【211208】ホワイトハッカー入門　脆弱性情報の収集

【211208】ホワイトハッカー入門　脆弱性情報の収集

ここまで集めてきた情報から、対象に存在する脆弱性を探し出し、その攻撃方法を見つけます。そのためには脆弱性情報の探し方や見方を知っておく必要があります。

（１）脆弱性情報の収集先

脆弱性の公開元は、大きく分けると以下ような区分です。
① 開発や販売しているベンダーが公開しているもの
② 公的機関によって運営されているもの
③ セキュリティ企業や檀多賀公開しているもの
④ ハッカーや有志によって収集・公開されているもの

https://qiita.com/hot_study_man/items/3ce74ce496c033fa5951

NVD
JVN
JVN iPedia など。
脆弱性情報の整理
ＣＶＥ（Common Vulnerabilities and Exposures）http://cve.mitre.org/

https://www.ipa.go.jp/security/vuln/CVE.html

（２）脆弱性情報の評価
ＣＶＳＳhttps://www.ipa.go.jp/security/vuln/CVSS.html
① 基本評価基準 (Base Metrics)
　脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性（ Confidentiality Impact ）」、「完全性( Integrity Impact ）」、「可用性( Availability Impact ）」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出します。
　この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。
　ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
② 現状評価基準 (Temporal Metrics)
　脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。
　この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
　ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
③ 環境評価基準 (Environmental Metrics)
　製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。
　この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。

製品利用者が脆弱性への対応を決めるために評価する基準です。
＜参考＞
https://www.ipa.go.jp/files/000071660.pdf

（３）攻撃手法の探し方

脆弱性に対する攻撃手法をエクスプロイト（Ｅｘｐｌｏｉｔ）
入手方法は、
① 自分で考案する
② 攻撃手法を公開しているサイトから探す

公開しているサイト

https://bugtraq.securityfocus.com/archive
Exploit Database
https://www.exploit-db.com/
RAPID7 Vulnerability & Exploit Database
エクスプロイトに利用されるmetasploitのモジュールと、脆弱性の両方を検索できるサイト
https://www.rapid7.com/db/

まとめ
脆弱性の情報によって、その脅威を正確にしることができる。
脆弱性に対する攻撃手法の有無はホワイトハッカーにとっては重要である。