Vulsで危険な脆弱性を最速検知！(The fastest detection of dangerous vulnerability by Vuls! )

1. Vulsで危険な脆弱性を最速検知！ The fastest detection of dangerous vulnerability by Vuls! Takayuki Ushida

2. Who am I ? • Takayuki Ushida P-01 • VulsRepo https://github.com/usiusi360/vulsrepo • Qiita http://qiita.com/usiusi360

3. 質問 Question • 脆弱性の対応手段として「プロダクション環境」でyum updateで全部のパッケージを毎日アップデートしている人 ⇒ 挙手！ As for a method to deal with vulnerability, does anyone update all of the packages every day using the yum update in the “ production environment ”? ⇒ Raise your hand! P-03 コードフリーズしカットオーバーしたシステム環境で全部のパッケージをアップデートするのは怖い I am scared to update all of the packages in the system environment which has already cut over but code-freezed. 業務アプリが動かなくなったら・・・全部再テスト・・・検証どこまでやれば・・・じゃあ、外部の脆弱性情報をウォッチして自システムに影響のあるものだけアップデートしますか？ Do you check the vulnerability information about the updates of rpms having the impact on the system ? • 現実問題として As a practical matter

4. 脆弱性情報をウォッチしつづけるのはツライ Painful to keep watching the vulnerability information • CVE等の脆弱性情報は追加だけではない！過去の情報も頻繁に更新されている。 The vulnerability information about CVE is not only added, but the past information has also been updated frequently. • 更新された内容に重大な内容(脆弱性レベル・対象)が含まれていても、話題になりにくい。 Even if an important information is included in the updated contents, it does not become a hot topic. • 全てのアップデート情報について自システムのインストール構成と照らし合わせて影響があるか一つずつ確認するのはタイヘン！チェック漏れがあったら一大事！！ For all updates, it’s a tough work to make sure the impact of the installation configuration for the local system. If you leak a check, it will become a big deal. P-01

5. サイトに書かれている情報が常に正しいとは限らない The information on the site is not necessarily correct. • 脆弱性の影響範囲の情報が変更されてもNVD,JVN等に反映されるまでには、かなりタイムラグがある。（情報がアップデートされるのに数ヶ月掛かる場合もある） It requires a long time to reflect information about the vulnerability on NVD and JVN. Information in some cases take several months to be updated. • そもそもNVD,JVNに詳細が載らないものも結構ある。（CVE-IDだけ払い出されていて、詳細はベンダーサイトへ） There is much vulnerability whose details have not been published in the NVD and JVN. P-01 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5320

6. 脆弱性対応は、時間との戦い！！ Deal for the vulnerability, we need to hurry. • 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くためのヒントが公開されたってこと。 The tips on how to attack the vulnerability is published mean that the hints for attackers has been open. • 脆弱性が公開されたあと、それを標的にしたアタックが急増する。 After vulnerability is published, it will increase the number of attacks rapidly. P-02 警察庁セキュリティポータルサイトより抜粋 http://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf ～～～発見・対処が遅れるほど、外部から脆弱性を突かれるリスクが高くなる When the discovery and deal of vulnerability is delayed, the posibilyty of risks attacked from the outside will be higher.

7. P-01 Vulsは悩めるセキュリティ担当の救世主！！ Vuls is a savior of the beleaguered security personnel ! !

8. Vulsによる自動差分チェックを運用中に実際に遭遇した事例 Actual case which is encountered at the automatic differential check operated by Vuls • 2016/6/24（Fri） – Vuls is detected the CVE-2016-1762 to the new – CVSS Score： 10.0（HIGH） MAX !! – ServerOS：CentOS6 – RPM Packeage：libxml2 P-01

9. CVE MITRE (The contents of 2016/6/24 time) P-01

10. NVD (The contents of 2016/6/24 time) P-01

11. JVN (The contents of 2016/6/24 time) P-01

12. あれ？スキャンしたのは「CentOS」なんですけど？ Why? We scan " CentOS " but? P-01

13. P-01 なんでApple製品対象の脆弱性を検知してんの？ Why dose it detect the vulnerability of an Apple product? もしかしてVulsが誤検知？ Does it mean Vuls has made a mistake?

14. P-01 いやいや、Vuls先輩は正しく検知してくれていました！ No, Vuls has detected the vulnerability correctly!

15. RHELのサイトを見ると・・・ View the site of RHEL and ... P-01 スキャンした日の前日に更新パッケージが出てる！！ At the day before of the scanning, I came up with an update package ! ! https://access.redhat.com/security/cve/cve-2016-1762

16. P-01 確かにCVE-2016-1762に関する更新がされてる！！ Certainly it has been updated on the CVE-2016-1762! ! https://rhn.redhat.com/errata/RHSA-2016-1292.html

17. P-01 2016/9/5 74 days after 2016/7/27 34 days after 2016/6/23（Vuls Scan 6/24） RedHat Important: libxml2 security update NVD JVN 各サイトの更新状況 Update status of each site CVE MITRE 2016/１/13 Assigned

18. P-01 何故、Vulsは検知できたのか？ Why is Vuls able to detect it? Question

19. P-01 Answer パッケージのchangelogからCVE-IDを拾い出しているから Because it picks up CVE-ID from the changelog of the package.

20. P-01 ・インストールされているものより新しいバージョンのあるパッケージについて全部changelogをチェック Check all the changelog of the packages with the newer version than the installed ones. NVD、JVNに情報が載るよりも先に検知することも。またNVD、JVNに詳細が載らなくても検知できる。 We can detect the information earlier than it is described in NVD and JVN. We can also detect it even if the details are not written in NVD or JVN. Vulsは擬似攻撃や自動アップデートは行わない。だから環境に影響を与えることはない。安全にチェックできる。 Vuls does not perform a pseudo-attacks and automatic update. So, it does not affect the environment. It can be checked at safety．

21. Vulsで素早く検知・対応するための運用方法 Operation method for quickly detecting and corresponding by Vuls. P-01

22. 通知に関する問題 Issues related to notification • 最初はVulsで全件検知させて、対応の要不要を判断。 First of all, we detect all vulnerability by Vuls and determine the necessity whether we should cope with the vulnerability. • それ以降は差分通知がしたい！ After that, it notifies the differences of updated vulnerability information. P-01 毎日スキャンし新しく検知した内容だけをウォッチすることで、新しい情報を見逃さない！埋もれさせない！ If we scan the vulnerability information and pay attention to the newly detected contents, we can not miss the new information ! Vulsはシステムに存在する脆弱性を毎回全件通知毎回大量に通知が発生すると必要な情報が埋もれてしまう Vuls notifies all vulnerability information for a system every time. If a large amount of notifications are generated, the necessary information is buried in them.

23. P-01 • text形式のレポートをDiff Diff the text format of the report – Qiita：脆弱性検知ツールVulsで前日分との差分だけレポートする (http://qiita.com/usiusi360/items/90bad397c16c07a9630b) • json形式のレポートを元に監視システムへ連携 Cooperation the json format of reports to the monitoring system – vuls scan&zabbixにsend [gist] （https://gist.github.com/aomoriringo/2ec69042d8330dbce0ae6097288a6ce4） – Zabbix上へ脆弱性（CVEID)の数を連携 • Zabbiｘ上でグラフ化 Graphed on Zabbix • Zabbixのトリガー・アクション機能を使って、通知先を一元管理可能 Using the trigger action function of Zabbix, the notification destination centralized management possible Vulsで差分があったときだけ通知 Notify only when there is a difference in Vuls

24. P-01 VulsRepoでVulsの結果をピボットテーブルのように様々な角度から集計できる。 The results of the Vuls can be analyzed from a variety of view points as pivot tables in VulsRepo. VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo

25. P-01 VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo VulsRepoでは集計した結果をグラフにすることもできる。 The VulsRepo can display a graph aggregated by the results.

26. P-01 どのCVE-IDを新しく検知したのか？脆弱性対応を行ったあと、ちゃんと脆弱性が無くなったか？ Which CVE-ID does Vuls detect newly? After you have dealt with the vulnerability, does the vulnerability disappear properly? スキャン時間とCveIDを軸にして見ることで、何が変化したか簡単に見つけ出すことが可能 If we investigate the vulnerability information centered on the scan time and CveID, we can easily find out what has changed. VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo

27. P-01 VulsRepoで結果を分析 Analyze the results of Vuls by VulsRepo リンクをクリックするだけで外部の情報サイトへ遷移 We can easily transit the outside information site by clicking a link.

28. P-01 • VulsRepoを気に入った場合はぜひGitHub Starを！ Please to grant GitHub Star if you like the VulsRepo. VulsRepoのオンラインデモ Online demo of VulsRepo GitHub https://github.com/usiusi360/vulsrepo

29. P-01 まとめ Summary • Vulsとサイトの情報を併用して多角的に情報収集が必要。 We cannot swallow the site information. We need to collect the information from the multiple views by Vuls. • 検知した内容を埋もれさせない工夫が必要。 We need a method that the detected vulnerability information is not buried in the large amount of data. • VulsRepoで多角的に分析 We can analyze from the multiple view points by VulsRepo.

30. P-01 Thank you