O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

2

Compartilhar

Rapid7製品説明資料

新入社員、営業さん向け製品勉強会の資料を共有します。

Audiolivros relacionados

Gratuito durante 30 dias do Scribd

Ver tudo

Rapid7製品説明資料

  1. 1. Rapid7製品説明資料 2019年4月8日 株式会社テリロジー コンサルティング&ソリューション技術統括部
  2. 2. Rapid7社の製品
  3. 3. Rapid7社の製品 • InsightVM ・・・脆弱性の検査と管理 • InsightAppSec ・・・クラウド版Webアプリ脆弱性検査 • Metasploit ・・・ペネトレーションテストツール • InsightIDR ・・・内部犯行対策製品 • InsightOps ・・・ログの解析と管理 • Insight Connect ・・・SOAR製品 下記の6製品を販売している 3
  4. 4. 販売実績のある製品 • InsightVM ・・・脆弱性の検査と管理 • InsightAppSec ・・・クラウド版Webアプリ脆弱性検査 • Metasploit ・・・ペネトレーションテストツール • InsightIDR ・・・内部犯行対策製品 • InsightOps ・・・ログの解析と管理 • Insight Connect ・・・SOAR製品 枠内の3製品 ※販売実績が多い製品はInsightVM 4 これから!
  5. 5. 目次 1. ご紹介の前に 2. InsightVMのご紹介 3. InsightAppSecのご紹介 4. Metasploitのご紹介 補足:InsightVMの詳しい説明 1. 管理コンソール 2. スキャンエンジン 3. Insight Platform 5
  6. 6. 脆弱性 プログラムのバグや仕様の不具合などで発生するセキュリティ上の欠陥 6 • ひとつのソフトウェアは複数の プログラムからできている • プログラムは複数の構成ファイル からできている • プログラムを構成するファイル内 のコードの処理に問題があり攻撃 されてしまう ソフトウェア プログラム プログラム プログラム 構成ファイル プログラム 構成ファイル
  7. 7. CVE (Common Vulnerabilities and Exposures) 7 • 脆弱性の情報を共有するための脆弱性情報データベース • 各脆弱性情報に一意の識別子(CVE-ID)を採番し管理する
  8. 8. CVSS (Common Vulnerability Scoring System) • 脆弱性の影響・深刻度を評価するための共通の指標 • 各指標に対する評価情報、およびそれらを鑑みたスコアを提供する • スコアは最大10で、高いほど深刻であることを表す 8 項目名 説明 評価値 AV 攻撃元区分 (※どこから攻撃可能か) ローカル/隣接/ネットワーク AC 攻撃条件の複雑さ 高/中/低 Au 攻撃前の認証要否 複数認証/単一認証/不要 C 機密性への影響 なし/部分的/全面的 I 完全性への影響 なし/部分的/全面的 A 可用性への影響 なし/部分的/全面的 CVSS v2の基本評価基準( CVSSは現在v2、v3が並行運用中)
  9. 9. 脆弱性情報データベース • JVN(Japan Vulnerability Notes) ・・・日本で使用されているソフトウェアなどの脆弱性関連情報と その対策情報を提供 • NVD(National Vulnerability Database) ・・・米国の技術部門であるNISTが公表している脆弱性関連情報 とその対策情報を提供 9
  10. 10. 脆弱性を発見する方法 10 社内のPCやサーバ セキュリティ担当者 セキュリティ事故が起こったとき 機器をひとつずつ調査しなければな らない 脆弱性管理製品を使用しない場合 機器の各種情報を調査 • OS • ソフトウェア • ソフトウェアのバージョンなど
  11. 11. 脆弱性を発見する方法 11 ソフトウェアとバージョン名が分かれば、 かなりの程度まで脆弱性が分かる 脆弱性情報データベース …CVEやJVNなど 社内のPCやサーバ スキャナー 脆弱性管理製品 各種情報 • OS • ソフトウェア • ソフトウェアのバージョン • Webアプリケーションの情 報など
  12. 12. 1. InsightVMご紹介
  13. 13. InsightVMとは 顧客の持つ、サーバやクライアント・NW機器などの資産(アセット)をスキャンし、どの 資産がどんな脆弱性を持っているのか把握し、解決策を明示する脆弱性管理製品 脆弱性に対するエクスプロイトやMetasploitの攻撃モジュールが既に存在するか、と いった情報も提供してくれる 基本的にはプラットフォーム脆弱性が対象 アプリケーション脆弱性もある程度スキャンできなくはないが、機能としては弱い 豊富なAPIを持ち、さまざまな製品との連携が可能 RedSeal(NW監査製品)、 Infoblox(DNS/DHCP管理製品)、TippingPoint(IDS製品)他 13
  14. 14. コンポーネント名 概要 配置場所 提供形態 管理コンソール 資産情報やスキャンポリシーなど の管理を行う主要コンポーネント オンプレミス環境 ソフトウェア 仮想アプライアンス 物理アプライアンス スキャンエンジン ホステッドスキャ ンエンジン 資産のスキャンを行い、スキャン 結果を管理コンソールへ送信する コンポーネント 管理コンソールインストール時に 使用可能になる、スキャンエンジ ンの一種 オンプレミス環境 Rapid7社クラウド環境 ソフトウェア 仮想アプライアンス 物理アプライアンス SaaS Insight Platform 管理コンソールと連携し、ダッ シュボードや改善プロジェクト管 理機能をクラウド上で提供するコ ンポーネント クラウド環境 SaaS Insight Agent ホストにインストールし、資産情 報を自動収集するエージェント 各ホスト (Linux/Windows/Mac) ソフトウェア InsightVMコンポーネント 14
  15. 15. スキャンの大まかな流れ 15 管理コンソール InsightPlatform お客様環境 スキャンエンジン 1. 何に対してどの ようにスキャンする のか決める 2. スキャンの指示 をスキャンエンジン に出す 3. スキャンを実施し、スキャン 結果を管理コンソールに送る Rapid7が提供 4. 管理コンソールから送 られてきたスキャン結果を 解析し、ダッシュボードや 脆弱性改善プロジェクトを 表示する
  16. 16. 構成 管理コンソール Firewall スキャンエンジン スキャンエンジン スキャンエンジン InsightAgent InsightPlatform InsightAgent スキャン スキャンスキャン結果を 送信 スキャン結果を送信 • スキャンエンジン、エージェントでスキャンを実施 • 管理コンソールで脆弱性情報を管理 • ダッシュボード、脆弱性の改善状況の管理はInsightPlatform(クラウド)により提供 16
  17. 17. スキャンの設定項目 1. スキャン対象の設定(何に) 対象となるサーバやPCなどの資産の指定 2. スキャン内容の設定(どのように) スキャンの方法の指定 3. エンジンの設定(どこから) どこからスキャンするか 4. スキャン時間の設定(いつ) 17
  18. 18. Rapid7の強み 18 1. 脆弱性の優先順位付け Rapid7 独自のスコアリングシステム (Real Risk) により、CVSS スコアだけでは 測れない、より詳細なリスクを 0-1000 の数値で評価  CVSSスコアが同じ値の脆弱性の中で、対処すべき優先順位を付けることが できる
  19. 19. Rapid7のその他の強み 2. 脆弱性&脅威情報管理の世界的リーダー 攻撃者や攻撃ツール(Metasploit等)がターゲットとしているリスクの高い脆弱性情報を活用 例) • Project Sonar(ネットワークを対象にした脆弱性調査), • Project Heisenberg Cloud(世界中にハニーポットを仕掛けた攻撃者の調査) • Metasploit コミュニティから得た情報を活用  Rapid7社は世界最大のセキュリティ研究チームを持っており、セキュリティチームから迅速な脆 弱性情報の提供を受けられ、InsightVMなどに対策方法が反映される 19
  20. 20. Rapid7のその他の強み 3. スキャン対象とできる資産種別が多い エンドポイント、クラウド、ネットワーク機器等アセット全体の脆弱性を把握するため のスキャンが可能  スキャン方法もオンプレミスのため、ポートスキャンのみならず、認証スキャンも 行うことができるため、脆弱性の検出率が高まる 20
  21. 21. 21
  22. 22. 22
  23. 23. InsightVM導入事例紹介 • RedSeal/Splunkとの連携ソリューションで導入 • 段階的に導入、最終的には1~2万IPを管理予定 InsightVM 管理コンソール Scan Engine NW機器 コンフィグファイル RedSeal NW監査 脆弱性スキャン 脆弱性管理対象NW 導入後の運用 • ホスト脆弱性はInsightVMでスケジュールスキャン • InsightVMで検知した脆弱性をNW監査ソリューションであるRedSealに送信 • 脆弱性についてNW的な脅威を解析 • RedSeal、InsightVMの脅威情報をSplunkに送信し、Splunkで統合管理 Splunk ダッシュボード (※テリロジー開発) 導入の背景 • 脆弱性管理は台帳ベース(マニュアル管理) • 管理が煩雑なため、システム化を検討 • 侵入される可能性のある、最優先で対処すべきホストの特定が大きな課題 • 統一したダッシュボードでの運用を行いたい 23
  24. 24. 3. InsightAppSecご紹介
  25. 25. InsightAppSecとは 認証やセッション管理の不備といった脆弱性が存在しないかどうかを チェックする、 Webアプリケーションテストツールの一種 InsightAppSecはSaaS製品だが、InsightAppSpiderというオンプレミスの Webアプリケーションテストツールもある 25 アプリケーション フレームワーク ミドルウェア OS InsightAppSec InsightVM
  26. 26. Webアプリケーションテストツールの種類 DAST SAST IAST(DAST + SAST) • 稼働しているWeb サイト・ア プリケーションに対して動的な スキャン/診断を実施 (ブラックボックステスト) • ソースコードレベルでアプリ ケーションを解析(ホワイト ボックステスト) • DAST とSAST を組み合わせた ハイブリッドな手法 • コンパイル/デプロイされた • 場合にしか発生しないような脆 弱性を発見することができる • Web だけでなくモバイルアプ リケーション(iOS/Android) に 対応した製品もある • アプリケーションにエージェン トをインストールしリアルタイ ムに解析を実施 • ソースコードの解析はしない/ できない • 見つけた脆弱性に対して修正す べきソースコードを示すことは できない • 一般的にFalse Positive が多い といわれている • DAST/SAST に比べると成熟度 は低め • 対応するプログラミング言語が 多くないことが課題 26 InsightAppSec, InsightAppSpider
  27. 27. 27 参考:Rapid7のWebAppテストツール
  28. 28. スキャンの流れ 28 InsightPlatform ScanEngine お客様環境 • InsightAppSecにアクセス • スキャンコンフィグ(スキャン対 象や使用するエンジン等)の設定 • スキャン結果の確認 スキャン方法は2種類 ⇒次ページ参照 InsightAppSec
  29. 29. InsightAppSecの強み 1. 検出率、検出精度、パフォーマンスに優れている 最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応 2. 安全な攻撃が可能 スキャンの際に、実際にSQLインジェクションなどを実施することが選択できるが、 スキャン対象を破壊することなく攻撃することが可能 29 ?SPA(Single Page Application)とは? ブラウザによるページ遷移を行わずにJavaScript を用いてページ内の HTML の一部を差し替えてコンテンツを切り替える
  30. 30. スキャン方法 主に下記の2つの方法がある • クローリング ・・・対象Web アプリケーションを巡回し、サイトの構造を把握する 例) http://www.terilogy.com/contact/ http://www.terilogy.com/contact/contact/ • アタック ・・・クローリングで収集した各ページやパラメータに対し疑似攻撃を行い脆弱 性の有無をチェックする 例)入力フォームにデータベースにアクセスするような文字列を入力するなど 30
  31. 31. 実際のスキャンのステップ 31 1. クローリング • Webサイト/Appのトップページからクローリングを実施し、 どこまでクローリングできたか、どの画面には遷移できなかったのか、 ということを把握 2. 設定の見直し • クローリングできなかった画面/ページへ遷移する ために、設定変更や各種機能を利用する 3. アタック • テンプレート/ポリシーをOWASP やAll Modules などに 変更し、クローリングで収集した各ページに対し疑似攻撃 を行い脆弱性の有無をチェックする ターゲットを調査後
  32. 32. スキャンする際の設定項目 1. スキャン対象の設定(何に) 対象となるWebページの指定 2. スキャン内容の設定(どのように) スキャンの方法の指定 3. エンジンの設定(どこから) どこからスキャンするか 4. スキャン時間の設定(いつ) 32
  33. 33. 4. Metasploitのご紹介
  34. 34. エクスプロイトとペイロード 34 エクスプロイト ソフトウェアやシステムが内包している セキュリティの脆弱性を攻撃するプログラム ペイロード データを破壊する操作を実行する コード ❓ 例)ジュエリーショップへ侵入する⇒エクスプロイト ジュエリーを盗む or レジのお金を盗む⇒ペイロード 攻撃内容を決める
  35. 35. Metasploitとは ペネトレーションテストツール(脆弱性の攻撃、サイバー攻撃を実際に行う) もともとはオープンなコミュニティで開発、現在はRapid7が買収 コミュニティによりさまざまな攻撃モジュールが開発されており、それを利 用したエクスプロイトが行える Metasploitには商用版とOSS版がある Metasploit Pro・・・商用版。GUIのみでの操作 ※CLIは使用できない Metasploit Framework・・・OSS版。CLIのみでの操作 35
  36. 36. サイバー攻撃の流れ 1. 初期段階の侵入調査 • 偵察行為(Intelligence Gathering、 OSINT、ダークネット) • スキャニング・脆弱性調査 2. リモートアクセス • 遠隔操作用モジュールを企業ネットワー クにインストール • エクスプロイト(脆弱性の悪用) 3. 権限昇格 • より操作権限の高いユーザへ昇格 4. 調査情報収集 • 重要システムの探索、内部情報収集 5. 攻撃開始 • 侵入拡大、必要な情報を窃取、またはシステ ムを破壊 6. 証拠隠滅 • 証跡を消去する • 暗号化などを行いシステムを使用不能にする 36 1.初期段階 の侵入調査 2.リモート アクセス 3.権限昇格 4.調査情報 収集 5.攻撃開始 6.証拠隠滅
  37. 37. Metasploitで攻撃するまでの流れ 37 攻撃するまでの流れは下記の4段階に分類できます。 スキャンやインポートからレポート作成までの流れは 自動で実行可能 攻撃対象の 指定 スキャンまたは スキャン結果の インポート エクスプロイ ト実行 ペイロード 実行 レポートの作成も 可能
  38. 38. InsightVMとの連携 InsightVMから脆弱性を取り込み、 「 攻撃モジュールの自動選択→攻撃を行う 」という連携機能を備える 全ての脆弱性を攻撃できるわけではない (攻撃モジュールでカバーできる範囲) 攻撃モジュールがあっても必ず攻撃が成立するわけではない 「脆弱性はあるが本当に攻撃できるのか」を確かめることに、 InsightVMとの連携の意味があるといえる 38
  39. 39. Metasploitの強み 1. 知名度が高い ペネトレーションテストツールの中では有名な製品で、以前はOSS版しかなかったが Rapid7がGUIで操作可能な商用版も開発した 2. 実践的なペネトレーションテストが可能 実際のサイバー犯罪者も使用するほどのスペックがあり、外部から実際に攻撃が可能か 把握できることで、より実践的なテストが可能 3. 他の脆弱性管理製品との連携が可能 資産や脆弱性情報の収集には、他の脆弱性管理製品のスキャン結果をインポートできる 39
  40. 40. Metasploitによる攻撃(プロジェクトの作成後から) 1. ホストを発見し、脆弱性を検出 脆弱性の検出方法は下記の3種類 Metasploitによるスキャン ※Metasploitによるスキャンは一部の脆弱性しか発見することができない InsightVMでのスキャンと結果のインポート 他の製品の結果のインポート ⇒次ページ参照 40
  41. 41. 他の製品の結果のインポート 他の製品からも脆弱性情報をインポートすることが可能 41 , InsightVM
  42. 42. Metasploitによる攻撃の流れ 2/3 2. 検出した脆弱性にエクスプロイトし、ペイロードを送り込む エクスプロイトやペイロードに使用されるコードは「モジュール」と 呼ばれる ※各モジュールタイプの攻撃 コードには成功確率や安全性 によりランキングがついている 42
  43. 43. Metasploitによる攻撃の流れ 3/3 3. セッションを制御 • セッションヒストリの確認 • コマンドシェル • VNCセッション • ファイルシステムの検索 43
  44. 44. 機能紹介 タスクチェーン機能 • 攻撃するまでの一連の流れは自動実行できるよう、タスクチェーンとしてあ らかじめ作成できる • スケジュールで実行時間の指定も可能 脆弱性情報の インポート エクスプロイト ペイロードの実行 44
  45. 45. その他の機能 フィッシングシミュレーター フィッシングキャンペーンという、任意のメールアドレスに対して、フィッ シングメールが送信できる機能がある • メールサーバは事前に準備しておく必要があるが、Webサーバは Metasploit内で建てることが可能 • メールが開封されたことや添付ファイルを開いたことが確認できる 45
  46. 46. まとめ • InsightVM ・・・脆弱性管理製品 • InsightAppSec ・・・Webアプリケーション脆弱性管理製品 • Metasploit ・・・ペネトレーションテストツール 46
  47. 47. ご清聴ありがとうございました。
  48. 48. 補足: InsightVMの 各コンポーネントのご説明
  49. 49. 5-1. 管理コンソール
  50. 50. 管理コンソールとは • 最も重要なコンポーネント • 脆弱性を発見するにあたり行うスキャンの設定(スキャン方法の定義)やス キャンエンジンから結果を取り込み、スキャン結果を表示する 50
  51. 51. 管理コンソール機能:脆弱性情報表示 エクスプロイトあり 一般的なCVSS 独自リスクスコア マルウェアあり 51
  52. 52. 管理コンソール機能:脆弱性情報表示 エクスプロイト有 り 一般的なCVSS 独自リスクスコア マルウェア 有り 52
  53. 53. 管理コンソール機能:改善策レポート 改善策Top25 改善プラン詳細 53
  54. 54. 5-2. スキャンエンジン
  55. 55. スキャンエンジンとは • 管理コンソールの指令を受け、実際に スキャンを行うスキャナ • ポートスキャンを実施する関係上、 各セグメントごとに配置するケースが多い • 仮にFWを経由したスキャンを行う場合、 FWで許可されたポートに対するスキャンしか 実施できないため、注意が必要 55
  56. 56. スキャンエンジン 56 管理コンソール InsightPlatform お客様環境 スキャンエンジン 1. 何に対してどの ようにスキャンする のか決める 2. スキャンの指示 を出す 3. スキャンを実施し、スキャン 結果を管理コンソールに送る Rapid7が提供 4. 管理コンソールから送 られてきたスキャン結果を 解析し、ダッシュボードや 脆弱性改善プロジェクトを 表示する
  57. 57. スキャンエンジンの種類 • スキャンエンジン オンプレミスにデプロイし使用 • ローカルスキャンエンジン 管理コンソール内にあるスキャンエンジンで、スキャンする際の負荷が高いため通常は 使用されない • ホステッドスキャンエンジン ネットワーク越しに外部からスキャンしたい場合に使用する、Rapid7社が提供する スキャンエンジンで、使用する場合は事前申請が必要 57
  58. 58. スキャンエンジン 58 InsightPlatform お客様環境 スキャンエンジン Rapid7が提供 オンプレミス環境 管理コンソール
  59. 59. ローカルスキャンエンジン 59 InsightPlatform お客様環境 Rapid7が提供 管理コンソール ローカルスキャンエンジン
  60. 60. ホステッドスキャンエンジン 60 管理コンソール InsightPlatform お客様環境 ホステッドスキャン エンジン スキャンを実施し、ス キャン結果を管理コン ソールに送る Rapid7が提供
  61. 61. スキャン方法について 61 管理コンソール InsightPlatform お客様環境 スキャンエンジン Rapid7が提供
  62. 62. スキャンのフェーズ • InsightVMのスキャンはおおまかに、以下のようなフェーズで進行する どのフェーズまで実施するか、各フェーズでのパラメータは設定可能 アセットの発見 •アセットが存在するかを 確認 サービス発見 •存在したアセットのポート をスキャンし、稼働してい るサービスを確認 脆弱性スキャン •サービス発見の結果をも とに脆弱性をスキャン • SSH、CIFSなどが稼働しており認証情報が登録されているならば認証スキャンを実施 • 上記の有無にかかわらず、サービスに対する外部スキャンを実施 62 • ライセンスで課金対象となるのは脆弱性スキャンまで実施したアセットのみ アセット/サービスの発見のみ行ったアセットは課金対象とはならない 1 2 3
  63. 63. スキャンの方法 • スキャンエンジンによるスキャンの方法は下記の3つ 認証スキャン ポートスキャン エージェントによるスキャン 63
  64. 64. 認証スキャン • 接続できるプロトコル(SSHなど)を利用し、ログインして内 部から情報を取得する方法 ※ログインのため認証が必要なので「認証スキャン」 サーバ内の情報を詳細に知るには最適 リモートからのログインを許可していない資産に対しては利用できない 管理サーバ側に各ホストの認証情報の登録が必要 64
  65. 65. ポートスキャン • TCP/UDPの各ポートに対して通信を試し、脆弱性の有無を推定する方法  通信のパターンからOSやサーバソフトウェア・バージョンを推定(フィンガープリンティング)  特定のパケットからの送信による脆弱性の試験 • 認証スキャンが行えないサーバ、NW機器に対して有効  そのため、攻撃者が一般に攻撃対象を調査するためにも用いられる技術 • Listenしている(ポートが開いている)サービスの脆弱性しか検出できない  ただし、ポートが開いているサービスについては、実際に通信を行って調査を行うため、認証スキャンよ りも詳しく脆弱性を検知できる場合もある • 認証スキャンを行う場合も、ポートスキャンは実施するケースがほとんど  「ポートは開いているのか」「そこにどんな脆弱性があるか」を外部から評価できるため 65
  66. 66. エージェントによるスキャン • エージェントソフトウェアをホストにインストールし、このエージェントが 定期的に資産情報を収集、管理サーバに情報を送信する • インストールして使用するため、認証情報の登録などは必要ない • PCの脆弱性管理には最適 • NW機器やアプライアンスなど、ソフトウェアが自由にインストールできない ものには使えない 66
  67. 67. 5-3. Insight Platform
  68. 68. Insight Platform • SaaSで提供されている • 管理コンソールの下記の拡張機能を提供している ダッシュボード 脆弱性改善プロジェクト 68
  69. 69. Insight Platform機能:ダッシュボード • 多様な情報パネルを自由に組み合わせて表示できる機能 69
  70. 70. Insight Platform機能:脆弱性改善プロジェクト • 脆弱性への対処とその進捗を管理可能 この対処により 削減できる リスクスコア ステータス: スキャン結果により自動的に ステータスが変更される 関連する脆弱性 対処法情報 70
  71. 71. テリロジー「半公式」エンジニアブログ(仮) https://terilogy-tech.hatenablog.com/ 71
  • DaisukeSuzuki27

    Feb. 27, 2020
  • Terilogy-CnSTech

    Apr. 8, 2019

新入社員、営業さん向け製品勉強会の資料を共有します。

Vistos

Vistos totais

2.970

No Slideshare

0

De incorporações

0

Número de incorporações

155

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

2

×