イベント概要

サイバーセキュリティ月間に合わせ、Vuls祭り#7を開催しました。

ソースを公開しているvulsの、コミュニティ主催のイベントです。
初のハイブリッド開催（登壇者/視聴者共に）としました。
サイバーセキュリティ月間のイベントとして登録しました。
公開可能な部分/運営の手際が悪かった部分を省略し、youtubeにアップロードしています。

イベント全体設計として、「脆弱性スキャナVulsや、脆弱性対応についての知見を深める祭りです」としており、FutureVuls/Vuls自身はもちろんですが、それらを利用していない方にも有用なイベントになるように設計しました。

全体としては以下のような内容となりました。

招待講演
- サイバー空間の現状や日本政府の政策などを説明頂きました
- Vuls(の主に面白さ)を継いで行こう、というお話を頂きました
講演
- SSVCに関する話を頂きました
- SSVCでの運用へ切り替えを進めている話を頂きました
- VulsのWindows対応についての話をしました
- ネットワーク機器のCPEをSSHせずに取得する方法の検討と報告についてお話しました
LT
- OWASP “アジャイル開発におけるセキュリティ|パターン・ランゲージ”の概要についてお話頂きました
- VDP(Vulnerability Disclosure Program)とは何なのか、またなぜ必要なのか？

注目する部分

各講演から、脆弱性対応に関連する部分で気になる話をまとめました。
少しでも興味が沸きましたら、youtubeをご覧ください(詳細欄で、必要なシーンに飛べます)。

SSVC

今回は、SSVC自体のお話と、SSVCでの評価に移行したお話を頂きました。

CVSS BaseScoreを元にした対応判断から、SSVCを利用した判断に移行する過程のお話は、脆弱性対応が回せていない組織には有用な情報かもしれません。

CVSS BaseScoreだけで単純に判断すると、緊急度の高い脆弱性が多いように見えてしまい、運用として疲弊してしまう。
システムの環境に合わせた判断が必要で、システムの特性やPoC有無などの情報を加味する事で緊急度が高い脆弱性を絞れるが、これも疲弊につながる。
SSVCを使う事でこれらの判断の自動化がされ、アウトプットとして具体的な優先順位と対応期日が表示され、且つ、判断根拠が分かるのは有用。

CVSSベースの判断から SSVCベースの判断への移行は、FutureVulsが対応しており、ご利用いただけているようです。

CVSSベースでの脆弱性対応判断は、以前からお話しているように、なかなか運用負荷が高いのが現状です。

CVSSで示している指標は、あくまで「脆弱性それ自体」の影響であり、システムとして使われている状況での判断情報としては意図されていないものです。
- 実際に置かれている状況を考慮するには、システムが置かれている状況（構成や侵害時の影響など）や脆弱性それ自体の置かれている状況（PoC有無、Vectorの情報、その他）等を考慮する必要があります。
- これらをすべて考慮すると、相応の労力が必要となり、疲弊する原因となります。

VulsでのWindowsスキャン

Windows OSに対するスキャンを進めています。
以前から商用版であるFutureVulsではWindows対応をしていましたが、今回はVulsもスキャンできるようになりました。

詳細は、後程このブログに寄稿されるはずです。

Vulsでのネットワークスキャン

ネットワーク機器のファームウェア管理を楽にしようという事で、対応方法を検討しています。

現状、SNMPでネットワーク機器のファームウェアバージョンを取得する hogehuga/snmp2cpe というものがあり、これを発展的に使えないかを検討しています。
また、このプロジェクトの過程で、1.SNMPでのファームウェア等の情報の取り扱いが各社ばらばらである 2.ベンダのアドバイザリの記載も一部不安定である事を確認しています。これらをどのように回避するかを模索中です。

将来的には、FutureVuls/Vulsにネットワーク機器のファームウェアを特定する方法を登録する事を想定しています。（現状、SNMPでCPE特定となる予定）

まとめ

今回のVuls祭りは、Vulsの新機能開発に関連するものもありつつ、国としてのサイバーセキュリティ施策や脆弱性対応に関する話など、がありました。
今後も定期的に実施したいと思いますので、宜しくお願いします。