Submit Search
Upload
脆弱性スキャナVulsで始めるセキュリティ対策
•
Download as PPTX, PDF
•
7 likes
•
9,342 views
Takayuki Ushida
Follow
[秋葉原]第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 36
Download now
Recommended
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
cloudpack負荷職人結果レポート(サンプル)
cloudpack負荷職人結果レポート(サンプル)
iret, Inc.
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
Scrumの紹介とXPプロジェクトへの適用(Scrum and XP)
Scrumの紹介とXPプロジェクトへの適用(Scrum and XP)
Masashi Umezawa
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
Tatsuya Watanabe
心理的安全性と、Veinの紹介 Psychological safety and introduction of Vein
心理的安全性と、Veinの紹介 Psychological safety and introduction of Vein
Tokoroten Nakayama
Recommended
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
cloudpack負荷職人結果レポート(サンプル)
cloudpack負荷職人結果レポート(サンプル)
iret, Inc.
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
Scrumの紹介とXPプロジェクトへの適用(Scrum and XP)
Scrumの紹介とXPプロジェクトへの適用(Scrum and XP)
Masashi Umezawa
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
PacemakerのMaster/Slave構成の基本と事例紹介(DRBD、PostgreSQLレプリケーション) @Open Source Confer...
Tatsuya Watanabe
心理的安全性と、Veinの紹介 Psychological safety and introduction of Vein
心理的安全性と、Veinの紹介 Psychological safety and introduction of Vein
Tokoroten Nakayama
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
NTT DATA Technology & Innovation
SharePoint Framework Teams タブ開発基礎講座
SharePoint Framework Teams タブ開発基礎講座
Hiroaki Oikawa
アーキテクチャのレビューについて - JaSST Review '18
アーキテクチャのレビューについて - JaSST Review '18
Yusuke Suzuki
Datadog による Container の監視について
Datadog による Container の監視について
Masaya Aoyama
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
Kuniteru Asami
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
Akinori SAKATA
マイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦い
ota42y
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
dcubeio
Java EE から Quarkus による開発への移行について
Java EE から Quarkus による開発への移行について
Shigeru Tatsuta
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド
崇介 藤井
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
Tetsunori Nishizawa
IoT向けプラットフォーム「SORACOM」とは? 他2本
IoT向けプラットフォーム「SORACOM」とは? 他2本
SORACOM,INC
ぼくとJenkinsおじさんの360日戦争
ぼくとJenkinsおじさんの360日戦争
goccy
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
Tokoroten Nakayama
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
apkiban
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
Haruki Yamashita
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
More Related Content
What's hot
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
NTT DATA Technology & Innovation
SharePoint Framework Teams タブ開発基礎講座
SharePoint Framework Teams タブ開発基礎講座
Hiroaki Oikawa
アーキテクチャのレビューについて - JaSST Review '18
アーキテクチャのレビューについて - JaSST Review '18
Yusuke Suzuki
Datadog による Container の監視について
Datadog による Container の監視について
Masaya Aoyama
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
Kuniteru Asami
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
Akinori SAKATA
マイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦い
ota42y
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
dcubeio
Java EE から Quarkus による開発への移行について
Java EE から Quarkus による開発への移行について
Shigeru Tatsuta
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド
崇介 藤井
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
Tetsunori Nishizawa
IoT向けプラットフォーム「SORACOM」とは? 他2本
IoT向けプラットフォーム「SORACOM」とは? 他2本
SORACOM,INC
ぼくとJenkinsおじさんの360日戦争
ぼくとJenkinsおじさんの360日戦争
goccy
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
Tokoroten Nakayama
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
apkiban
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
Haruki Yamashita
What's hot
(20)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
SharePoint Framework Teams タブ開発基礎講座
SharePoint Framework Teams タブ開発基礎講座
アーキテクチャのレビューについて - JaSST Review '18
アーキテクチャのレビューについて - JaSST Review '18
Datadog による Container の監視について
Datadog による Container の監視について
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
JaSST Tokyo 2022 アジャイルソフトウェア開発への統計的品質管理の応用
マイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦い
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
Java EE から Quarkus による開発への移行について
Java EE から Quarkus による開発への移行について
Elasticsearchを使うときの注意点 公開用スライド
Elasticsearchを使うときの注意点 公開用スライド
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
Amazon s3へのデータ転送における課題とその対処法を一挙紹介
IoT向けプラットフォーム「SORACOM」とは? 他2本
IoT向けプラットフォーム「SORACOM」とは? 他2本
ぼくとJenkinsおじさんの360日戦争
ぼくとJenkinsおじさんの360日戦争
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
チャットコミュニケーションの問題と心理的安全性の課題 #EOF2019
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
GraalVM の概要と、Native Image 化によるSpring Boot 爆速化の夢
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
システム監視のアラート大量発生を抑えるZabbixトリガー「依存関係」機能の紹介
Similar to 脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
Citrix Systems Japan
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
Hibino Hisashi
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
OWASP Kansai
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
FumieNakayama
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
Open stack概要とよくある議論
Open stack概要とよくある議論
shintaro mizuno
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Takayuki Ushida
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
医療機器人財育成教育セミナー イン 九州
医療機器人財育成教育セミナー イン 九州
Eiji Sasahara, Ph.D., MBA 笹原英司
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
TakuKitamura1
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
Similar to 脆弱性スキャナVulsで始めるセキュリティ対策
(20)
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
Open stack概要とよくある議論
Open stack概要とよくある議論
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
医療機器人財育成教育セミナー イン 九州
医療機器人財育成教育セミナー イン 九州
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
20160208 power cms_cloud_public
20160208 power cms_cloud_public
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
【Securify】Partner program.pdf
【Securify】Partner program.pdf
F*言語によるMQTTパケットパーサの開発と安全性評価
F*言語によるMQTTパケットパーサの開発と安全性評価
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
脆弱性スキャナVulsで始めるセキュリティ対策
1.
1 脆弱性スキャナ で始める セキュリティ対策 第2回ゼロから始めるセキュリティ入門 勉強会 2017.1.16 Takayuki
Ushida
2.
自己紹介 • 牛田 隆之(Ushida
Takayuki) • フューチャーアーキテクト株式会社 – Technology Innovation Group – セキュリティーソリューション担当 – 前職ではインフラ運用・監視系 • 脆弱性スキャナVulsのビューアVulsRepoを開発 • Twitter/Qiita/GitHub – usiusi360 2
3.
3 昨今の脆弱性情勢と運用面の課題
4.
毎日脆弱性に関するニュースで一杯 4抜粋)IT Pro http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security
5.
5 脆弱性報告件数の推移 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の 取扱いに関する届出状況[2016年第3 四半期(7月~9月)] https://www.jpcert.or.jp/press/2016/vul nREPORT_2016q3.pdf 1日あたり4.2件もの脆弱性が報告されている。 抜粋)JPCERT CC. ソフトウェア等の脆弱性関連情報の取 扱いに関する届出状況[2016年第3四半 期(7月~9月)] https://www.jpcert.or.jp/press/2016/vuln REPORT_2016q3.pdf
6.
6 脆弱性対応は、時間との戦い!! 発見・対処が遅れるほど、外 部から脆弱性を突かれるリス クが高くなる • 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くた めのヒントが公開されたってこと。 • 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 •
実際には公表される前のゼロデイもあって怖い。
7.
7 脆弱性情報を毎日ウォッチしつづけるのはツライ • CVE等の脆弱性情報は追加だけではない! 過去の情報も頻繁に更新されている。 • 更新された内容に重大な内容(脆弱性レベル・対象)が含ま れていても、話題になるのは一部だけ。 •
全てのアップデートについて毎回、自システムのインストー ル構成と照らし合わせて影響があるか一つずつ確認する のはタイヘン!チェック漏れがあったら一大事!!
8.
脆弱性情報を元にした人力運用の限界 • 日々増えていく脆弱性を人が一つ一つ判断するのは限界 • 脆弱性情報提供サイトの情報提供自体に遅延が生じている。 脆弱性対策の自動化が必要 脆弱性対策ツールを 適材適所で正しく使う
8
9.
9 サーバにおける脆弱性対策
10.
10 脆弱性対策にまず必要なのは、 「Visibility(可視化)」と、可視化したセキュリティ状況の「モニタリング」 「見えないことは、コントロール出来ない」 脆弱性対策の分類 近年、脆弱性の種類も多様化し、一つの対策方法だけでは防げない。 脆弱性対策 ネットワーク多 層防御 脆弱性診断 侵入 早期検知
11.
11 公開サーバのネットワーク多層防御・侵入早期検知 SYN Flood攻撃(DoS攻 撃) SQLインジェクション クロスサイト スクリプティング ポートスキャン 指定IP以外の送信元 通信 コマンドインジェクショ ン F5攻撃(Dos攻撃) Webアプリケーシ ョン サーバソフト OS ネットワーク WAF IPS ファイアウ ォール Apache mod_security Apache mod_dosdetector Iptables firewalld
12.
12 脆弱性診断 Webアプリケー ション サーバソフトウ ェア OS ネットワーク Webアプリケーション 脆弱性スキャナー ソフトウェア脆弱性 スキャナ ネットワーク 脆弱性スキャナー ネットワーク ポートスキャナー セキュリティ設定 監査ツール Rapid7、Nessus、OpenVAS Nmap OpenVAS、OpenSCAP、 Lynis OpenVAS、OpenSCAP OWASP dependency-check OpenVAS、OWASP
ZAP、 Rapid7、Nessus、 Nikto
13.
13 脆弱性スキャナVulsの紹 介 VULnarability Scanner 脆弱性 スキャナー
14.
概要 潜在する脆弱性と該当サーバを可視化 定期実行で対策漏れがなくなる
15.
15 特徴 オープンソース(GPLv3) エージェントレス
(管理サーバにモジュール配置するのみ) スキャン対象にはSSH接続のみ。非破壊で安全にスキャン。 AWSへの事前申請不要。 セットアップ、初期設定が非常に簡単 ディストリビューションパッケージ及びパッケージ以外のソフ トウェアの脆弱性も検知可能(要CPE登録) オンプレ、クラウドの両方に対応 幅広いLinuxディストリビューションに対応 (AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・) Dockerコンテナ対応(SSH不要) 日本語でレポート可能 豊富なレポート手段(Slack, e-mail, TUI, WebUI …)
16.
16 Vuls普及の勢い 一時1位(/約1,000万)に! GitHub Stars Vulsの認知度
17.
17 メディア紹介 IPAのWeb記事 ( MyJVN事例紹介) ThinkIT 参照URL: <https://thinkit.co.jp/article/10092> 参照URL:
<http://jvndb.jvn.jp/apis/>
18.
18 VulsRepo Vulsの豊富な通知・レポート手段
19.
19 Vuls⇒SlackVulsのスキャン結果通知 Email、Slack通知に対応(日本語で表示可)
20.
20 Vuls⇒SlackVulsのスキャン結果通知 監視ソフト Zabbixへ検知数を連携 Qiita:脆弱性スキャナVulsのスキャン結果をZabbixへ連携し アラート通知する 脆弱性検知結果を 出力・加工 Zabbixで条件指 定、新規脆弱性検 知 スキャンスクリプトを cronに登録し、 Zabbixに送信
21.
21 Vulsのレポート(分類) レポート提出 コンソール QuickSight ElasticSearch+Kibana 小規模 大規模 クラウド TUI Web(VulsRepo) Excel オンプレ インタラクティブ システム規模と目的に合わせて選択可能
22.
22 Vuls TUI Vuls TUIで簡単に結果をコンソールで閲覧可能。 Vulsのレポート表示(TUI)
23.
23 VulsRepo VulsRepoでVulsの結果をピボットテーブルのように色々な角度か ら集計できる。またグラフ化することもできる。 Vulsのレポート表示(Web- VulsRepo)
24.
24 VulsRepo Qiita:VulsのログをCSVにしてExcelで可視化する - Execlレポートにすることでシステムに直接アクセスできない監査組 織への定期報告に使える Vulsのレポート表示(Excel連携)
25.
25 VulsRepo クラウド上のBI SaaSサービスへ連携することで大規模環境のログでも 素早く集計、ドリルダウンができるようになる。 Vulsのレポート表示(Amazon QuickSight連携)
26.
26 VulsRepo Qiita:VulsのログをElasticSearchに取り込んで可視化する – オンプレ環境で大量のログを集計、可視化する際に有効 Vulsのレポート表示(ElasticSearch+Kibana連携)
27.
27 Vuls構成パターン
28.
28 Vuls構成パターン① Vulsはエージェントレス、スキャンし たいサーバにSSH接続するだけでチ ェックが行えます。疑似攻撃を行うわ けではないためシステムに影響を与 えることなく安全にスキャンできます。 リモートサーバをスキャン dockerコンテナ内のスキャンを行う 場合、「docker exec」コマンドを介し てチェックします。そのためdockerコ ンテナ内にSSHデーモンは必要あり ません。Vulsをインストールしたサー バ以外にリモートのサーバであって も同様にスキャン可能です。 Dockerコンテナをスキャン
29.
29 Vuls構成パターン② 複数のシステムを運用していて、それぞれが別々のネットワークに分離されて いるような環境の場合、個々のVulsサーバでスキャン時に出力されたJSONフ ァイルを一箇所に集めることで、横断的に分析することができます。 複数のVulsサーバによる運用
30.
30 Vuls構成パターン③ Vulsはスキャン時にyumやaptコマンドにより最新版パッケージのchangelogまたは updateinfoの情報を取得するためインターネットへのアクセス経路が必要です。 システムの構成またはポリシー上、外部へ直接アクセスできる経路がない場合は、シス テム内にローカルリポジトリサーバを構築しパブリックなリポジトリサーバのデータをミラ ーし、システム内の各サーバはローカルリポジトリを参照することでスキャンすることが 出来るようになります。 インターネットから隔離された環境での運用
31.
31 他のツールとの比較
32.
32 VulsとOpenVAS、AWS Inspecterの比較 Vuls OpenVAS
AWS Inspecter コスト OSS OSS 従量課金 対象OS Amazon Linux、CentOS、Debian、 FreeBSD、Redhat、Ubuntu CentOS、Debian、Fedora、 RedHat、Windows AmazonLinux、Ubuntu(14.04LTS ~)、 Redhat(7.2) CentOS(7.2) Windows Server 2008 R2、2012 チェック 内容 .pkg、.rpmに含まれたCVE CPEを指定したもののCVE .pkg、.rpmに含まれたCVE NVTs(Network Vulnerablility Tests)※検査用シグネチャに基 づいたスキャン 一般的な脆弱性と曝露 CISオペレーションシステムのセ キュリティ設定ベンチマーク セキュリティのベストプラクティス レポート Web、CUI、text、JSON、Mail、 slack、CSV Web、HTML、CSV、PDF Web、CSV ログイン 権限 一般ユーザでのログイン権限+ sudo権限 Root権限を持つユーザでのログ イン権限 エージェントを起動 導入の 容易さ ◎ △ ◎ クラウド 環境で の使用 申請不要 申請必要 申請不要
33.
33 VulsとOpenVAS、AWS Inspecterの比較 • Qiita:Vuls・OpenVAS・Amazon
Inspectorを徹底比較 – Vulsはスキャンスピード、検知精度に優れている結果になった!
34.
34 Vuls 参考情報 • GitHub https://github.com/future-architect/vuls/blob/master/README.ja.md ※日本語マニュアルがあります。 •
コミュニティSlack https://vuls-github.slack.com/messages/vulsjp/ • 勉強会(vuls-jp) #1 2016/9/26開催 100名ほど参加 http://vuls-jp.connpass.com/ • Qiita:脆弱性スキャナVuls 関連リンク集 http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e 検索
35.
35 まとめ 脆弱性検知は自動チェックツールを使って運用を楽に! 有償サポート、導入サポート、カスタマイズはご相談ください • フューチャーアーキテクト株式会社 担当:牛田(ウシダ)まで •
mailto: gr-tig-ta-security@future.co.jp • 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化すること です。 • 脆弱性検知は一回行って終わりではありません。継続的に実施するこ とが必要です。 OSSなので無料で使えます! • 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだけで 構成できます。 • 規模や運用条件に合わせて柔軟に構成できます。
36.
36
Download now