Vulsを使って、脆弱性対応をもっと楽をしよう！

1. 脆弱性対策をもっと楽に！
2016/07/21
INOUE

2.  最近流行りのセキュリティスキャナについて説明
をします。
 これにより、運用している方が楽をできたらいい
なー、という発表です。
これは何？

3. セキュリティ対策については、以下の三階層での運用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 Linux等のErrataは不定期リリースのため、随時確認が必要
 CVEやJVNに代表される、脆弱性情報の確認
 随時公開されるので、これも随時確認が必要
 通常、RSS/RDFなどで認識することが多い
 脆弱性検査等による、実際の脆弱性確認
 外部業者等による、攻撃エミュレーションを伴う脆弱性診断
 定期的(1か月ごと等)に実施することで、実際の脆弱性を発見できる
必要とされるセキュリティ運用

4. セキュリティ対策については、以下の三階層で運用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 RHEL等は不定期リリースのため、随時確認が必要
 CVEやJVNに代表される、脆弱性情報の確認
 随時公開されるので、これも随時確認が必要
 通常、RSS/RDFなどで認識することが多い
 脆弱性検査等による、実際の脆弱性確認
 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。
 定期的(1か月ごと等)に実施。
必要とされるセキュリティ運用

5. 必要とされるセキュリティ運用
疲れたよ、○トラッシュ…
…でもやらないといけないんだ!
そう、俺はゾンビ。死んでも動くんだ…
それは嫌！
というわけで、もう少し考えよう。

6. セキュリティ運用の現状
セキュリティ対策については、以下の三階層で運
用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 RHEL等は不定期リリースのため、随時確認
が必要
 CVEやJVNに代表される、脆弱性情報の確認
 随時公開されるので、これも随時確認が必要
 通常、RSS/RDFなどで認識することが多い
 脆弱性検査等による、実際の脆弱性確認
 外部業者等による、攻撃エミュレーションを
伴う脆弱性診断。
 定期的(1か月ごと等)に実施。
この階層の中で一番ツールが少ないのは、
2番目の、CVEやJVNでの脆弱性情報部分で
す。
 CVEやJVN情報を確認し、自分のシス
テムに影響があるかを確認する必要が
ある
エラッタ等と違い、該当する場合は速やか
に対応が必要！
 ErrataはBugfixやEnhancementが含まれ
ているため、セキュリティ的に脆弱だ
から更新がされた、とは限らない
 適用しなくてよいものも多数
 これを選別する必要がある
この層できちんと対応できていたら、シス
テム側のセキュリティ上の影響という観点
では、大半は対策できているんじゃね？
これ、ないがし
ろにされてね？

7. そこで
Vuls
の登場です。

8.  現在順次開発中の、セキュリティ スキャナです
 CVE/JVNの情報を基に、対象サーバをスキャンし、ホストご
とにCVSSスコアを確認したりすることができるものです。
 アップデートしていないパッケージ数ではなく、CVE/JVNの情
報からのCVSS Scoreで評価できるため、現実的な対応ができ
ます
 勝手にアップデートはしません。スキャンだけです。
 github.com/future-architect/vuls で公開
 Future-architect社(http://www.future.co.jp/)の方が公開してい
るようですが、オープンに開発/利用できるため、OSSと言っ
てよいと思います。
 開発は Slack上でやり取りが行われています。
 現在、順次進化中！です。
Vulsって何よ？

9. どのような構成なのか
By github.com/future-architect/vuls

10. Vulsを動かすサーバ
 go言語
 Gitで導入
 github.com/kotakanbe/go-cve-dictionary
 github.com/future-architect/vuls
 github.com/usiusi360/vulsrepo
Vulsでスキャンされるサーバ
 スキャン用アカウント
 apt-get , apt-cache のsudo権限が必要
 yum-plugin-securiy, yum-changelogの導入が必要
スキャンされる側は、変更がほとんど必要ない！
どうやって入れるのか

11.  Vulsのサーバで、スキャンコマンドを実行
 vuls prepareコマンドで、スキャン対象サーバの準備
 vuls scanコマンドでスキャン開始
 実行結果をWEB-UIで確認する
 別途WEBサーバを用意し、VulsRepoで情報を見る
 CVSS Scoreを見つつ、対処を検討する
利用感

12.  コンソールからも確認可能
 WEB-UIのほうが便利
どのように確認ができるのか

13. 見辛い、、？
 ごもっとも。デモサイトを IDCFクラウド上に 作っ
たので、見てみましょう
 http://pandora-fms.hogehuga.info/vulsrepo/
 予告なく停止する場合があります。
 若しくは、開発者の方のデモサイトを見ましょう
 http://usiusi360.github.io/vulsrepo/
 こっちのほうが、スキャン対象サーバがいっぱいあります。
DEMO

14. 以上、Vulsにつて見てきましたが、これだけではセ
キュリティ対応は万全ではありません。
 アプリケーション上の脆弱性は、パッケージや
サービスを更新しても、発生することがあります。
 それを発見するのは、脆弱性診断。
 脆弱性診断は、頻度は低くとも必要。
とはいえ、これだけではダメ
Service
•サービスの脆弱性
•Buffer Overflow等
Apps
•アプリケーションの脆弱性
•XSS、SQL Injection等
Data
•データの脆弱性
•安直なパスワード等

15.  今の世の中のエンジニアは、いろいろ忙しい！
 自動化できるところは自動化して、判断することに
リソースを集中しましょう
 若しくは空いた時間を利用してツーリングにでも行
こう！
 以上です。
まとめ