脆弱性管理ソリューション (Vulnerability Management) Greenbone Security Manager

脆弱性管理ソリューション (Vulnerability Management) Greenbone Security Manager

IP系 試験・測定・監視・検証機

 

 

Greenboneセキュリティマネージャ(GSM)は、社内セキュリティやGRC (企業統治・リスク管理・法令順守) 戦略に対して脆弱性評価、脆弱性情報と脅威管理機能を提供することでシームレスかつ可視的に導入できる、専用または仮想のアプライアンスによる脆弱性管理ソリューションです。

GSMは、CVE, CVSS, CPE, CERT-bund, DFN-CERTなどのセキュリティ関連団体との連携とオープン・スタンダードに一番の重点を置かれて開発されており、脆弱性テストの実行結果に反映されます。その結果、常にセキュリティ状態を強化補完し、自動化された脆弱性ライフサイクル管理への積極的なアプローチを可能とする、他とは異なるセキュリティソリューションの製品です。

 

 

  • 包括的なセキュリティ設計に基づく独自インターフェースを持つオペレーティング・システムGreenbone OSで動作する強力なアプライアンス
  • 既に79,000以上のネットワーク脆弱性テストに対応し、今後においても日々更新される最新の脆弱性検出ルーチンを自動的にGSMに適用するGreenboneセキュリティフィードを実装
  • ターゲットIP数に制限無し(効果的な数量はスキャンパターンやスキャンされるシステムに依ります)
  • 保守にて故障ハードウェアの交換、Greenboneセキュリティフィードへのアクセス、機能のアップデートやサポートに対応

複数インターフェースによる多様なネットワークエリアでの脆弱性検知

Greenbone Security Manager のハードウェアアプライアンスは、複数の物理インターフェースを搭載することが出来ます。そのインターフェースをネットワークエリア毎に割当てることにより、外部攻撃(インターネット)、DMZ内の脆弱性、内部攻撃(イントラネット)といった異なるポイントからの脆弱性検知が可能となります。
またGSMをMaster/Slaveとして構成することで、離れたオフィスでの検知テストも統合して一括で運用して頂くことが可能です。

 

Greenbone 接続図

 

様々な脆弱性を検知するには、それに合わせた様々な検出方法を開発する必要があります。Greenbone Security Managerでは、Greenbone Security Feedという機能で、Greenbone社にて日々開発している様々な検知テストルーティンを自動で受信し、常に最新の脆弱性検知環境を整えることが可能です。
現時点で既に79,000を超える検知テストルーティンNVTがリリースされており、今後も更新されていきます。
そのNVTにおける代表的な検知手法としては、ポートスキャンやアプリケーションデータによるコネクティブなアクセスなどがあります。

ポートスキャンで利用するポートリストは様々なプロファイルを用意

  • IANAにて定義されているウェルノーンポート
  • 全TCP / 全UDP ポート
  • オープンソースである脆弱性スキャンエンジンOpenVASのデフォルトポートリスト など

アプリケーションデータによるコネクティブなアクセス

  • 様々なアプリに対応:DNS, HTTP, OpenSSL, Adobe Reader, Adobe Flash player など
    アプリケーションデータによるアクセスでの脆弱性製検知

 

脆弱性検知のタスクは、Greenbone Security Feedによって受信される最新の脆弱性検知ルーティンを利用し、日々発生する新規の脆弱性の問題を検知するように実行されます。Greenbone Security Feedによって提供される脆弱性検知テストルーティンは既に79,000を超えており、これからも新たに発生する脆弱性に追従してリリースされていきます。タスクは、簡単な設定で実行可能ですが、スケジュール設定により自動実行化することも出来、アラート設定を加えればタスク終了後、E-MailやSyslogにて通知させることも可能です。
実行したタスクの結果として、ブラウザより検知した脆弱性の内容を各種情報(CVE, CVSS, CPE等)と共に閲覧可能です。また、結果は様々なフォーマット(PDF, CSV, XML, TXT等)にて出力可能です。過去に実行した結果と最新の結果の差分表示することで、新たに検知された脆弱性を容易に確認することも出来ます。

Result Detail 表示例

実行結果差分 表示例
レポート(PDF)例

古くから知られるフリーの脆弱性スキャンTOOLとしてOpenVASがあります。これは現在GCE(Greenbone Community Edition)として提供されています。それとは別に販売製品としてGSM(Greenbone Security Manager)が存在します。GCEとGSMの開発元は共にドイツのGreenbone社です。古いバージョンでは機能の差異が明確ではなく、フリーのOpenVASを利用するケースが多くありましたが、近年明確に差別化されております。以降にその主な違いを表で示します。

  1. Security Feedにおける違い
  2. アプライアンスとして提供(構築における労力の違い)
  3. 環境適用における幅広さの違い
1. Security Feedにおける違い

Security Feedとは、VT(脆弱性テスト), SCAP(セキュリティコンテンツオートメーションプロトコル)およびCERT(Computer Emergency Respone Team)データからなる配信コンテンツです。Greenbone社は、自社開発のすべてのネットワーク脆弱性テスト(NVT)をプロフェッショナル向けであるGreenbone Security Feed(GSF)に含めていますが、Community Feed(GCF)には全てが含まれているわけではありません。

Greenbone Security Feed (GSF) Greenbone Community Feed (GCF)
アップデート 常時/毎日 常時/毎日、ただしエンタープライズ機能なし
HOT NVT ✔ ✔
NVTs for Home Products ✔ ✔
German "Grundschutz" ✔ ✔
企業向け製品に対するNVT ✔ -
コンプライアンス(PCI,ISP27001など) ✔ -
運用技術関連(SCADA,ICS) ✔ -

次のリストは、Greenbone Security Feedの一部である企業向けでプロフェッショナルな製品に対するNVTの例をいくつか示しています。

  • 一般的な企業向け製品と運用技術関連製品(ICS / SCADAなど)
  • MS Windows Serverおよびバックオフィスソリューション(SharePoint、SQL Serverなど)
  • パロアルトネットワークス、シスコ、ジュニパーネットワークス、フォーティネットの製品
  • Oracle Solaris IBM WebSphere製品(IBM WebSphere Application Serverなど)
  • Lotus NotesまたはSAP製品
  • VMWare有料製品

全体として、 Community Feed(GCF)に含まれるNVTは、プロフェッショナルフィードであるGreenbone Security Feed(GSF)に含まれるものよりも約30%少なくなっています。

2. アプライアンスとして提供(構築における労力の違い)

GSMはアプライアンスとして提供される為、受領後すぐご利用いただくことが可能です。GCEは、導入や運用においてかなりの労力を必要とします。

Greenbone Security Manager (GSM) Greenbone Community Edition (GCE)
セットアップ ターンキー(電源投入後およそ10分) オペレーティングシステムとハードウェアを選択し、独自に構築するか、すぐに利用できるコミュニティパッケージをインストールします
カバレッジ 複数のスキャンツールを備えたすべてのOpenVASモジュールが連携するよう調整済み 自分で選択して調整するか、コミュニティのデフォルトを使用します
Feedの互換性 SLAで保証 自身で確立する必要があります
パフォーマンス ハードウェアに最適化 自身で最適化する必要があります
バックアップ/リカバリ システムに統合済み 個別に解決し、実施する必要があります
修正 メーカより提供 Community-Fixesを自身で適用する必要があります
サポート メーカより提供 ボランティアベースのコミュニティで問合せ
アップデート 定期的にシームレスに実施 自身で確認して実施
3. 環境適用における幅広さの違い

GSM やGCEは環境に合わせて機能を調整しています。

GSM(プロフェッショナルな環境) GCE(小規模オフィスや個人向け)
更新とフィードの方法 GSM同期ポート経由、Proxy S-Connect経由、AirGap経由、GSMマスター経由で可能 コミュニティフィードのみ
システムアップデート セキュリティアップデートが含まれ、任意のバージョンから最新のリリースに更新できます。アプライアンスとバージョン間のデータと設定の移行も実施されます 利用不可
プロトコル NTP, GMP, HTTPS, SSH, SNMPv2, SNMP, Syslog, IPv6, LDAP, RADIUS and more HTTPS only for WebGUI; SSH, IPv6
統合と接続性 PaloAlto、Fortinet、Cisco FireSight、NAGIOS、Splunk、Veriniceなどのさまざまなベンダー 利用不可
バックアップ/リカバリ ユーザーデータのバックアップ、LVMを介したシステムデータ、SCPまたはUSBを介した転送、アプライアンス間の転送 環境のみ(HyperVisor)
アラーム、スケジュール 電子メール、HTTP、SMS、SIEMまたはチケットシステムへのコネクタ経由。完全なスケジューリングが可能 利用不可
スキャンアーキテクチャ Master/Slave構成が可能 利用不可
Appliance Sensor
Model GSM6500 GSM5400 GSM650 GSM600 GSM450 GSM400 GSM150 GSM35
ご利用シーン 大規模企業/
サービスプロバイダ
大規模企業/
サービスプロバイダ
中規模企業/
支店
中規模企業/
支店
中規模企業/
支店
中規模企業/
支店
小規模企業/
拠点
支店Scan用
(Scanのみ)
ターゲットIPアドレス数 9,000-80,000 4,000-40,000 1,000-10,000 500-6,000 500-4,000 300-2,000 50-500 20-300
Ports
マネージメント/Feed 専用Port x2 専用Port x2 1 1 1 1 1 1
Scan GbE-Base-TX 0-24 Ports 0-24 Ports 6 Ports 6 Ports 6 Ports 6 Ports 4 Ports 4 Ports
Scan SFP 0-24 Ports 0-24 Ports 2 Ports 2 Ports 2 Ports 2 Ports - -
Scan 10 GbE XFP/SFP+ 0-8 Ports 0-8 Ports - - - - - -
Hardware
Fan Speed制御 - - ✔ ✔ ✔ ✔ ✔ ✔
冗長 Fan,電源,HDD Fan,電源,HDD Fan Fan Fan Fan - -
ホットスワップ Fan,電源,HDD Fan,電源,HDD - - - - - -
LCD ✔ ✔ ✔ ✔ ✔ ✔ - -
GSM Networks
Master Mode (Scan & Management) 80 Sensorまで制御可能 40 Sensorまで制御可能 20 Sensorまで制御可能 12 Sensorまで制御可能 6 Sensorまで制御可能 2 Sensorまで制御可能 - -
Sensor Mode(Managed via Master) ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Greenbone OS
HTTPS GUI(Webブラウザ) ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
Report Plugins ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
Alerts ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
スケジューリング ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
IPv6サポート ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
バックアップ/リストア リモート,USB リモート,USB リモート,USB リモート,USB リモート,USB リモート,USB USB -
Virtual Appliance Virtual Sensor
Model GSM EXA GSM PETA GSM TERA GSM DECA GSM CENO GSM ONE GSM MAVEN GSM 25V
Use Case 中規模企業/
支店
中規模企業/
支店
中規模企業/
支店
中規模企業/
支店
小規模企業/
拠点
エントリモデル/
トレーニング
/監査用
エントリモデル/
小規模支店
支店SCAN用(SCANのみ)
ターゲットIPアドレス数 2,000-18,000 1,000-9,000 300-3,000 50-1,500 50-500 20-300 20-300 20-300
Memory on Hypervisor(GB) 24 16 8 8 8 4 4 4
vCPUS 12 8 6 4 2 2 2 2
Ports
Virtual Ports 8 8 8 4 4 1 1 4
GSM Networks
Master Mode (Scan & Management) 24 Sensorまで制御可能 12 Sensorまで制御可能 6 Sensorまで制御可能 2 Sensorまで制御可能 - - - -
Sensor Mode(Managed via Master) ✔ ✔ ✔ ✔ ✔ - - ✔
Open VM tools ✔ ✔ ✔ ✔ ✔ - - ✔
Greenbone OS
SSH v2 Support ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
HTTPS GUI ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
Syslog(UDP/TCP/TLS) ✔ ✔ ✔ ✔ ✔ - - -
Alerts(SMTP,HTTP,...)/
Scheduling
✔ ✔ ✔ ✔ ✔ - - -
Report Plugins ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
IPv6サポート ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Certificate Management ✔ ✔ ✔ ✔ ✔ ✔ ✔ -
バックアップ/リストア リモート,VM Snapshot リモート,VM Snapshot リモート,VM Snapshot リモート,VM Snapshot HypervisorによるSnapshot HypervisorによるSnapshot HypervisorによるSnapshot HypervisorによるSnapshot