Mais conteúdo relacionado
Semelhante a 【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ (20)
Mais de Hibino Hisashi (9)
【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ
- 2. 2
自己紹介
名前:日比野 恒 (ひびの ひさし)
所属:フューチャーアーキテクト株式会社
セキュリティアーキテクト (CISSP、CISA、情報処理安全確保支援士)
AIなどの「システム高度化」により、ITリテラシーの非対称性が拡大している
IoT/コネクテッド領域など、ITが人々の生活に密接に関わるにつれ、危機感を持つようになる
オープンな技術を用いたセキュリティログの分析プラットフォーム開発に目覚め、今に至る
- 11. 11
だが、課題もある、、、
製品サイトで公開された脆弱性情報がすぐにはNVD/JVNで登録されないケースもある。
公開管理番号 脆弱性 システム影響 CVE-ID 攻撃コード IPSシグネチャ WAFシグネチャ
S2-0001 任意のコードを実行される脆弱性 × - 〇 - -
S2-0002 クロスサイト・スクリプティングの脆弱性 × - 〇 - -
S2-0003 任意のコードを実行される脆弱性 × - 〇 - -
S2-0004 ディレクトリ・トラバーサルの脆弱性 × - - - -
S2-0005 オブジェクト保護メカニズムを回避される脆弱性 × - 〇 - -
S2-0006 クロスサイト・スクリプティングの脆弱性 × - - - -
S2-0007 任意のコードを実行される脆弱性 〇 CVE-2012-0838 〇 〇 -
・
・
・
S2-0043 Config Browser plugin から設定情報を閲覧できる問題 〇 未登録 要調査 要調査 要調査
S2-0044 サービス運用妨害 (DoS) の脆弱性 × - - - -
ASF公開情報
【参考】IPA Apache Struts2の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html
- 20. 20
WAFの主な機能
大項目 小項目 説明
基本機能 検査機能 HTTP通信内のHTTPリクエストやHTTPレスポンスを検査する機能。
定義方法には「ホワイトリスト方式」と「ブラックリスト方式」があります。
処理機能 検出された不正なHTTP通信に対して、定義した処理を実行する機能。
通過処理、エラー処理、遮断処理、書き換え処理などが選択することが出来ます。
ログ機能 検出された不正なHTTP通信やWAFの動作を記録する機能。
記録されるログの種類には「監査ログ」と「動作ログ」があります。
拡張機能 HTTP通信確認機能 HTTP通信のセッションにおけるパラメータやHTTPリクエストの正当性を確認する機能。
(リクエストとレスポンスの整合性のチェックなど)
管理機能 WAFを運用する上で利便性を高める機能。
製品にもよりますが、「レポート生成」、「管理者への通知」、「ホワイトリスト自動生成」、
「ブラックリスト自動更新」などがあげられます。
提供形態や製品によって実装されている機能に差異はあるが、主な機能は以下の通り。
- 21. 21
WAFによる防御方法
WAFでは、シグネチャによるブラックリスト方式だけではなく、ホワイトリスト方式にも対応。
比較項目 ホワイトリスト方式 ブラックリスト方式
(シグネチャマッチング)
特徴 正しい通信パターン(値)を定義した上で、パターンに
合致した通信のみを許可する
シグネチャをベースにパターンに合致した不正通信をブ
ロックする
メリット 許可された通信以外の全てをブロックするため
未知の脅威に対しても有効的に機能する
既存のシグネチャを適用することで、既知の脅威に対し
て効率的に対応できる。また、ベンダーが更新するシグ
ネチャをアップデートするのみで運用負荷が少ない。
デメリット 正しい通信パターン(値)を定義することが難しく
日々の運用負荷と運用コスト増加は避けられない。
アプリケーションを改修するたびにチューニングする
必要がある。
また正常な通信を遮断してしまう可能性がある。
シグネチャの信頼性はメーカーおよびベンダーに依存する
ため、未知の脅威に対応出来ない可能性がある。
(攻撃コードの公開されてない脆弱性に対応出来ない)
防御できる攻撃手法 全てのサイバー攻撃に対して有効であるが、パラメー
タ改竄などにより不正通信を検知出来ない場合もあ
る。
SQLインジェクションやクロスサイトスクリプティングなど、
Webサイト/Webサービスを対象として実行されるサイ
バー攻撃
今回採用した方式