FutureVulsで検出した脆弱性に対処するトリアージを実施してみた

FutureVulsにて検出された脆弱性に対し、許容するものの選別や、優先度付けをする「トリアージ」を実施してみたいと思います。

トリアージの基本方針には、以下のポリシーがあります。

  • 受容する脆弱性を非表示にする
  • 残りの脆弱性は受容できないので、対応優先順位付けを行う

本エントリでは、上記ポリシーのもと実施しますが、トリアージの方針は組織等により異なりますので、一例としてご参考ください。

前提

スキャン実施済みであること。未実施の場合は、以下を参考にしてください。

未対応の脆弱性確認

スキャン実施済みのサーバを一台用意しました。ここでは、古いバージョンのAMI(ami-06cd52961ce9f0d85)を利用しているので、脆弱性を多く含んでいます。

このサーバでは、合計86件の脆弱性が検出されました。

86件のうち「重要な未対応」が33件、「その他の未対応」が53件ある状態です。

「重要な未対応」は「重要」フィルタに合致したものが表示され、「その他の未対応」は「重要」フィルタに合致しなかったものが表示されます。

「重要」フィルタは、環境設定にてカスタマイズすることが可能です。

トリアージ

検出された脆弱性に対し、トリアージを行っていきます。

先ずは、方針のもと受容する脆弱性を非表示にします。ここでは、アップデートパッチが提供されていないもの、ネットワーク経由の攻撃ができないものを受容します。残りの脆弱性については受容できないので、優先順位を付けをパッチ適用で対応したいと思います。

受容できる脆弱性を非表示にする

アップデートパッチが提供されていないもの

アップデートパッチが提供されていない且つ、緩和策(データソースに緩和策、回避策があるかどうか)がない場合は対処の方法がありません。脆弱性に対して何らかの変更があるまで非表示にしたいと思います。

「パッチ提供」、「緩和策/回避策」でフィルタを実施します。

この環境では、上記フィルタに合致する脆弱性は検出されませんでしたが、該当する脆弱性がある場合「関連するタスクを非表示」をクリックします。

非表示にする期間(条件)を選択し「送信」をクリックします。

関連する脆弱性が「対応済み」に移動しました。

「アップデートパッチがでるまで」、「ベクター、スコアが変わるまで」、「攻撃コードが見つかるまで」を選択した場合、該当アクション(パッチの提供等)が行われても、スキャンを実施するまで非表示設定が解除されない点にご注意ください。

ネットワーク経由の攻撃ができないもの

「NWから攻撃可能」でフィルタを実施します。該当の脆弱性にチェックを付与し、「関連するタスクを非表示」をクリックします。

非表示にする期間(条件)を選択し「送信」をクリックします。

関連する脆弱性が「対応済み」に移動しました。

受容できない脆弱性に対応する

受容する脆弱性を非表示にした後は、対応の必要な脆弱性が残ります。脆弱性に対し優先順位を付けて対応していきます。CVSSスコアの他、順位付けの例がドキュメントに記載されていますので抜粋します。

  1. 警戒情報は、攻撃の可能性が高い場合や影響度が高い場合に、JPCERT/CCなどから公開されます。
  2. NWから攻撃可能 は、インターネット側からのアクセスで攻撃される可能性が高くなります。
  3. 攻撃コードありは、公開されたコードを元に攻撃される可能性が高くなります。
  4. 緩和策/回避策なし 及び 権限無しで攻撃可能は、攻撃の容易さに影響します。

ここでは、上記順位付けを参考にフィルタ、ソートを実施しました。優先度が高い脆弱性が表示されているので、これらに対しては最優先で対応を行います。

脆弱性をクリックすると、詳細が確認できます。サマリは翻訳することも可能です。

ここでは、以下の脆弱性に対してパッチを適用します。

該当の脆弱性を選択し「関連するタスクを更新」をクリックします。

タスクステータスを「ONGOING」に変更し、優先度等を入力し「送信」をクリックします。

該当の脆弱性が「対応中」に移動されます。

脆弱性第二ペインの「アップデートコマンド」よりコマンド等を確認することができます。

該当サーバにてアップデートを実行し、確認のためスキャンを実施しました。

$ yum update ntp ntpdate
Loaded plugins: priorities, update-motd, upgrade-helper
amzn-main                                                                                                                                                  | 2.1 kB  00:00:00
amzn-updates                                                                                                                                               | 2.5 kB  00:00:00

(省略)

Complete!

スキャンが完了すると、関連する脆弱性が「対応済み」に移動しました。

上記のように、未対応が0件になるまで、優先度付けおよび対応を実施します。

なお、パッチの適用については、SSM経由で実施することが可能です。サーバにログインせずSSM経由で実施したい場合は、以下のエントリをご確認ください。

[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた

さいごに

トリアージの一例をご紹介しました。トリアージは対応方針が重要になると思います。方針は組織、サービス等で異なると思います。まだ方針が決まっていない場合は、以下を参考に方針から検討してください。

参考