02e. インフラストラクチャ脆弱性スキャン
インフラストラクチャ脆弱性スキャン
DevOps は開発とデプロイメントのプロセスを自動化するうえですばらしい働きをしますが、すべての可動パーツ (コンテナ、ライブラリなど) は頻繁に更新されるため、コードをデプロイするインフラストラクチャが安全であることを確認する必要があります。
そのためのベストな方法は脆弱性スキャンをパイプラインに組み込むことです。
脆弱性スキャナはコンピュータ、ネットワーク、アプリケーションの既知の弱点を評価するように設計されたコンピュータプログラムです。これらのスキャナは特定のシステムの弱点を発見するために使用されます。これらはファイアウォール、ルーター、ウェブサーバー、アプリケーションサーバーなどのネットワークベースの資産内の設定ミスやプログラミング不備から生じる脆弱性を特定および検出するために使用されます。最新の脆弱性スキャナでは認証済みスキャンと未認証スキャンの両方が可能です。最新のスキャナは一般的に SaaS (Software as a service) として利用できます。インターネット経由で提供され、ウェブアプリケーションとして配信されます。最新の脆弱性スキャナはインストールされているソフトウェア、オープンポート、証明書、およびワークフローの一部として照会できるその他のホスト情報など、脆弱性レポートをカスタマイズできる機能を備えていることがよくあります。
認証済みスキャン ではスキャナが secure shell (SSH) や remote desktop protocol (RDP) などのリモート管理プロトコルを使用してネットワークベースの資産に直接アクセスし、提供されたシステムクレデンシャルを使用して認証できます。これにより脆弱性スキャナは特定のサービスやホストオペレーティングシステムの構成の詳細など低レベルのデータにアクセスできます。それから構成上の問題点やセキュリティパッチの不足など、オペレーティングシステムやインストールされているソフトウェアに関する詳細で正確な情報を提供できます。
未認証スキャン は誤検出が多くなる可能性があり、資産のオペレーティングシステムやインストールされているソフトウェアに関する詳細な情報を提供できない手法です。この手法は一般的に外部からアクセス可能な資産のセキュリティ体制を把握しようとする脅威アクターやセキュリティアナリストにより使用されます。
ツール
SAINT (Security Administrator's Integrated Network Tool) はコンピュータネットワークのセキュリティ脆弱性をスキャンし、見つかった脆弱性をエクスプロイトするために使用されるコンピュータソフトウェアです。
Nessus スキャンはオペレーティングシステム、ネットワークデバイス、ハイパーバイザ、データベース、ウェブサーバー、重要なインフラストラクチャなど幅広いテクノロジをカバーしています。
Arachni XSS、SQL インジェクション、NoSQL インジェクション、コードインジェクション、ファイルインクルージョンなどの脆弱性をスキャンするために使用できるウェブアプリケーションセキュリティスキャナネットワークです。
Burp Suite はウェブアプリケーションのセキュリティテストを実行するための統合プラットフォームです。さまざまなツールがシームレスに連携して、アプリケーションの攻撃対象領域の初期マッピングと分析から、セキュリティ脆弱性の発見とエクスプロイトに至るまで、テストプロセス全体をサポートします。
Nexpose は簡単に利用できる便利なダッシュボードを手影響する主要な脆弱性評価ツールの一つであり、これまで見てきたツールの大半と同様に、PCI コンプライアンスなどの幅広いスコープの整合性レポートを提供します。
Nikto はフリーソフトウェアのコマンドライン脆弱性スキャナで、危険なファイルや CGI、古いサーバーソフトウェア、その他の問題についてスキャンします。
OpenVAS は脆弱性スキャンと脆弱性管理を提供するいくつかのサービスやツールのソフトウェアフレームワークである Greenbone Vulnerability Manager (GVM) のスキャナコンポーネントです。
Vuls は Linux, FreeBSD, Container, WordPress, プログラミング言語ライブラリ, ネットワークデバイスのためのエージェントレス脆弱性スキャナです。
参考情報
Last updated