現在、多くの企業・組織で従業員の大半が在宅勤務(リモートワーク)をしていると思います。もちろんリモートワークによる社外から社内ネットワークへの全てのVPNアクセスを管理することが最優先ですが、それ以外の脆弱性監視はどうなっていますか?今後の企業のセキュリティの一環として、脆弱性対策を行う事が不可欠になってきています。
社外からのVPN接続の急増に加え、Slack、Dropbox、Google G Suite、およびタスク管理ツールのTrelloといったSaaSベースのコラボレーションソフトウェアの使用も広がっています。IT担当者は、社用PCにインストールしてもよいアプリケーションに関して厳格なポリシーを導入するだけでなく、そうしたアプリケーションに関連する脆弱性も継続的に監視する必要があります。アプリケーションの脆弱性が発見されると、翌日にはすでにその脆弱性を悪用するコードを書くことができる攻撃者がこれまで何度も報告されてきました。
特に確認すべき項目:
リモートワーク対応で、今まで使っていなかったVPNコンセントレータを設置するなら、パッチが適用されているかどうかを確認すること、VPN関連の脆弱性も監視しておきましょう(最新の脆弱性情報:CVE-2020-5180およびCVE-2020-6760)。
リモートワークへのシフトで利用が急増するソフトウェアに関する脆弱性情報の監視:Google Docs (CVE-2019-7250)、Zoom、Slack
NIST脆弱性情報データベース(NVD):VPN
NessusやQualisといったベンダーが提供している脆弱性スキャンは、ネットワークの攻撃対象領域を理解する上で重要です。そして、脆弱性スキャンを実行する際は、最新の脆弱性チェックを適用してください。適切な脆弱性チェックを適用して脆弱性スキャンを実行すると、スキャン結果とVPN脆弱性を見ることができます。Splunkの無料App、Splunk Security Essentials(SSE)には、CVE(共通脆弱性識別子)サーチができる優れたサンプルサーチが用意されています。SSEの全てのフィルター設定をオンにして(FilterをClearして)「vulnerabilities」で検索すると「Ransomware Vulnerabilities (ランサムウェア脆弱性)」というサンプルユースケースが出てきます。(Journey: Stage 4、Security Use Case: Security Monitoring/Compliance、Category: Vulnerability)
(右の画像内の訳:「ランサムウェア脆弱性」このユースケースは、Nessusなどのソリューションが生成する脆弱性管理ログをサーチし、社内システム環境の中でランサムウェアに脆弱なホストを特定します。[サンプルサーチ文あり])
SSE画面右上の「View」欄で、SPLモードをLive Dataモードに切り替えると、SPLが下図のように変わります。
新しい脆弱性が発見・スキャンされたら、ここに検索したいCVEを入力してサーチを実行します。
さらに、現在Splunk Enterprise Security(ES)をお使いでしたら、ESのユースケースライブラリに63のAnalytic Stories (分析ストーリー)が公開されていることをご存知の方もいらっしゃると思います。これらはSplunkのセキュリティリサーチチームが提供しています。
ここで、SpectreとMeltdownという2つの脆弱性に関するAnalytic Storyを見てみましょう。
分析ストーリー:SpectreとMeltdown
関するCVEが含まれていますが、この記事では特にこれらのCVEに焦点を当てるわけではありません。このサンプルSPLはtstatsコマンドを使用したもので、NIST(アメリカ国立標準技術研究所)が公開している脆弱性情報データベース(https://nvd.nist.gov/)に登録されている最新の脆弱性を簡単に検索することができます。このサンプルSPLは、お手持ちのデータソースを基にご自身のニーズに合わせて自由に編集可能です。tstasコマンドを使うので、対象データはCIM(共通情報モデル)に準拠した形式にし、さらに正しいTA(Technology add-on)を適用した上で、データモデルにデータを入力する必要があります。
- https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Tstats
- https://docs.splunk.com/Documentation/CIM/latest/User/Overview
サンプルサーチ文には、SpectreとMeltdownに脆弱なシステムとSpectre-Meltdown Windowsパッチが適用な可能なシステムが含まれています。ここで必要になるデータソースはEDRツールと、QualysやNessusのような脆弱性スキャナです。
2020年に本格化した新しいリモートワークの時代における組織の守り方に関する、より実践的なガイドは、こちらをクリックしてください。
Thanks to the contributors of this blog post, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.
