Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
脆弱性対策をもっと楽に!
2016/07/21
INOUE
 最近流行りのセキュリティスキャナについて説明
をします。
 これにより、運用している方が楽をできたらいい
なー、という発表です。
これは何?
セキュリティ対策については、以下の三階層での運用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 Linux等のErrataは不定期リリースのため、随時確認が必要
 CVEやJVNに代表される、脆弱性情...
セキュリティ対策については、以下の三階層で運用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 RHEL等は不定期リリースのため、随時確認が必要
 CVEやJVNに代表される、脆弱性情報の確認
 随時...
必要とされるセキュリティ運用
疲れたよ、○トラッシュ…
…でもやらないといけないんだ!
そう、俺はゾンビ。死んでも動くんだ…
それは嫌!
というわけで、もう少し考えよう。
セキュリティ運用の現状
セキュリティ対策については、以下の三階層で運
用が必要です。
 エラッタ等の定期的な確認
 Windowsは、毎月第二火曜に公開
 RHEL等は不定期リリースのため、随時確認
が必要
 CVEやJVNに代表される...
そこで
Vuls
の登場です。
 現在順次開発中の、セキュリティ スキャナです
 CVE/JVNの情報を基に、対象サーバをスキャンし、ホストご
とにCVSSスコアを確認したりすることができるものです。
 アップデートしていないパッケージ数ではなく、CVE/JVNの情
報...
どのような構成なのか
By github.com/future-architect/vuls
Vulsを動かすサーバ
 go言語
 Gitで導入
 github.com/kotakanbe/go-cve-dictionary
 github.com/future-architect/vuls
 github.com/usius...
 Vulsのサーバで、スキャンコマンドを実行
 vuls prepareコマンドで、スキャン対象サーバの準備
 vuls scanコマンドでスキャン開始
 実行結果をWEB-UIで確認する
 別途WEBサーバを用意し、VulsRepo...
 コンソールからも確認可能
 WEB-UIのほうが便利
どのように確認ができるのか
見辛い、、?
 ごもっとも。デモサイトを IDCFクラウド上に 作っ
たので、見てみましょう
 http://pandora-fms.hogehuga.info/vulsrepo/
 予告なく停止する場合があります。
 若しくは、開発者...
以上、Vulsにつて見てきましたが、これだけではセ
キュリティ対応は万全ではありません。
 アプリケーション上の脆弱性は、パッケージや
サービスを更新しても、発生することがあります。
 それを発見するのは、脆弱性診断。
 脆弱性診断は、頻...
 今の世の中のエンジニアは、いろいろ忙しい!
 自動化できるところは自動化して、判断することに
リソースを集中しましょう
 若しくは空いた時間を利用してツーリングにでも行
こう!
 以上です。
まとめ
Prochain SlideShare
Chargement dans…5
×
Prochain SlideShare
Linuxセキュリティ強化エッセンシャル
Suivant
Télécharger pour lire hors ligne et voir en mode plein écran

5

Partager

Télécharger pour lire hors ligne

(Vulsで)脆弱性対策をもっと楽に!

Télécharger pour lire hors ligne

Vulsを使って、脆弱性対応をもっと楽をしよう!

Livres associés

Gratuit avec un essai de 30 jours de Scribd

Tout voir

(Vulsで)脆弱性対策をもっと楽に!

  1. 1. 脆弱性対策をもっと楽に! 2016/07/21 INOUE
  2. 2.  最近流行りのセキュリティスキャナについて説明 をします。  これにより、運用している方が楽をできたらいい なー、という発表です。 これは何?
  3. 3. セキュリティ対策については、以下の三階層での運用が必要です。  エラッタ等の定期的な確認  Windowsは、毎月第二火曜に公開  Linux等のErrataは不定期リリースのため、随時確認が必要  CVEやJVNに代表される、脆弱性情報の確認  随時公開されるので、これも随時確認が必要  通常、RSS/RDFなどで認識することが多い  脆弱性検査等による、実際の脆弱性確認  外部業者等による、攻撃エミュレーションを伴う脆弱性診断  定期的(1か月ごと等)に実施することで、実際の脆弱性を発見できる 必要とされるセキュリティ運用
  4. 4. セキュリティ対策については、以下の三階層で運用が必要です。  エラッタ等の定期的な確認  Windowsは、毎月第二火曜に公開  RHEL等は不定期リリースのため、随時確認が必要  CVEやJVNに代表される、脆弱性情報の確認  随時公開されるので、これも随時確認が必要  通常、RSS/RDFなどで認識することが多い  脆弱性検査等による、実際の脆弱性確認  外部業者等による、攻撃エミュレーションを伴う脆弱性診断。  定期的(1か月ごと等)に実施。 必要とされるセキュリティ運用
  5. 5. 必要とされるセキュリティ運用 疲れたよ、○トラッシュ… …でもやらないといけないんだ! そう、俺はゾンビ。死んでも動くんだ… それは嫌! というわけで、もう少し考えよう。
  6. 6. セキュリティ運用の現状 セキュリティ対策については、以下の三階層で運 用が必要です。  エラッタ等の定期的な確認  Windowsは、毎月第二火曜に公開  RHEL等は不定期リリースのため、随時確認 が必要  CVEやJVNに代表される、脆弱性情報の確認  随時公開されるので、これも随時確認が必要  通常、RSS/RDFなどで認識することが多い  脆弱性検査等による、実際の脆弱性確認  外部業者等による、攻撃エミュレーションを 伴う脆弱性診断。  定期的(1か月ごと等)に実施。 この階層の中で一番ツールが少ないのは、 2番目の、CVEやJVNでの脆弱性情報部分で す。  CVEやJVN情報を確認し、自分のシス テムに影響があるかを確認する必要が ある エラッタ等と違い、該当する場合は速やか に対応が必要!  ErrataはBugfixやEnhancementが含まれ ているため、セキュリティ的に脆弱だ から更新がされた、とは限らない  適用しなくてよいものも多数  これを選別する必要がある この層できちんと対応できていたら、シス テム側のセキュリティ上の影響という観点 では、大半は対策できているんじゃね? これ、ないがし ろにされてね?
  7. 7. そこで Vuls の登場です。
  8. 8.  現在順次開発中の、セキュリティ スキャナです  CVE/JVNの情報を基に、対象サーバをスキャンし、ホストご とにCVSSスコアを確認したりすることができるものです。  アップデートしていないパッケージ数ではなく、CVE/JVNの情 報からのCVSS Scoreで評価できるため、現実的な対応ができ ます  勝手にアップデートはしません。スキャンだけです。  github.com/future-architect/vuls で公開  Future-architect社(http://www.future.co.jp/)の方が公開してい るようですが、オープンに開発/利用できるため、OSSと言っ てよいと思います。  開発は Slack上でやり取りが行われています。  現在、順次進化中!です。 Vulsって何よ?
  9. 9. どのような構成なのか By github.com/future-architect/vuls
  10. 10. Vulsを動かすサーバ  go言語  Gitで導入  github.com/kotakanbe/go-cve-dictionary  github.com/future-architect/vuls  github.com/usiusi360/vulsrepo Vulsでスキャンされるサーバ  スキャン用アカウント  apt-get , apt-cache のsudo権限が必要  yum-plugin-securiy, yum-changelogの導入が必要 スキャンされる側は、変更がほとんど必要ない! どうやって入れるのか
  11. 11.  Vulsのサーバで、スキャンコマンドを実行  vuls prepareコマンドで、スキャン対象サーバの準備  vuls scanコマンドでスキャン開始  実行結果をWEB-UIで確認する  別途WEBサーバを用意し、VulsRepoで情報を見る  CVSS Scoreを見つつ、対処を検討する 利用感
  12. 12.  コンソールからも確認可能  WEB-UIのほうが便利 どのように確認ができるのか
  13. 13. 見辛い、、?  ごもっとも。デモサイトを IDCFクラウド上に 作っ たので、見てみましょう  http://pandora-fms.hogehuga.info/vulsrepo/  予告なく停止する場合があります。  若しくは、開発者の方のデモサイトを見ましょう  http://usiusi360.github.io/vulsrepo/  こっちのほうが、スキャン対象サーバがいっぱいあります。 DEMO
  14. 14. 以上、Vulsにつて見てきましたが、これだけではセ キュリティ対応は万全ではありません。  アプリケーション上の脆弱性は、パッケージや サービスを更新しても、発生することがあります。  それを発見するのは、脆弱性診断。  脆弱性診断は、頻度は低くとも必要。 とはいえ、これだけではダメ Service •サービスの脆弱性 •Buffer Overflow等 Apps •アプリケーションの脆弱性 •XSS、SQL Injection等 Data •データの脆弱性 •安直なパスワード等
  15. 15.  今の世の中のエンジニアは、いろいろ忙しい!  自動化できるところは自動化して、判断することに リソースを集中しましょう  若しくは空いた時間を利用してツーリングにでも行 こう!  以上です。 まとめ
  • yasuhirogotou

    Jun. 20, 2020
  • yoshi807

    Oct. 24, 2019
  • YuuriOhsumi

    Dec. 20, 2017
  • TakashiMiyahara2

    Sep. 26, 2016
  • binbinqiu1

    Jul. 26, 2016

Vulsを使って、脆弱性対応をもっと楽をしよう!

Vues

Nombre de vues

4 197

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

2 667

Actions

Téléchargements

14

Partages

0

Commentaires

0

Mentions J'aime

5

×