FutureVulsでトリアージの支援機能が強化されました!

こんにちは、中川です。

脆弱性管理ツールであるFutureVulsの最近のアップデートで、トリアージ※の支援機能が強化されましたので、ご紹介します。
※ トリアージとは、脆弱性対応の判断のことで、検知した脆弱性に対して許容するものの選別や対策優先度付けなどを行います。

目次

アップデート紹介

脆弱性タブの機能強化(2019/07/05 アップデート)

脆弱性タブが以下のように一新されたことで、トリアージの操作性がよくなりました!

まず、新しく検知された脆弱性は、重要フィルタ(下図参照)の条件を基準に重要な未対応その他の未対応のどちらかに振り分けられます。
次に、未対応に振り分けられた脆弱性は、パッチ提供の有無や攻撃可能性が高いかなどを判断材料を元に、「ONGOING」や「脆弱性情報が更新されるまで非表示」などのステータスに変更します。ONGOINGの場合、対応中に振り分けられ、非表示の場合は、対応済みに振り分けられます。
このように運用担当者は、左から流れるように操作するので、対応漏れがなく、重要度の高い脆弱性から優先して、対応可否を判断できるようになりました。

▼重要度フィルタの条件。デフォルトでは以下の条件に一致すると重要とみなされる。CVSSスコアや攻撃可能の条件を変更できる。

▼ステータスをONGOINGに変更する例。脆弱性を選択した状態で「関連するタスクを更新」をクリックすると、タスクステータスや担当者、対応予定日を設定できる。

▼非対応にする例。脆弱性情報の更新や指定した日付まで表示しないように設定できる。

脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示(2019/07/05 アップデート)

プロセスの起動状況やネットワークポートがListenしているかどうかわかるようになりました。 実際にOSログインしてプロセスやListenポートを確認しなくても、ネットワークの情報を優先度付けの判断にできるようになり、調査効率がよくなりました!

▼プロセス・ネットワークポートの利用状況。

「NW攻撃可能か」「権限なしで攻撃可能」のRed Hat版を追加(2019/08/02 アップデート)

FutureVulsでは、NVD(米国立標準技術研究所NISTの脆弱性情報データベース)とRed Hatの脆弱性データベースの情報を用意しています。 NVDは別OS環境を考慮しているので、Red Hatよりも深刻と判断されるケースが多くあります。RHELやCentOSで環境では、Red Hatのスコアを参考にすることで効果的にトリアージできます。
これまでも「CVSSスコア」や「深刻度」は、Red Hat版の情報も用意されていましたが、今回のアップデートで「NW攻撃可能か」と「権限なしで攻撃可能」のRed Hat版が追加され、より判断材料を収集できるようになりました。 以下は、RHEL7.2でスキャンした結果になりますが、NVDとRed Hatで評価が大きく異なることがわかります。

▼CVSSとRed Hatの評価の比較。

さいごに

FutureVulsのトリアージを支援するアップデートを紹介させていただきました。運用担当者にとって、強い味方になるサービスだと改めて思いました。

FutureVulsでは、トリアージ方針やFutureVuls上の操作について素晴らしいチュートリアルを公開しております。とくに方針では、汎用的かつ具体的に書かれており、FutureVulsの利用有無にかからわず参考になりますので、ぜひご一読いただければと思います。

対応方針の検討

参考