FutureVulsでトリアージの支援機能が強化されました!

FutureVulsでトリアージの支援機能が強化されました!

Clock Icon2019.08.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、中川です。

脆弱性管理ツールである FutureVuls の最近のアップデートで、トリアージ※の支援機能が強化されましたので、ご紹介します。
※ トリアージとは、脆弱性対応の判断のことで、検知した脆弱性に対して許容するものの選別や対策優先度付けなどを行います。

アップデート紹介

脆弱性タブの機能強化(2019/07/05 アップデート)

脆弱性タブが以下のように一新されたことで、トリアージの操作性がよくなりました!

まず、新しく検知された脆弱性は、重要フィルタ(下図参照)の条件を基準に重要な未対応その他の未対応のどちらかに振り分けられます。
次に、未対応に振り分けられた脆弱性は、パッチ提供の有無や攻撃可能性が高いかなどを判断材料を元に、「ONGOING」や「脆弱性情報が更新されるまで非表示」などのステータスに変更します。ONGOING の場合、対応中に振り分けられ、非表示の場合は、対応済みに振り分けられます。
このように運用担当者は、左から流れるように操作するので、対応漏れがなく、重要度の高い脆弱性から優先して、対応可否を判断できるようになりました。

▼重要度フィルタの条件。デフォルトでは以下の条件に一致すると重要とみなされる。CVSS スコアや攻撃可能の条件を変更できる。

▼ステータスを ONGOING に変更する例。脆弱性を選択した状態で「関連するタスクを更新」をクリックすると、タスクステータスや担当者、対応予定日を設定できる。

▼非対応にする例。脆弱性情報の更新や指定した日付まで表示しないように設定できる。

脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示(2019/07/05 アップデート)

プロセスの起動状況やネットワークポートが Listen しているかどうかわかるようになりました。
実際に OS ログインしてプロセスや Listen ポートを確認しなくても、ネットワークの情報を優先度付けの判断にできるようになり、調査効率がよくなりました!

▼プロセス・ネットワークポートの利用状況。

「NW攻撃可能か」「権限なしで攻撃可能」のRed Hat版を追加(2019/08/02 アップデート)

FutureVuls では、NVD(米国立標準技術研究所 NIST の脆弱性情報データベース)と Red Hat の脆弱性データベースの情報を用意しています。
NVD は別 OS 環境を考慮しているので、Red Hat よりも深刻と判断されるケースが多くあります。RHEL や CentOS で環境では、Red Hat のスコアを参考にすることで効果的にトリアージできます。
これまでも「CVSS スコア」や「深刻度」は、Red Hat 版の情報も用意されていましたが、今回のアップデートで「NW 攻撃可能か」と「権限なしで攻撃可能」の Red Hat 版が追加され、より判断材料を収集できるようになりました。
以下は、RHEL7.2 でスキャンした結果になりますが、NVD と Red Hat で評価が大きく異なることがわかります。

▼CVSS と Red Hat の評価の比較。

さいごに

FutureVuls のトリアージを支援するアップデートを紹介させていただきました。運用担当者にとって、強い味方になるサービスだと改めて思いました。

FutureVuls では、トリアージ方針や FutureVuls 上の操作について素晴らしいチュートリアルを公開しております。とくに方針では、汎用的かつ具体的に書かれており、FutureVuls の利用有無にかからわず参考になりますので、ぜひご一読いただければと思います。

対応方針の検討

参考

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.