【レポート】脆弱性対策の現状とこれから 〜 進化するインフラ、高度化するサイバー攻撃への適応 〜

こんにちは、臼田です。

こちらは連日の「深刻な脆弱性」 どう向き合い、どう対応するかというセミナーの「脆弱性対策の現状とこれから 〜 進化するインフラ、高度化するサイバー攻撃への適応 〜」についてのレポートです。

講演者

テナブル ネットワーク セキュリティ 株式会社

シニアシステムエンジニア

花檀 明伸 氏

レポート

• tenableは古くから脆弱性を扱っている会社
• しかし、企業名よりも製品名であるNessusのほうが有名

脆弱性とは

• 一般的に言う脆弱性診断は外部から診断する外部スキャンになる
• それに対して、システム内にログインして内部コマンドを使用して脆弱性スキャンを行う
• 内部スキャンの方がより多くの脆弱性を見つけることが出来る
• ただ、外部スキャンは攻撃者の立場で攻撃が可能かを確認するため、内部スキャンの方が上位というわけではない
• 両者を使い分けることが重要

tenableのソリューション

脆弱性管理

• オンプレミスではSecurityCenter
  • ある程度成熟している
  • 大幅に日本語対応している
• クラウドではtenable.io
  • まだ出たばかりのサービス
  • 日本語対応はこれから

脆弱性スキャン

• Nessus

脆弱性の継続的監視

• アクティブスキャン
  • スキャナから能動的にスキャンを行う
  • メリット
    • 詳細なスキャン結果を得られる
  • デメリット
    • 定期実行になる
    • 検査対象に負荷がかかる
  • インターバルが重要になるので注意
• 攻撃の迅速化
  • Apache Struts2の脆弱性やWannaCryなどに対応するにはアクティブスキャンだけでは足りない
• パッシブスキャン
  • アクティブスキャンでは対応できない、迅速に対応する必要がある脆弱性にも対応できる
  • リアルタイムにトラフィックをミラーして脆弱性を確認する
  • 製品としてはNessus Network Monitor
  • アクティブスキャンほど詳細には見れない

進化・多様化するインフラストラクチャ

WebAppの脆弱性対策

• WebAppの脆弱性管理としては、一つのリンクだけではなく、参照しているリンクも全てクロールする必要がある
• Web App ScanはOWASP TOP10に基づいてレポートする

IoTデバイスの脆弱性対策

• 最近だとMiraiが流行った
• Dynでは最大1.2TbpsnoDDoSがあった

パブリッククラウド・Containerの脆弱性対策

• 仮想化環境でホストのIPなどが変わることがある
• エージェントを入れて、そちらでスキャンや制御側に接続することで対策
• Dockerのコンテナスキャンも行っている
• tenable.io Container SecurityではRegistryを公開しており、そこでコンテナイメージのスキャンを行う

感想

Nessusは老舗のスキャンツールですが、tenableに取り込まれてから様々な派生をしているようですね。

クラウドのスキャンソリューションもあり、気になりますので使ってみたいと思います！