취약성 정보를 AWS Lambda에서 검색해 보면

결론부터 말하면


  • 인력으로 취약성 정보를 수집하는 것은 어렵다.
  • MyJVN API를 사용해 취약성 정보를 취득해 보았다.
  • 거의 여기 을 둥근 파크리(흉내) 했다.

  • 계기



    일로 취약성 정보(OS, 앱, NW 기기 등 여러가지)를 수집하고 제대로 대책하지 않으면 안 돼~라는 흐름이 되었다. 하지만 매일 NVD나 JVN이나 JPCERT나 CISCO등의 사이트에 차례로 액세스해 취약성이 나오지 않았는지 육안으로 체크한다고 하는 운용에, 여러가지 위화감을 기억했으므로, 어떻게든 즐길 수 없는가라고 생각하고 있었다 그런데 MyJVN API의 존재를 안다.

    MyJVN API란, JVN iPedia의 취약성 정보를 검색하기 위한 API 검색 정보를 주는 것으로 취약성 정보의 일람이나 상세를 XML 형식으로 받을 수 있는 것 같다. 벤더 ID, 제품명, 제품 ID, CVSS 심각도, 발견일/갱신일/발행일 등에서 필터링이 가능하다.

    덧붙여서 JVN이란 「Japan Vulnerability Notes」로, JPCERT 코디네이션 센터라고 하는 조직과 정보 처리 추진 기구(IPA)라고 하는 조직이 공동으로 운영하고 있는, 소프트웨어가 방치해 두면 야바이 취약성에 관한 정보를 공개하고 있는 사이트인 것 같다.

    그래서, 그렇다 「MyJVN API」를 사용하자! 라고 말하게 되었다.

    그렇다면 어떻게 할까?



    · 어디에서 구현?
    어차피라면 AWS Lambda에서.

    · 어디에 알리십시오?
    Rocket.Chat(사내에서 사용하고 있는 Slack풍 녀석)

    · 빨리 감지하고 싶지만?
    1시간마다 API 실행하여 당일 공개된 취약성이 있으면 통지라든지.

    조속히 구축하려고 하면



    이미 "그 만마"를 하고 있는 사람이 있었으므로, 거의 마루 파크리(흉내) 했다.

    · MyJVN API를 이용한 취약성 정보 수집
    여기

    변경을 받은 곳은, 메일은 아니고 채팅에 통지하도록(듯이) 한 것과, 일시 영역을 사용해 1회 통지한 정보는 무시하는(다시 통지하지 않는) 처리를 넣은 것.

    만든 이미지









    결과



    아마 여러가지 편해졌다고 생각한다.
    멤버끼리의 커뮤니케이션이 태어났다. (개인의 견해?등을 코멘트해 준다)
    모두 경외하기 쉬웠던 취약성 대응에 약간의 개선이 보였다.
    그렇지만 이것은 취약성의 파악~대책까지의 운용 프로세스 중에서, 어디까지나 최초의 단계.

    좋은 웹페이지 즐겨찾기