Submit Search
Upload
脆弱性スキャナVulsで始めるセキュリティ対策
•
Download as PPTX, PDF
•
7 likes
•
9,350 views
Takayuki Ushida
Follow
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 36
Download now
Recommended
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門
Takashi Takizawa
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
Recommended
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門
Takashi Takizawa
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Shingo Kitayama
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
OSS活動の活発さと評価の関係について
OSS活動の活発さと評価の関係について
Takuto Wada
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
Kentaro Yoshida
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
Springを何となく使ってる人が抑えるべきポイント
Springを何となく使ってる人が抑えるべきポイント
土岐 孝平
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
さくらのクラウド基礎知識
さくらのクラウド基礎知識
さくらインターネット株式会社
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
Ryota Watabe
A5 SQL Mk-2の便利な機能をお教えします
A5 SQL Mk-2の便利な機能をお教えします
ester41
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
More Related Content
What's hot
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Shingo Kitayama
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
OSS活動の活発さと評価の関係について
OSS活動の活発さと評価の関係について
Takuto Wada
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
Kentaro Yoshida
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
Springを何となく使ってる人が抑えるべきポイント
Springを何となく使ってる人が抑えるべきポイント
土岐 孝平
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
さくらのクラウド基礎知識
さくらのクラウド基礎知識
さくらインターネット株式会社
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
Ryota Watabe
A5 SQL Mk-2の便利な機能をお教えします
A5 SQL Mk-2の便利な機能をお教えします
ester41
What's hot
(20)
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
OSS活動の活発さと評価の関係について
OSS活動の活発さと評価の関係について
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Springを何となく使ってる人が抑えるべきポイント
Springを何となく使ってる人が抑えるべきポイント
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
さくらのクラウド基礎知識
さくらのクラウド基礎知識
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
バッチ処理にバインド変数はもうやめません? ~|バッチ処理の突発遅延を題材にして考えてみる~
A5 SQL Mk-2の便利な機能をお教えします
A5 SQL Mk-2の便利な機能をお教えします
Similar to 脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Hibino Hisashi
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
OWASP Kansai
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
FumieNakayama
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
Open stack概要とよくある議論
Open stack概要とよくある議論
shintaro mizuno
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Takayuki Ushida
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
医療機器人財育成教育セミナー イン 九州
医療機器人財育成教育セミナー イン 九州
Eiji Sasahara, Ph.D., MBA 笹原英司
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
TakuKitamura1
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
Similar to 脆弱性スキャナVulsで始めるセキュリティ対策
(20)
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
Open stack概要とよくある議論
Open stack概要とよくある議論
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
医療機器人財育成教育セミナー イン 九州
医療機器人財育成教育セミナー イン 九州
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
20160208 power cms_cloud_public
20160208 power cms_cloud_public
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
【Securify】Partner program.pdf
【Securify】Partner program.pdf
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
脆弱性スキャナVulsで始めるセキュリティ対策
1.
1 脆弱性スキャナ で始める セキュリティ対策 第2回ゼロから始めるセキュリティ入門 勉強会 2017.1.16 Takayuki
Ushida
2.
自己紹介 • 牛田 隆之(Ushida
Takayuki) • フューチャーアーキテクト株式会社 – Technology Innovation Group – セキュリティーソリューション担当 – 前職ではインフラ運用・監視系 • 脆弱性スキャナVulsのビューアVulsRepoを開発 • Twitter/Qiita/GitHub – usiusi360 2
3.
3 昨今の脆弱性情勢と運用面の課題
4.
毎日脆弱性に関するニュースで一杯 4抜粋)IT Pro http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security
5.
5 脆弱性報告件数の推移 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の 取扱いに関する届出状況[2016年第3 四半期(7月~9月)] https://www.jpcert.or.jp/press/2016/vul nREPORT_2016q3.pdf 1日あたり4.2件もの脆弱性が報告されている。 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の取 扱いに関する届出状況[2016年第3四半 期(7月~9月)] https://www.jpcert.or.jp/press/2016/vuln REPORT_2016q3.pdf
6.
6 脆弱性対応は、時間との戦い!! 発見・対処が遅れるほど、外 部から脆弱性を突かれるリス クが高くなる • 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くた めのヒントが公開されたってこと。 • 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 •
実際には公表される前のゼロデイもあって怖い。
7.
7 脆弱性情報を毎日ウォッチしつづけるのはツライ • CVE等の脆弱性情報は追加だけではない! 過去の情報も頻繁に更新されている。 • 更新された内容に重大な内容(脆弱性レベル・対象)が含ま れていても、話題になるのは一部だけ。 •
全てのアップデートについて毎回、自システムのインストー ル構成と照らし合わせて影響があるか一つずつ確認する のはタイヘン!チェック漏れがあったら一大事!!
8.
脆弱性情報を元にした人力運用の限界 • 日々増えていく脆弱性を人が一つ一つ判断するのは限界 • 脆弱性情報提供サイトの情報提供自体に遅延が生じている。 脆弱性対策の自動化が必要 脆弱性対策ツールを 適材適所で正しく使う
8
9.
9 サーバにおける脆弱性対策
10.
10 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 脆弱性対策の分類 近年、脆弱性の種類も多様化し、一つの対策方法だけでは防げない。 脆弱性対策 ネットワーク多 層防御 脆弱性診断 侵入 早期検知
11.
11 公開サーバのネットワーク多層防御・侵入早期検知 SYN Flood攻撃(DoS攻 撃) SQLインジェクション クロスサイト スクリプティング ポートスキャン 指定IP以外の送信元 通信 コマンドインジェクショ ン F5攻撃(Dos攻撃) Webアプリケーシ ョン サーバソフト OS ネットワーク WAF IPS ファイアウ ォール Apache mod_security Apache mod_dosdetector Iptables firewalld
12.
12 脆弱性診断 Webアプリケー ション サーバソフトウ ェア OS ネットワーク Webアプリケーション 脆弱性スキャナー ソフトウェア脆弱性 スキャナ ネットワーク 脆弱性スキャナー ネットワーク ポートスキャナー セキュリティ設定 監査ツール Rapid7、Nessus、OpenVAS Nmap OpenVAS、OpenSCAP、 Lynis OpenVAS、OpenSCAP OWASP dependency-check OpenVAS、OWASP
ZAP、 Rapid7、Nessus、 Nikto
13.
13 脆弱性スキャナVulsの紹 介 VULnarability Scanner 脆弱性 スキャナー
14.
概要 潜在する脆弱性と該当サーバを可視化 定期実行で対策漏れがなくなる
15.
15 特徴 オープンソース(GPLv3) エージェントレス
(管理サーバにモジュール配置するのみ) スキャン対象にはSSH接続のみ。非破壊で安全にスキャン。 AWSへの事前申請不要。 セットアップ、初期設定が非常に簡単 ディストリビューションパッケージ及びパッケージ以外のソフ トウェアの脆弱性も検知可能(要CPE登録) オンプレ、クラウドの両方に対応 幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・) Dockerコンテナ対応(SSH不要) 日本語でレポート可能 豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
16.
16 Vuls普及の勢い 一時1位(/約1,000万)に! GitHub Stars Vulsの認知度
17.
17 メディア紹介 IPAのWeb記事 ( MyJVN事例紹介) ThinkIT 参照URL: <https://thinkit.co.jp/article/10092> 参照URL:
<http://jvndb.jvn.jp/apis/>
18.
18 VulsRepo Vulsの豊富な通知・レポート手段
19.
19 Vuls⇒SlackVulsのスキャン結果通知 Email、Slack通知に対応(日本語で表示可)
20.
20 Vuls⇒SlackVulsのスキャン結果通知 監視ソフト Zabbixへ検知数を連携 Qiita:脆弱性スキャナVulsのスキャン結果をZabbixへ連携し アラート通知する 脆弱性検知結果を 出力・加工 Zabbixで条件指 定、新規脆弱性検 知 スキャンスクリプトを cronに登録し、 Zabbixに送信
21.
21 Vulsのレポート(分類) レポート提出 コンソール QuickSight ElasticSearch+Kibana 小規模 大規模 クラウド TUI Web(VulsRepo) Excel オンプレ インタラクティブ システム規模と目的に合わせて選択可能
22.
22 Vuls TUI Vuls TUIで簡単に結果をコンソールで閲覧可能。 Vulsのレポート表示(TUI)
23.
23 VulsRepo VulsRepoでVulsの結果をピボットテーブルのように色々な角度か ら集計できる。またグラフ化することもできる。 Vulsのレポート表示(Web- VulsRepo)
24.
24 VulsRepo Qiita:VulsのログをCSVにしてExcelで可視化する - Execlレポートにすることでシステムに直接アクセスできない監査組 織への定期報告に使える Vulsのレポート表示(Excel連携)
25.
25 VulsRepo クラウド上のBI SaaSサービスへ連携することで大規模環境のログでも 素早く集計、ドリルダウンができるようになる。 Vulsのレポート表示(Amazon QuickSight連携)
26.
26 VulsRepo Qiita:VulsのログをElasticSearchに取り込んで可視化する – オンプレ環境で大量のログを集計、可視化する際に有効 Vulsのレポート表示(ElasticSearch+Kibana連携)
27.
27 Vuls構成パターン
28.
28 Vuls構成パターン① Vulsはエージェントレス、スキャンし たいサーバにSSH接続するだけでチ ェックが行えます。疑似攻撃を行うわ けではないためシステムに影響を与 えることなく安全にスキャンできます。 リモートサーバをスキャン dockerコンテナ内のスキャンを行う 場合、「docker exec」コマンドを介し てチェックします。そのためdockerコ ンテナ内にSSHデーモンは必要あり ません。Vulsをインストールしたサー バ以外にリモートのサーバであって も同様にスキャン可能です。 Dockerコンテナをスキャン
29.
29 Vuls構成パターン② 複数のシステムを運用していて、それぞれが別々のネットワークに分離されて いるような環境の場合、個々のVulsサーバでスキャン時に出力されたJSONフ ァイルを一箇所に集めることで、横断的に分析することができます。 複数のVulsサーバによる運用
30.
30 Vuls構成パターン③ Vulsはスキャン時にyumやaptコマンドにより最新版パッケージのchangelogまたは updateinfoの情報を取得するためインターネットへのアクセス経路が必要です。 システムの構成またはポリシー上、外部へ直接アクセスできる経路がない場合は、シス テム内にローカルリポジトリサーバを構築しパブリックなリポジトリサーバのデータをミラ ーし、システム内の各サーバはローカルリポジトリを参照することでスキャンすることが 出来るようになります。 インターネットから隔離された環境での運用
31.
31 他のツールとの比較
32.
32 VulsとOpenVAS、AWS Inspecterの比較 Vuls OpenVAS
AWS Inspecter コスト OSS OSS 従量課金 対象OS Amazon Linux、CentOS、Debian、 FreeBSD、Redhat、Ubuntu CentOS、Debian、Fedora、 RedHat、Windows AmazonLinux、Ubuntu(14.04LTS ~)、 Redhat(7.2) CentOS(7.2) Windows Server 2008 R2、2012 チェック 内容 .pkg、.rpmに含まれたCVE CPEを指定したもののCVE .pkg、.rpmに含まれたCVE NVTs(Network Vulnerablility Tests)※検査用シグネチャに基 づいたスキャン 一般的な脆弱性と曝露 CISオペレーションシステムのセ キュリティ設定ベンチマーク セキュリティのベストプラクティス レポート Web、CUI、text、JSON、Mail、 slack、CSV Web、HTML、CSV、PDF Web、CSV ログイン 権限 一般ユーザでのログイン権限+ sudo権限 Root権限を持つユーザでのログ イン権限 エージェントを起動 導入の 容易さ ◎ △ ◎ クラウド 環境で の使用 申請不要 申請必要 申請不要
33.
33 VulsとOpenVAS、AWS Inspecterの比較 • Qiita:Vuls・OpenVAS・Amazon
Inspectorを徹底比較 – Vulsはスキャンスピード、検知精度に優れている結果になった!
34.
34 Vuls 参考情報 • GitHub https://github.com/future-architect/vuls/blob/master/README.ja.md ※日本語マニュアルがあります。 •
コミュニティSlack https://vuls-github.slack.com/messages/vulsjp/ • 勉強会(vuls-jp) #1 2016/9/26開催 100名ほど参加 http://vuls-jp.connpass.com/ • Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e 検索
35.
35 まとめ 脆弱性検知は自動チェックツールを使って運用を楽に! 有償サポート、導入サポート、カスタマイズはご相談ください • フューチャーアーキテクト株式会社 担当:牛田(ウシダ)まで •
mailto: gr-tig-ta-security@future.co.jp • 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化すること です。 • 脆弱性検知は一回行って終わりではありません。継続的に実施するこ とが必要です。 OSSなので無料で使えます! • 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだけで 構成できます。 • 規模や運用条件に合わせて柔軟に構成できます。
36.
36
Download now