SlideShare a Scribd company logo

Vuls×deep security

一輝 長澤

Try to clear up high urgency vulnerability

Software
1 of 11
× Vuls × Deep Security Try to clear up high urgency vulnerability Kazuki Nagasawa 09/26/2016 @Future Architect Inc.
Who am I ? Kazuki Nagasawa • Network and server engineer at Future Architect, Inc. フューチャーアーキテクト所属インフラエンジニア (ほぼセールスエンジニアな、ITコンサルタント) • Twitter : @kray0630 • github : kn0630
Vuls × Deep Security Try to clear up high urgency vulnerability Deep Security保護下でも残存する、 緊急度の高い脆弱性がサクッとわからないか試してみました。
With Vuls Vulsで できること Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software ①Scan Vulnerability management before attacked スキャン結果を元に対策することができる The list of vulnerability scanned ②Output
With Deep Security Deep Securityで できること Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Attack Vulnerability management when attacked 事前に設定された内容で、被攻撃時に自動的に防御することができる Block The list of vulnerability to block
With Vuls and Deep Security VulsとDeep Securityを組み合わせると… Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Have to check which vulnerability is not to be blocked VulsのScan結果全てが、対策に急を要すものかは確認が必要となる Attack Block Same? The list of vulnerability to block The list of vulnerability scanned
The list of vulnerability to block With Vuls and Deep Security VulsとDeep Securityを組み合わせると… Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Have to check which vulnerability is not to be blocked VulsのScan結果全てが、対策に急を要すものかは確認が必要となる Attack Block The list of vulnerability scanned Same?Let's check easily!! サクッとチェックしちゃいましょう!
PythonSDK For Deep Security APIs The list of vulnerability to block How to do で、どういうことをやったのか Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software The list (JSON format) of vulnerability scanned ②Get the list of all target to block with API API経由でDSから保護可能リストを取得 ①Get the list of Vulnerability scanned Vulsのスキャン結果を取得 ※Python SDK for Deep Security APIs https://github.com/deep-security/deep-security-py ③Compare two lists, and output result 2つのリストを比較
Output 出力結果はこんなかんじ ① ② ③ ① The list of vulnerability scanned by Vuls Vulsでスキャンした結果の脆弱性リスト ② The number and severity of vulnerability that blocked by Deep Security Vulsスキャン結果の中で、Deep Securityで保護できるものとその深刻度 ③ The number and severity of vulnerability that not to be blocked by Deep Security Vulsスキャン結果の中で、Deep Securityで保護できないものとその深刻度
Summary まとめ ① With Deep Security API and Vuls, we can check high urgency vulnerability Deep Security APIの取得結果とVulsの出力結果から、対象の環境における 緊急度の高い脆弱性もわかる。 ② Probably,Vuls can cooperate with other products in the same way Vulsと他のセキュリティ製品の組み合わせも、同じように連携できそう。 ③ Deep Security APIs are surely convenient Deep Security APIはめっちゃ便利。 ※どうやら色々できそう。現状のポリシ設定も加味して・・・、とかしてみたい。
Thank you all for listening ! :) Source code is available at Github https://github.com/kn0630/vulssimulator_ds ※It’s refer to “deep-security/amazon-inspector” https://github.com/deep-security/amazon-inspector

Recommended

Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsKota Kanbe
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Takayuki Ushida
 
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策Takayuki Ushida
 
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)Takayuki Ushida
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Takayuki Ushida
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!Takayuki Ushida
 
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合Takayuki Ushida
 
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理Takayuki Ushida
 

Recommended

Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsKota Kanbe
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Takayuki Ushida
 
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策Takayuki Ushida
 
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)Takayuki Ushida
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Takayuki Ushida
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!Takayuki Ushida
 
脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合脆弱性スキャナVulsのAWS環境への融合
脆弱性スキャナVulsのAWS環境への融合Takayuki Ushida
 
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理Takayuki Ushida
 
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~Citrix Systems Japan
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOnmasafumi masutani
 
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!ichikaway
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
検証、SEAndroid
検証、SEAndroid検証、SEAndroid
検証、SEAndroidHiromu Yakura
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampKyo Ago
 
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaVAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaichikaway
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628ichikaway
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 
RubyでDSL
RubyでDSLRubyでDSL
RubyでDSLYukimitsu Izawa
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
Application Sandbox
Application SandboxApplication Sandbox
Application SandboxYoshiakiSugiyama
 
俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけ俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけTsukasa Kato
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
Web Componentsのアクセシビリティ
Web ComponentsのアクセシビリティWeb Componentsのアクセシビリティ
Web ComponentsのアクセシビリティMitsue-Links Co.,Ltd. Accessibility Department
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Jenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテストJenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテストichikaway
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...Insight Technology, Inc.
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
Azure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのためにAzure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのためにTeppei Ishii
 

More Related Content

What's hot

セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~Citrix Systems Japan
 
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!ichikaway
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampKyo Ago
 
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaVAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaichikaway
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628ichikaway
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjpsonickun
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけ俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけTsukasa Kato
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
Jenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテストJenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテストichikaway
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...Insight Technology, Inc.
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 

What's hot (20)

セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
セキュリティをあきらめない! ~WAFパフォーマンスを無限に拡張するネットワークデザイン~
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
 
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
検証、SEAndroid
検証、SEAndroid検証、SEAndroid
検証、SEAndroid
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
 
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaVAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
 
phpcon kansai 20140628
phpcon kansai 20140628phpcon kansai 20140628
phpcon kansai 20140628
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
 
RubyでDSL
RubyでDSLRubyでDSL
RubyでDSL
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
 
Application Sandbox
Application SandboxApplication Sandbox
Application Sandbox
 
俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけ俺のセキュリティを超えてゆけ
俺のセキュリティを超えてゆけ
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御
 
Web Componentsのアクセシビリティ
Web ComponentsのアクセシビリティWeb Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
Jenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテストJenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテスト
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 

Similar to Vuls×deep security

【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
Azure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのためにAzure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのためにTeppei Ishii
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)Masanori KAMAYAMA
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターンToshi Aizawa
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウドIDC Frontier
 
オープン API 入門 (20180825)
オープン API 入門 (20180825)オープン API 入門 (20180825)
オープン API 入門 (20180825)Masanori KAMAYAMA
 
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護Yusuke Oi
 
Keynote (基調講演): Elasticセキュリティの進化とビジョン
Keynote (基調講演): Elasticセキュリティの進化とビジョン Keynote (基調講演): Elasticセキュリティの進化とビジョン
Keynote (基調講演): Elasticセキュリティの進化とビジョン Elasticsearch
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話Hibino Hisashi
 
AWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:CapAWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:Cap真吾 吉田
 
コンテナイメージの脆弱性スキャンについて
コンテナイメージの脆弱性スキャンについてコンテナイメージの脆弱性スキャンについて
コンテナイメージの脆弱性スキャンについてYASUKAZU NAGATOMI
 
Step-Oriented Programming による任意コード実行の可能性
Step-Oriented Programming による任意コード実行の可能性Step-Oriented Programming による任意コード実行の可能性
Step-Oriented Programming による任意コード実行の可能性kozossakai
 
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮CODE BLUE
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)Masaya Tahara
 
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP Nagoya
 
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件についてOSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件についてssuser6c19e1
 
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介QlikPresalesJapan
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョンMasamitsu Maehara
 
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...SYUE-SIANG SU
 

Similar to Vuls×deep security (20)

【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
Azure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのためにAzure サポート チームの現場からお届けする落ちないサービスのために
Azure サポート チームの現場からお届けする落ちないサービスのために
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
 
OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)OSS WAF on Cloud & Cloud 入門 (20180224)
OSS WAF on Cloud & Cloud 入門 (20180224)
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
 
オープン API 入門 (20180825)
オープン API 入門 (20180825)オープン API 入門 (20180825)
オープン API 入門 (20180825)
 
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護
新しく生まれ変わった Azure Log Analytics と Azure Security Center によるITインフラの分析と保護
 
Keynote (基調講演): Elasticセキュリティの進化とビジョン
Keynote (基調講演): Elasticセキュリティの進化とビジョン Keynote (基調講演): Elasticセキュリティの進化とビジョン
Keynote (基調講演): Elasticセキュリティの進化とビジョン
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
 
AWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:CapAWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:Cap
 
コンテナイメージの脆弱性スキャンについて
コンテナイメージの脆弱性スキャンについてコンテナイメージの脆弱性スキャンについて
コンテナイメージの脆弱性スキャンについて
 
Step-Oriented Programming による任意コード実行の可能性
Step-Oriented Programming による任意コード実行の可能性Step-Oriented Programming による任意コード実行の可能性
Step-Oriented Programming による任意コード実行の可能性
 
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮
Step-Oriented Programming による任意コード実行の可能性 by 坂井 弘亮
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
 
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
 
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件についてOSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
 
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介
TECH TALK 2021/08/31 Qlik Sense Extension開発 第2弾 - プログラミング可能な汎用エクステンションのご紹介
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
 
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
 

Vuls×deep security

  • 1. × Vuls × Deep Security Try to clear up high urgency vulnerability Kazuki Nagasawa 09/26/2016 @Future Architect Inc.
  • 2. Who am I ? Kazuki Nagasawa • Network and server engineer at Future Architect, Inc. フューチャーアーキテクト所属インフラエンジニア (ほぼセールスエンジニアな、ITコンサルタント) • Twitter : @kray0630 • github : kn0630
  • 3. Vuls × Deep Security Try to clear up high urgency vulnerability Deep Security保護下でも残存する、 緊急度の高い脆弱性がサクッとわからないか試してみました。
  • 4. With Vuls Vulsで できること Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software ①Scan Vulnerability management before attacked スキャン結果を元に対策することができる The list of vulnerability scanned ②Output
  • 5. With Deep Security Deep Securityで できること Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Attack Vulnerability management when attacked 事前に設定された内容で、被攻撃時に自動的に防御することができる Block The list of vulnerability to block
  • 6. With Vuls and Deep Security VulsとDeep Securityを組み合わせると… Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Have to check which vulnerability is not to be blocked VulsのScan結果全てが、対策に急を要すものかは確認が必要となる Attack Block Same? The list of vulnerability to block The list of vulnerability scanned
  • 7. The list of vulnerability to block With Vuls and Deep Security VulsとDeep Securityを組み合わせると… Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software Have to check which vulnerability is not to be blocked VulsのScan結果全てが、対策に急を要すものかは確認が必要となる Attack Block The list of vulnerability scanned Same?Let's check easily!! サクッとチェックしちゃいましょう!
  • 8. PythonSDK For Deep Security APIs The list of vulnerability to block How to do で、どういうことをやったのか Vulnerability in OS (Linux,FreeBSD) Vulnerability in some middleware Vulnerability in some software The list (JSON format) of vulnerability scanned ②Get the list of all target to block with API API経由でDSから保護可能リストを取得 ①Get the list of Vulnerability scanned Vulsのスキャン結果を取得 ※Python SDK for Deep Security APIs https://github.com/deep-security/deep-security-py ③Compare two lists, and output result 2つのリストを比較
  • 9. Output 出力結果はこんなかんじ ① ② ③ ① The list of vulnerability scanned by Vuls Vulsでスキャンした結果の脆弱性リスト ② The number and severity of vulnerability that blocked by Deep Security Vulsスキャン結果の中で、Deep Securityで保護できるものとその深刻度 ③ The number and severity of vulnerability that not to be blocked by Deep Security Vulsスキャン結果の中で、Deep Securityで保護できないものとその深刻度
  • 10. Summary まとめ ① With Deep Security API and Vuls, we can check high urgency vulnerability Deep Security APIの取得結果とVulsの出力結果から、対象の環境における 緊急度の高い脆弱性もわかる。 ② Probably,Vuls can cooperate with other products in the same way Vulsと他のセキュリティ製品の組み合わせも、同じように連携できそう。 ③ Deep Security APIs are surely convenient Deep Security APIはめっちゃ便利。 ※どうやら色々できそう。現状のポリシ設定も加味して・・・、とかしてみたい。
  • 11. Thank you all for listening ! :) Source code is available at Github https://github.com/kn0630/vulssimulator_ds ※It’s refer to “deep-security/amazon-inspector” https://github.com/deep-security/amazon-inspector

Editor's Notes

  1. まずは自己紹介です。 ネットワークやサーバの面倒を見ているインフラエンジニアです。 といいつつ、どちらかというと技術の人ではなく、 セールスエンジニアのようなお客様とやりとりしてなんぼなITコンサルタントやってます。 では、さっそくですが本題に入ります。
  2. DeepSecurityとVulsを使って、 DeepSecurity保護化でも残存するような緊急度の高い脆弱性がサクッとわからないか試してみましたので、 そちらを共有します。
  3. まずは、おさらいになってしまいますが、みんな大好きVuls。 Vulsでできることは、脆弱性をスキャンし、その対象を出力することであり、 要するにスキャン結果を元に脆弱性対策につなげられるといったところだと思っています。
  4. 一方、こちらもみんな大好きDeepSecurity。 DeepSecurityでできることは、 事前に定義された内容に基づき、脆弱性をついた攻撃に対して防御することだと思っています。
  5. じゃあ、みんな大好きな二つを組み合わせたらどうなるのかというところなのですが、 せっかくDeepSecurityで防ぐことができている脆弱性も、Vulsで検知されてしまいます。 どれが本当にやばい脆弱性かチェックするのも面倒だなぁ。。。 大好きな二つのツールなのに、相性が悪いようで残念だなぁ。。。 なんて諦めるのもなんなので、
  6. サクッとチェックするツールを作ってみました。
  7. 何をしたのかというと、至極単純です。 まず、Vulsで脆弱性リストを取得します。 次に、DeepSecurityには便利なAPIがあるので、 そちらを叩いてDeepSecurity保護下に置くことができる脆弱性リストをひっぱってきます。 あとは、これらを比較するだけです。
  8. こうしてできた二つのツールの愛の結晶がこちらです。 Vulsでスキャンした結果の脆弱性リストに加え、 その中でDeepSecurityで保護できるものの数とその深刻度別の数、 逆に保護できないやばいやつらの数とその深刻度の数を出力することができました。
  9. ということで、まとめです。 1つ目として、非常に簡単なコードで、DeepSecurity配下でも危険なものがなにかといったことを 明らかにすることができました。 2つ目に、多分、同じように、Vulsと皆様の好きなセキュリティ製品を連携できそうです。 丸投げですが、色々やってみてください。 最後に、DeepSecurityのAPIは、色々できそうです。 現状のDeepSecurityのポリシ設定と比較して云々とかできたらいいなぁと思ったりしてます。
  10. 以上で私のセッションはおわります。ご清聴ありがとうございました。 ソースはGithubにあげていますので、良かったらご覧ください。 では、引き続きVuls祭り、最後までお楽しみください。