Cultureカテゴリ

JANOG52に於いて、発表及びディスカッションを行いました

2023年07月05-07日で開催された「JANOG52」の最終日07月07日に、「ネットワーク機器における脆弱性検知の取り組みと課題」というタイトルで発表及びディスカッションを行いました。

  • Future株式会社 中岡 及び 井上 での発表しました。
  • 発表内容は プログラム に於いて、概要及び資料、アーカイブ配信が公開されています。

本記事では、発表概要とディスカッションの概要を記載します。

発表概要

ネットワーク機器の脆弱性管理は、ソフトウェア系の脆弱性管理と異なるやり方をしているように思える。
もう少しソフトウェア系でのやり方の知見を加えることで、ネットワーク系の脆弱性管理もうまくできるのではないか。

  • インシデントが発生して話題になったときに対応を始めるパターンも多く、定期的なバージョンチェックによる脆弱性認識という方向性にできないか
  • そのためには以下の情報が必要と思われる
    • 脆弱性情報(ベンダ提供情報や、NVDに記載の情報)
    • 安全にマルチベンダで使えるバージョン情報等の確認方法(SSH等も可能だが、通常利用しているであろうSNMPでも可能)
    • バージョン情報と脆弱性データのマッチング(現時点ではCPEの記載方法でマッチングのが一般的)
  • これらについて検討していることを発表し、ディスカッションしたい

ネットワーク機器における脆弱性検知については、アドバイザリの収集と機器特定に難がある。それらについて知見を公開した。

脆弱性アドバイザリの収集については、複数の提供元から、複数の形式で提供されているため、統一的に見ることが難しい。
また、記述内容も媒体により異なる場合もあり、正確性を担保するのが難しい。記載が人間向けの自然言語の部分もあり、機械的に処理することが難しく、人間の解釈が必要なものも多い。

  • 安定的に取得できる必要がある
    • APIでのアクセス、リストでの提供、年単位などで一括提供、過去の情報提供を停止しない、など
  • 機械処理前提のフォーマットが必要である
    • CVRF/CSAF、OVAL、MITRE CVE、OSVなどの脆弱性情報を記述するフォーマットを利用する
  • 公開内容や更新について、適切に取り扱われる必要がある
    • セキュリティ対応に十分な内容化、適切なタイミングで更新しているか、更新を更新とわかるように記載しているか、などの考慮が必要

ネットワーク機器の特定は、今回はSNMPを利用したものを提示した。
SNMPでは、本来は標準MIBで必要な情報が取得できるはずだが、OIDの意図の通り情報を出力しないものも多い。現時点では、sysDescr.0 に出力されているものが汎用性が高いが、本来用途ではない上、ベンダごとに記載方法が異なる。ベンダでのSNMPの正しい意図した実装が求められると考える。
この方法で取得するにはサンプル数が多数必要であり、現状では圧倒的にサンプル数が足りていない。

このような状況ながら、定期的な自動でのネットワーク機器のバージョン取得やアドバイザリの収集をどうやったらよいかを、会場でディスカッションした。

ディスカッション

SNMPで取得しようとしているが、NETCONFの方が機械に優しいように思える。
ネットワーク機器の脆弱性管理では、ファームウェアとハードウェアのバージョンが合致した場合に対応することになるので、その部分対応頂きたい。

  • ベンダ統一的に取れる仕組みがない為、一旦はSNMPで進めている。
  • NETCONFも念頭に、より良い取得方法を探し、検討する段階だと思っている

SBOMが使えるかもしれない。

  • (ディスカッション後に検討したが、)SBOMの対応範囲ではないと考える。
  • SBOMではファームウェア(例えばCisco IOS)で使われているソフトウェアを表現することはできるが、ファームウェア自体のバージョンを示すものではない。
    • ファームウェア内部で使っている、例えばsshd等のバージョンを示すことが主目的で、リバースエンジニアリングに通じるのでベンダは公開しないと思われる。また、公開されてもユーザでは対応できない。

フォーマットはCVRFが良いかもしれない。官庁等の主導でフォーマット等を決めたほうが良いかもしれない。

  • 現時点の問題点は、フォーマットよりも、フォーマットに乗せるデータの正確性などのほうが問題が多いと考える。
  • CVRF/CSAF、OVAL、MITRE CVE、OSVなど複数フォーマットは存在するので、適切なものを選択する必要があると考える。
  • 官庁等で強制力があると、確かに良いかもしれない。

Cisco IOS XR(キャリア/プロバイダ向けOS)の場合、複数のSMU(Software Maintenance Update)が提供されており、SMUの適用の有無はSNMPでは難しいかもしれない。

  • SMUについて詳しく知らなかった。発表によりこのような情報を頂けてありがたい。
  • 確かに状況からするとSNMPでの取得は難しいかもしれない。機器からの情報取得方法はもう少し検討する必要がありそうだということを理解した。
  • それらを念頭に、データ整備等を行えれば良いと考える。

まとめ

今回の発表により、ネットワーク運用をされている方も、サーバ運用者同様に脆弱性対応に関する悩みを抱えていることを認識できました。
特にCisco IOS XRのSMUに関しては、適用状況の確認の難しさがある点などを理解することができました。

今回の発表を踏まえ、Vuls/FutureVulsではネットワーク機器の脆弱性管理をサポートできるよう、検討を進めていこうと思います。

弊社では以下のサービスを提供していますので、何かあればお気軽にご相談ください。