deep ultimate • それ以外 • デフォルト値を使用 OpenVAS実装環境 • Virtual Applianeのgsm-ce-4.2.19を利用 • これを 某パブリッククラウド環境に配置 • 同様にパブリッククラウド上にデプロイした、 [CentOS|Debian|Ubuntu]をスキャン。

Scan with Vuls Vuls祭りなのに、Vulsでのスキャンについては省略します。 時間がないので…

スキャン結果の比較

結果の比較 以下のような結果になった • スキャン速度の差がかなりある • CVE検知数はVulsのほうが多い OS 状態 OpenVAS Vuls スキャン時間 CVE検知数 スキャン時間 CVE検知 数 Ubuntu 18.04 LTS インストール直後 21分 18 10[sec]以下 131 Updated 20分 0 10[sec]以下 90 CentOS 7.5 インストール直後 26分 38 10[sec]以下 539 Updated 26分 11 10[sec]以下 503 Debian9 インストール直後 29分 89 10[sec]以下 301 Updated 29分 5 10[sec]以下 217

違いについて OpenVAS • パッケージで修正された脆弱性については、あまり記載がない ように見える • DebianはDSA、UbuntuはUSN、CentOSはCESA、で振られている修 正一覧をもとしているため。 • 設定上の脆弱性なども検知ができる • SSHで利用している

結論 • Vuls • より多くの残存する脆弱性を検知している。 • NOT FIXED YETなど、細かな状況も認識できている • 検知力、半端ない。 • スキャン時間は大幅に短い • OpenVAS • CVEで定義された脆弱性で、取りこぼし(検知不足)はありそうだ • Vulsのスキャン範囲外もスキャンする • しかし、ペネトレーションテストレベルではない • がそこまで重要かどうかは…？ 目指している先が違うので、優劣ではない。 • 必要に応じて、両方使おう。

以上です。