Soumettre la recherche
Mettre en ligne
(Vulsで)脆弱性対策をもっと楽に!
•
Télécharger en tant que PPTX, PDF
•
5 j'aime
•
4,383 vues
H
hogehuga
Suivre
Vulsを使って、脆弱性対応をもっと楽をしよう!
Lire moins
Lire la suite
Logiciels
Affichage du diaporama
Signaler
Partager
Affichage du diaporama
Signaler
Partager
1 sur 15
Télécharger maintenant
Recommandé
20190314パソコンウイルス対策
20190314パソコンウイルス対策
KentaNishino
LC2005 LT
LC2005 LT
Kunio Miyamoto, Ph.D.
ランサムウェア事例紹介
ランサムウェア事例紹介
ひろき 村上
Aries Kubo081219
Aries Kubo081219
kubo
Manual TP
Manual TP
japan_trustport
第1回セキュリティ勉強会
第1回セキュリティ勉強会
masayuki ito
第2回セキュリティ勉強会
第2回セキュリティ勉強会
masayuki ito
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Recommandé
20190314パソコンウイルス対策
20190314パソコンウイルス対策
KentaNishino
LC2005 LT
LC2005 LT
Kunio Miyamoto, Ph.D.
ランサムウェア事例紹介
ランサムウェア事例紹介
ひろき 村上
Aries Kubo081219
Aries Kubo081219
kubo
Manual TP
Manual TP
japan_trustport
第1回セキュリティ勉強会
第1回セキュリティ勉強会
masayuki ito
第2回セキュリティ勉強会
第2回セキュリティ勉強会
masayuki ito
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
yamaguchi_2048
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
シスコシステムズ合同会社
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
hogehuga
水風呂道
水風呂道
hogehuga
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
hogehuga
最近のドローン界隈(仮)
最近のドローン界隈(仮)
hogehuga
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
hogehuga
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
hogehuga
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
hogehuga
Drone collection2019
Drone collection2019
hogehuga
ハラスメントについて
ハラスメントについて
hogehuga
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
hogehuga
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
hogehuga
Vuls祭りvol3
Vuls祭りvol3
hogehuga
Honypotのログを見る
Honypotのログを見る
hogehuga
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
hogehuga
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
hogehuga
Contenu connexe
Similaire à (Vulsで)脆弱性対策をもっと楽に!
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
yamaguchi_2048
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
シスコシステムズ合同会社
Similaire à (Vulsで)脆弱性対策をもっと楽に!
(6)
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
【Securify】Partner program.pdf
【Securify】Partner program.pdf
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
Plus de hogehuga
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
hogehuga
水風呂道
水風呂道
hogehuga
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
hogehuga
最近のドローン界隈(仮)
最近のドローン界隈(仮)
hogehuga
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
hogehuga
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
hogehuga
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
hogehuga
Drone collection2019
Drone collection2019
hogehuga
ハラスメントについて
ハラスメントについて
hogehuga
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
hogehuga
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
hogehuga
Vuls祭りvol3
Vuls祭りvol3
hogehuga
Honypotのログを見る
Honypotのログを見る
hogehuga
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
hogehuga
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
hogehuga
20170408 securiy-planning
20170408 securiy-planning
hogehuga
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
hogehuga
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
hogehuga
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
hogehuga
Plus de hogehuga
(20)
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
LT大会資料 URL踏むとBSoDになる、心あたたまるお話
水風呂道
水風呂道
本当は怖いフリーWiFi(社内怪談LT)
本当は怖いフリーWiFi(社内怪談LT)
最近のドローン界隈(仮)
最近のドローン界隈(仮)
サウナととのいと水風呂ととのい
サウナととのいと水風呂ととのい
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
Owasp io t_top10_and_drone
Owasp io t_top10_and_drone
Drone collection2019
Drone collection2019
ハラスメントについて
ハラスメントについて
ハニーポットのログ、毎日アクセスログを見よう
ハニーポットのログ、毎日アクセスログを見よう
ドローンの現状とハッキング(概要版)
ドローンの現状とハッキング(概要版)
Vuls祭りvol3
Vuls祭りvol3
Honypotのログを見る
Honypotのログを見る
ハニーポッターと謎のアクセス
ハニーポッターと謎のアクセス
WEBサイトのセキュリティ対策 -継続的なアップデート-
WEBサイトのセキュリティ対策 -継続的なアップデート-
20170408 securiy-planning
20170408 securiy-planning
Vuls ローカルスキャンモードの活用方法
Vuls ローカルスキャンモードの活用方法
20170325 institute of-vulnerability_assessment
20170325 institute of-vulnerability_assessment
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
SETTING METHOD IN CONSIDERATION OF THE PCI/DSS
(Vulsで)脆弱性対策をもっと楽に!
1.
脆弱性対策をもっと楽に! 2016/07/21 INOUE
2.
最近流行りのセキュリティスキャナについて説明 をします。 これにより、運用している方が楽をできたらいい なー、という発表です。 これは何?
3.
セキュリティ対策については、以下の三階層での運用が必要です。 エラッタ等の定期的な確認 Windowsは、毎月第二火曜に公開
Linux等のErrataは不定期リリースのため、随時確認が必要 CVEやJVNに代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、RSS/RDFなどで認識することが多い 脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断 定期的(1か月ごと等)に実施することで、実際の脆弱性を発見できる 必要とされるセキュリティ運用
4.
セキュリティ対策については、以下の三階層で運用が必要です。 エラッタ等の定期的な確認 Windowsは、毎月第二火曜に公開
RHEL等は不定期リリースのため、随時確認が必要 CVEやJVNに代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、RSS/RDFなどで認識することが多い 脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを伴う脆弱性診断。 定期的(1か月ごと等)に実施。 必要とされるセキュリティ運用
5.
必要とされるセキュリティ運用 疲れたよ、○トラッシュ… …でもやらないといけないんだ! そう、俺はゾンビ。死んでも動くんだ… それは嫌! というわけで、もう少し考えよう。
6.
セキュリティ運用の現状 セキュリティ対策については、以下の三階層で運 用が必要です。 エラッタ等の定期的な確認 Windowsは、毎月第二火曜に公開
RHEL等は不定期リリースのため、随時確認 が必要 CVEやJVNに代表される、脆弱性情報の確認 随時公開されるので、これも随時確認が必要 通常、RSS/RDFなどで認識することが多い 脆弱性検査等による、実際の脆弱性確認 外部業者等による、攻撃エミュレーションを 伴う脆弱性診断。 定期的(1か月ごと等)に実施。 この階層の中で一番ツールが少ないのは、 2番目の、CVEやJVNでの脆弱性情報部分で す。 CVEやJVN情報を確認し、自分のシス テムに影響があるかを確認する必要が ある エラッタ等と違い、該当する場合は速やか に対応が必要! ErrataはBugfixやEnhancementが含まれ ているため、セキュリティ的に脆弱だ から更新がされた、とは限らない 適用しなくてよいものも多数 これを選別する必要がある この層できちんと対応できていたら、シス テム側のセキュリティ上の影響という観点 では、大半は対策できているんじゃね? これ、ないがし ろにされてね?
7.
そこで Vuls の登場です。
8.
現在順次開発中の、セキュリティ スキャナです
CVE/JVNの情報を基に、対象サーバをスキャンし、ホストご とにCVSSスコアを確認したりすることができるものです。 アップデートしていないパッケージ数ではなく、CVE/JVNの情 報からのCVSS Scoreで評価できるため、現実的な対応ができ ます 勝手にアップデートはしません。スキャンだけです。 github.com/future-architect/vuls で公開 Future-architect社(http://www.future.co.jp/)の方が公開してい るようですが、オープンに開発/利用できるため、OSSと言っ てよいと思います。 開発は Slack上でやり取りが行われています。 現在、順次進化中!です。 Vulsって何よ?
9.
どのような構成なのか By github.com/future-architect/vuls
10.
Vulsを動かすサーバ go言語 Gitで導入
github.com/kotakanbe/go-cve-dictionary github.com/future-architect/vuls github.com/usiusi360/vulsrepo Vulsでスキャンされるサーバ スキャン用アカウント apt-get , apt-cache のsudo権限が必要 yum-plugin-securiy, yum-changelogの導入が必要 スキャンされる側は、変更がほとんど必要ない! どうやって入れるのか
11.
Vulsのサーバで、スキャンコマンドを実行 vuls
prepareコマンドで、スキャン対象サーバの準備 vuls scanコマンドでスキャン開始 実行結果をWEB-UIで確認する 別途WEBサーバを用意し、VulsRepoで情報を見る CVSS Scoreを見つつ、対処を検討する 利用感
12.
コンソールからも確認可能 WEB-UIのほうが便利 どのように確認ができるのか
13.
見辛い、、? ごもっとも。デモサイトを IDCFクラウド上に
作っ たので、見てみましょう http://pandora-fms.hogehuga.info/vulsrepo/ 予告なく停止する場合があります。 若しくは、開発者の方のデモサイトを見ましょう http://usiusi360.github.io/vulsrepo/ こっちのほうが、スキャン対象サーバがいっぱいあります。 DEMO
14.
以上、Vulsにつて見てきましたが、これだけではセ キュリティ対応は万全ではありません。 アプリケーション上の脆弱性は、パッケージや サービスを更新しても、発生することがあります。 それを発見するのは、脆弱性診断。
脆弱性診断は、頻度は低くとも必要。 とはいえ、これだけではダメ Service •サービスの脆弱性 •Buffer Overflow等 Apps •アプリケーションの脆弱性 •XSS、SQL Injection等 Data •データの脆弱性 •安直なパスワード等
15.
今の世の中のエンジニアは、いろいろ忙しい! 自動化できるところは自動化して、判断することに リソースを集中しましょう
若しくは空いた時間を利用してツーリングにでも行 こう! 以上です。 まとめ
Télécharger maintenant