O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Próximos SlideShares
What to Upload to SlideShare
Avançar

3

Compartilhar

脆弱性管理製品 Rapid7 InsightVM紹介

脆弱性のスキャンと管理が行えるRapid7社製品「InsightVM」紹介資料です。前半は一般的な脆弱性スキャンについて、後半でInsightVMの特長について説明します。

脆弱性管理製品 Rapid7 InsightVM紹介

  1. 1. 脆弱性管理製品 Rapid7 InsightVM 紹介スライド 2018年10月 株式会社テリロジー 技術統括部
  2. 2. 本スライドについて  本スライドは、脆弱性のスキャンと管理が行えるRapid7社製品「InsightVM」紹介資料です  前半は一般的な脆弱性スキャンについて、後半でInsightVMの特長について説明します
  3. 3. 目次 はじめに 脆弱性管理運用について 1.脆弱性スキャナについて 2.Rapid7 InsightVM紹介 3.Rapid7 InsightVM連携機能紹介 4.まとめ
  4. 4. はじめに: 脆弱性管理運用について
  5. 5. 脆弱性管理運用、どうしてますか? よく聞く話:  脆弱性は年数回診断してもらっている  深刻な脆弱性が出た場合は、手動で脆弱性の有無を各担当者にお願い。 その結果をExcelで管理  対処したかどうかも各担当者の申告で上記Excelに記入
  6. 6. 脆弱性管理運用、どうしてますか? よく聞く話:  脆弱性は年数回診断してもらっている  深刻な脆弱性が出た場合は、手動で脆弱性の有無を各担当者にお願い。 その結果をExcelで管理  対処したかどうかも各担当者の申告で上記Excelに記入 2017年のJVN iPediaへの新規脆弱性 登録件数は78,410件(※) 1年数回の診断で十分? ※参考:脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第4四半期(10月~12月)] https://www.ipa.go.jp/security/vuln/report/JVNiPedia2017q4.html 資産が多くなるほど 負担が増える 対処漏れがないか管理者の確認が必要 だが手動で確認するとなるとさらに負担が増える・・・
  7. 7. 脆弱性スキャナによる脆弱性運用の改善 脆弱性スキャナを社内に導入し、定期的に脆弱性をスキャン スキャン結果を関係者間で共有しコラボレーション 対処の完了/未完了も脆弱性スキャン結果で確認 Rapid7 InsightVMは、 こうした脆弱性運用管理をよりスムースにする製品です!
  8. 8. 1. 脆弱性スキャナについて
  9. 9. 脆弱性スキャナとは? その名のとおり、脆弱性をスキャンする製品 サーバやネットワーク機器などが対象 スキャンの方法は何種類か存在する
  10. 10. アプリケーション脆弱性と プラットフォーム脆弱性  脆弱性診断は、アプリケーションとプラットフォームの診断の二種類におおまかに大別できる  アプリケーション診断は、主にWebアプリを対象とする  プラットフォーム診断は、アプリケーションの稼働するプラットフォーム(OS、ミドルウェア)の脆弱 性を検査する  一般に「脆弱性スキャナ」と言われる製品は、「プラットフォーム診断」にフォーカスしたものが多い  アプリケーションの脆弱性を検査するツールはAST(Application Security Testing tool)と呼ばれる App OS Middleware プラットフォーム脆弱性診断範囲 アプリケーション脆弱性診断範囲
  11. 11. プラットフォームの脆弱性判定の方法 一般的には次のようなアプローチで脆弱性の有無を判定する (具体的な情報収集の方法の種類については次スライドで紹介) 資産のOS/ソフトウェアとバージョンを把握 CVSSなどの脆弱性情報をもとに、当該のOS/ソフトウェアに 脆弱性がないかを確認 設定に起因する脆弱性については、実際の通信や設定の確認に より有無を判定
  12. 12. 脆弱性スキャナの種類 ポートスキャン 資産に対してポートスキャンを 実施。見つかったサービスに対 して脆弱性を確認する • 機器を問わず、公開しているサービスの脆弱性を検査でき る • 実際に通信しなければ見つけられない脆弱性を検知できる • サービスに利用されているアプリやバージョンは推定とな るため、精度に問題がある 認証スキャン SSHなどで資産にリモートログ インし資産情報を収集。収集し た情報から脆弱性を確認する • ソフトウェアのインストール情報やレジストリ(Windows の場合)など、内部の情報を収集するため高い精度での脆 弱性検知が可能 • リモートログインが許可されている資産に対してしか行 えない • 対応OSでなければ情報が収集できない エージェント スキャン 資産にエージェントソフトをイ ンストールし資産情報を収集。 収集した情報から脆弱性を確認 する • リモートログインが許可していない端末でもスキャン可 能 • エージェントソフトウェアが提供されたOS以外には利用 できない ざっくり以下の3種類に大別できる
  13. 13. OSSの脆弱性スキャナ製品 製品名 サイト 概要 スキャン方法 Nmap https://nmap.org/ • 有名なポートスキャンツール • 開放ポートの発見、サービスの推定などに 主に利用されるが、スクリプトにより脆弱 性の検知も可能 ポートスキャン OpenVAS http://www.openva s.org/ • OSSの代表的脆弱性スキャナであった Nessusから派生した製品 (Nessusが有償になったためフォーク) ポートスキャン 認証スキャン Vuls https://github.com/f uture-architect/vuls • フューチャーアーキテクト株式会社が提供 する脆弱性スキャナ • Slackやメールとの連携に対応 認証スキャン
  14. 14. 脆弱性スキャナ OSS vs 商用製品  OSSの脆弱性スキャナ製品も十分な機能を持ち合わせている  Nmapなどは商用製品でも内部的に利用されている  商用版の脆弱性スキャナは、付加価値としてユーザビリティの高い管理UI、より多くの脆弱性DBの参 照、高度なレポートの提供などを提供し、より運用性を高める工夫がなされている場合が多い  最近ではクラウドを利用し運用負荷のさらなる軽減や付加サービスの提供を行うことがトレンドとなっている 運用負荷の軽減の観点から、 商用製品の検討をおすすめします
  15. 15. 2. Rapid7 InsightVM紹介
  16. 16. Rapid7社とは  セキュリティベンダ  「SecOps」をキーワードに、セキュリティ運用の自動化を支援する製品を多数リリース  特に、ペネトレーションテストツールのデファクトスタンダード「Metasploit」の開発元として有名
  17. 17. InsightVMとは  Rapid7社の脆弱性管理ツール  脆弱性スキャン、および検知した脆弱性対処の支援機能を実装  脆弱性情報の可視化、優先的に行うべき対処の提示、対処の進捗管理など  APIによるさまざまな製品との連携も可能  前身の製品は「Nexpose」  「Nexpose」がオンプレのみで稼働する製品であったのに対して、InsightVMは一部機能をクラウド (SaaS)で提供している点が特徴
  18. 18. 対応するスキャン方法  主要なスキャン方法すべてに対応 ポートスキャン 資産に対してポートスキャンを実施。 見つかったサービスに対して脆弱性を 確認する スキャン用コンポーネン ト「スキャンエンジン」 により実現 認証スキャン SSHなどで資産にリモートログインし 資産情報を収集。収集した情報から脆 弱性を確認する エージェント スキャン 資産にエージェントソフトをインス トールし資産情報を収集。収集した情 報から脆弱性を確認する エージェントソフトウェ ア「InsightAgent」により 実現 (Windows, Mac, Linux) 主にエンドポイント 向け 主にサーバ・NW機器 向け
  19. 19. InsightVM 構成コンポーネント一覧 コンポーネント名 概要 配置場所 提供形態 管理コンソール 資産情報やスキャンポリシーなどの 管理を行う主要コンポーネント オンプレミス またはIaaS環境 • ソフトウェア • 物理アプライアンス • 仮想アプライアンス (VMWare、AWS、Azure) スキャンエンジン 資産のスキャンを行い、スキャン結 果を管理コンソールへ送信するコン ポーネント オンプレミス またはIaaS環境 • ソフトウェア • 物理アプライアンス • 仮想アプライアンス (VMWare、AWS、Azure) Insight Platform 管理コンソールと連携し、ダッシュ ボードや脆弱性の改善状況の管理機 能(改善プロジェクト)をクラウド 上で提供するコンポーネント クラウド環境(SaaS提供) SaaS Insight Agent ホストにインストールし、資産情報 を自動収集するエージェント 各ホスト (Linux/Windows/Mac) ソフトウェア
  20. 20. 要するに スキャンエンジン、エージェントでスキャンを実施する 管理コンソールで脆弱性情報を管理する ダッシュボード、脆弱性の改善状況の管理は InsightPlatform(クラウド)により提供される
  21. 21. コンポーネントの連携図
  22. 22. InsightVM 特徴的な機能の紹介
  23. 23. 管理コンソール Web UI  日本語対応  ユーザごとに細かいアクセス制御が可能 (確認可能な資産の制限や、各種管理機能の権限設定など)
  24. 24. レポート  豊富なテンプレートによりPDF、HTMLなどの静的レポートを生成可能  こちらも日本語化されている 例:改善策Top25レポート 実施するとリスクが減る改善策を、 効率の良い順に提示 PHPのバージョンアップで、 1573個の脆弱性が改善できる 例:ホスト別改善プラン 各ホスト別の改善プラン提示
  25. 25. ダッシュボード  InsightPlatform(SaaS環境)で提供  さまざまな情報を掲載したパネルがユーザが好みに配置できる 世界的に攻撃が多い脆弱性を持つ 資産の数を表示 脆弱性のCVSSスコアと、 脆弱性情報が公開されてからの 経過時間のマトリクス表
  26. 26. 改善プロジェクト  InsightPlatform(SaaS環境)で提供  脆弱性への対処の進捗を管理可能  チケットシステム(ServiceNowなど)との連携に対応(=チケットによる脆弱性管理を実現) 脆弱性の詳細情報 対処が必要な資産と、 対処が完了した資産の情報 脆弱性の改善策
  27. 27. Metasploitとの連携  InsightVMで検知した脆弱性について、Metasploitで攻撃モジュールが存在するかの情報を提供 (Metasploitでモジュールが存在する=攻撃者が容易に攻撃できる可能性が高い)  Metasploit Pro(商用版)でInsightVMの脆弱性情報を取り込み、実際に攻撃可能かどうかの確認 を自動的に実施可能 脆弱性情報 取り込み InsightVM 疑似攻撃実施 対象ホスト
  28. 28. 3. Rapid7 InsightVM 連携機能紹介
  29. 29. 連携による、脆弱性管理運用の課題の解決  InsightVMはAPIを利用し多彩な製品と連携が可能  これにより、単体では解決できない脆弱性管理上の課題に対するソリューションを提供できる IaaSやプライベートクラウドなど、 動的にサーバが増減する環境で 脆弱性スキャンを適切に行いたい 対処する脆弱性の優先度を検討するにあたっ て、NWの観点から、外部攻撃される可能性の 高い資産・脆弱性を把握したい 検知した脆弱性への仮対処として、 IPSによる防御を行いたい 仮想基盤との連携による 動的な資産ディスカバリ (Amazon AWS、MS Azure、VMWare) NW監査ツールとの連携による NW側脅威の解析 (RedSeal) IPS連携による現状のIPSプロファイルのアセス メントと自動チューニング (Trend Micro TippingPoint)
  30. 30. InsightVM + AWS(IaaS)  管理コンソール、スキャンエンジン をAWSに配置可能  スキャンエンジンはAWSの認証を受 けており、AWS内のEC2インスタン スへのスキャンをAWSへの申請なし に実行可能  AWS APIと連携し、動的に作成され たEC2インスタンスの自動検知・ス キャン実施が可能
  31. 31. InsightVM + RedSeal(NW監査)  RedSeal:NW機器のコンフィグを解析し、 不正/想定外なアクセス経路などのアセス メントができるNW監査ツール  InsightVMの脆弱性検知結果をRedSealに 渡すことで、NW内のホストに対して攻撃 可能な経路情報の解析が可能となる  NWの観点で攻撃される可能性のある資 産・脆弱性を把握することで、より精度の 高い脆弱性の対処優先づけを検討すること ができる Scan Engine 脆弱性情報 RedSeal NW監査 脆弱性 スキャン 脆弱性管理対象NWInsightVM NW機器 コンフィグファイル
  32. 32. InsightVM + Trend Micro TippingPoint (IPS)  Tipping Point:トレンドマイクロ社製IPS  「仮想パッチ」のコンセプトのもと、 CVSSに登録された脆弱性に対するシグネ チャを提供し、NW内の資産を守る  InsightVMの脆弱性検知結果をインポート し、現在のプロファイルで検知された脆 弱性が防御されているかをアセスメント 可能  IPSのプロファイルの自動チューニングに も対応 Rapid7検出 脆弱性CVE-ID TippingPointでの 対応シグネチャ 防御設定が 行われている TP側プロファイル 対象資産 IPSプロファイルの 自動チューニング TippingPoint管理サーバ(SMS)でのスクリーンショット
  33. 33. 4. まとめ
  34. 34. InsightVMはこんな製品  脆弱性管理製品  定期的に資産の脆弱性をスキャンし、社内の資産の脆弱性の状況を可視化する  スキャンを行うだけでなく、その脆弱性の対処についての管理についても豊富な機能で支援  ユーザビリティの高いWeb UI  豊富なレポート  改善プロジェクト機能  他社製品との豊富な連携  上記により、日々増え続ける脆弱性を把握しつつ、その運用コストを低減実現する
  35. 35. ありがとうございました お問い合わせは下記ブログの「ご連絡フォーム」よりお願いします テリロジー「半公式」エンジニアブログ(仮) https://terilogy-tech.hatenablog.com/
  • ssuser0bba0b

    Feb. 15, 2019
  • dcomrpc

    Dec. 2, 2018
  • Terilogy-CnSTech

    Oct. 22, 2018

脆弱性のスキャンと管理が行えるRapid7社製品「InsightVM」紹介資料です。前半は一般的な脆弱性スキャンについて、後半でInsightVMの特長について説明します。

Vistos

Vistos totais

6.225

No Slideshare

0

De incorporações

0

Número de incorporações

3.351

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

3

×