この記事は、OWASP TOP10を運用目線で書いたものです。日々、運用者は、脆弱性と対峙する必要があります。脆弱性の緊急度、CVE(※)スコア、アプリケーションとの関連性の有無等。
(※)CVE(Common Vulnerabilities and Exposures):一つ一つの脆弱性を識別するための共通の識別子
ご存知のように、ウェブアプリケーションの脆弱性を考える上でOWASP10は非常に参考になります。OWASP TOP10から掘り下げて行くことで脆弱性の情報から攻撃のパターン、そして誰がどのように攻撃しているかの、一連の流れを追うことができます。
OWASP TOP10は、CWEとリンクしていますので、OWASPで大まかな脆弱性を知り、CWEで脆弱性の詳細を知ることが出来ます。また、CWEは、CVEとリンクしているので、脆弱性から、CAPEC(攻撃パターン)の把握、そしてTECHNIQUES(攻撃緩和策)と辿ることで、管理者としてやるべきことが可視化されます。
関係性
OWASP TOP10:10大脅威でトレンドを把握するカテゴライズされている脅威から個々の脅威を紐解き、CWEへのリンクで脆弱性の種類を確認することができます。
リンク:OWASP TOP10 https://owasp.org/www-project-top-ten/
CWE(Common Weakness Enumeration):脆弱性の把握ができます、共通の識別子があり、体系化されています。CVEへもリンクされているため関連する脆弱性の把握及び、脆弱性の対策も知ることができます。関連する攻撃パターンへのリンクがあるためCAPECとの相関が把握できます。
リンク:CWE https://cwe.mitre.org/index.html
CAPEC(Common Attack Pattern Enumeration and Classification):攻撃パターンを知ることができます。攻撃対象や攻撃の種類による分類もあり、CWE・OWASPとの相関を理解することができます。攻撃パターンから攻撃テクニック(TECHNIQUES)を知ることができます。
リンク:CAPEC http://capec.mitre.org/data/index.html
ATT&CK >TECHNIQUES:攻撃手法を知ることができます。どのように敵は攻撃してくるのか、敵は誰なのか、を把握することができます。攻撃を緩和する方法やどう検知するべきかを示唆してくれます。
リンク:TECHNIQUES https://attack.mitre.org/techniques/enterprise/
最後に
運用での活用方法としては、高スコアのCVEへの対策、ニュースからトレンドを把握し、自社システムへの緩和策の適用・設定の確認等が必要になってきます。セキュア運用フェーズで自動化ツールなどを利用し、それに頼るところは頼る、抜けるところを手動で補いつつセキュリティを担保し続けます。
開発後の脆弱性診断から運用フェーズへ、不断のパッチ適用・不要サービス停止から一歩進んだセキュア運用へ脱皮するには、脅威を事前に知り、対抗手段を前もって取っておく、しかもそれを継続する必要があります。
日々、多くの脆弱性から自社のシステムの影響有無を確認する工数は膨大です。だからこそ、日々のチェックを自動で実施してくれるツールも有用だと考えます。