本アプリケーションがスキャンの発見フェーズ中にアセットをフィンガープリントした場合、そのフィンガープリントに基づき、どの脆弱性のチェックを実行するかを自動的に判定します。スキャンテンプレート設定パネルの脆弱性のチェックページでスキャンを手動設定することで、フィンガープリントで示されたチェックより多くのチェックを含めることが可能です。また、チェックの無効化もできます。
アンセーフチェックには、IISやApacheといったアプリケーション、FTPやSSHといったサービスに対してのバッファオーバーフロー・テストが含まれます。その他としては、システム障害をトリガする一部データベース・クライアント内のプロトコルエラーが含まれます。アンセーフスキャンによりシステムがクラッシュしたり、通常通り動作していると表示されていてもシステムが不確定な状態となる場合があります。スキャンによりターゲットシステムに恒久的障害が起こることは、考えにくいでしょう。しかし、システム内で実行中のプロセスによりシステム障害におけるデータ破損が起こった場合、意図せぬ副次的影響が起こる可能性があります。
アンセーフチェックの利点は、サービスの否認攻撃を起こす恐れがある脆弱性を確認できることです。同攻撃は、システムのクラッシュ、サービスの停止、利用中のシステムが作業不能となる程のサービスの消費などにより、システムを使用できない状態にします。
ターゲットアセットにスケジュール化されたアンセーフチェックを営業時間外に実行して、スキャンが終わったらそれらのアセットを再起動します。また、アンセーフチェックを生産開始前環境で実行して、アセットのサービスの否認条件に対する抵抗性をテストすることも、良いアイディアです。
潜在的な脆弱性のチェックを実行するには、適切なチェックボックスを選択します。潜在的脆弱性の情報については、スキャンアラートの設定をご参照ください。
信頼できるチェックを通常のチェックと相関付ける場合、適切なチェックボックスを選択します。この設定を有効化すると、本アプリケーションはオペレーティング・システム・パッチにより信頼を置いて、信頼度に劣る可能性があるその他のチェックの結果のオーバーライドを試行します。オペレーティング・システムのパッチ・チェックは、通常の脆弱性のチェックより信頼が置けます。なぜなら、ターゲットアセットが任意の攻撃に対して脆弱ではないと認知されているパッチレベルに達していることを確認できるからです。例えば、脆弱性のチェックがHTTPバナーの検査に基づきApacheウェブサーバーに対して陽性であるにも関わらず、オペレーティング・システムのパッチ・チェックにより当該Apacheパッケージはこの特定の脆弱性についてパッチ済みであると判定された場合、脆弱性はレポートされません。信頼性の高いチェック相関を有効化することが、誤検知を削減するベストプラクティスです。
本アプリケーションは、以下のターゲット上でオペレーティング・システム・レベルのパッチ検証チェックを実行します:
注意: チェック相関を使用するには、パッチ検証チェックを含むスキャンテンプレートを利用しなければならず、通常、サイト設定にログオン認証資格情報(credentials)を含めなければなりません。スキャン認証資格情報(credentials)を設定をご参照ください。
スキャンテンプレートによっては、特定の脆弱性のチェックを有効化するよう指定される場合があります。これは、そのテンプレートではこれらの脆弱性のチェックのタイプ/カテゴリにのみ、本アプリケーションによるスキャンが実行されるということを意味します。脆弱性のチェックを指定して有効化しない場合、指定して無効化したものを除き、実質的にチェックのすべてが有効化されます。
スキャンテンプレートによっては、特定のチェックを無効化するよう指定される場合があります。これは、そのテンプレートではこれらの脆弱性のチェックのタイプ/カテゴリを除くすべての脆弱性について、本アプリケーションによるスキャンが実行されるということを意味します。言い換えれば、無効化されているチェックがなければすべての脆弱性がスキャンされます。網羅的テンプレートにはすべての可能な脆弱性のチェックが含まれますが、フル監査テンプレートおよびPCI監査テンプレートについては、より時間がかかるポリシーチェックは除外されています。ウェブ監査テンプレートは、その名の通り、ウェブ関連の脆弱性のみをスキャンします。
脆弱性のチェックの設定の修正については、優先順位に注意してください。これは、当該ページ上部で説明されています。
セーフな脆弱性のチェックは、検証ルーチン中にデータの変更、システムのクラッシュ、またはシステムの機能停止を引き起こすことはありません。
ヒント: カテゴリ内にどの脆弱性が含まれるか確認するには、カテゴリ名をクリックします。
コンソールに、脆弱性カテゴリをリストするボックスが表示されます。
ヒント: メーカー名(Microsoftなど)が付けられているカテゴリは、その製品名が付けられているカテゴリのスーパーセットとして機能可能です。例えばMicrosoftカテゴリを選択すると、Microsoft PathおよびMicrosoft Windowsといった、すべてのMicrosoft製品カテゴリが本質的に含まれます。これは、Adobe、Apple、およびMozillaといった、その他の「企業」のカテゴリにも適用されます。
コンソールの脆弱性のチェックページに、選択したカテゴリがリストされます。
注意: 特定の脆弱性カテゴリを有効化する場合は、黙示的にその他のすべてのカテゴリを無効化することになります。したがって、特定のカテゴリを有効化しないということは、すべてのカテゴリを有効化することになります。
コンソールに、これらのカテゴリが削除された脆弱性のチェックページが表示されます。
スキャンのタイプを選択するには、以下のステップに従います:
ヒント: チェック・タイプ内にどの脆弱性が含まれるか確認するには、チェック・タイプの名前をクリックします。
コンソールに、脆弱性タイプをリストするボックスが表示されます。
コンソールの脆弱性のチェックページに、選択したタイプがリストされます。
脆弱性のチェックページにリストされている脆弱性タイプのスキャンを回避するには、脆弱性のチェックページにリストされているタイプをクリックします:
コンソールに、これらのタイプが削除された脆弱性のチェックページが表示されます。
以下の表には、現在の脆弱性タイプおよび各タイプについて実行された脆弱性のチェックの数がリストされています。本リストは変更される場合がありますが、本ガイド発行の時点で最新のものです。
| 脆弱性のタイプ | 脆弱性のタイプ |
|---|---|
| Default account | Safe |
| Local | Sun patch |
| Microsoft hotfix | Unsafe |
| Patch | Version |
| Policy | Windows registry |
| RPM |
特定の脆弱性のチェックを選択するには、以下のステップに従います:
コンソールに、データベース内で特定の脆弱性を検索できるボックスが表示されます。
注意: 本アプリケーションは、スキャンするシステムに関連する脆弱性のみをチェックします。互換性のないシステムに対するチェックは、具体的に選択されていたとしても、行われません。
当該ボックスに、検索基準に一致する脆弱性の名前の表が表示されます。
コンソールに検索結果が表示されます。
選択した脆弱性が、脆弱性のチェックページに表示されます。
特定の脆弱性のチェックが、複数のタイプに含まれる場合があります。同一チェックを含む2つの脆弱性タイプを有効化する場合、そのチェックの実行は1回のみとなります。
スキャンテンプレートに含まれる脆弱性が少ないほど、スキャンの完了が早くなります。エクスプロイト・テストが実際にどれくらい時間がかかるか、正確に測定することは困難です。特定のチェックは、他のものより時間がかかる場合があります。
以下にいくつか例を挙げてみます:
チェックを無効にし過ぎて、または必要不可欠なチェックを無効にして、精度を犠牲にしないよう注意を払ってください。可能なときはいつでも集中的に脆弱性のチェックを選択してください。ウェブアセットのみをスキャンする場合は、ウェブ関連の脆弱性のチェックを有効化します。パッチ検証スキャンを実行する場合は、ホットフィックス・チェックを有効化します。
本アプリケーションは、関連するチェックを1つのスキャンパスにグループ化することにより、スキャン時間を最短化するよう設計されています。これにより、オープン接続の数および接続がオープンのままとなる間隔が制限されます。ソフトウェアバージョン番号にのみ依存するチェックについては、バージョン情報の抽出が済んだら、ターゲットシステムとのさらなる交信は必要ありません。
カスタム脆弱性のチェックを作成した場合、そのカスタム脆弱性コンテンツのプラグインを利用して、これらのチェックをスキャンテンプレート内で確実に選択できるようにします。本プロセスは、チェックコンテンツをセキュリティ・コンソール・インストールのディレクトリへとコピーすることで行えます。
Linuxでは、当該ロケーションはインストールパスのルート内のplugins/java/1/CustomScanner/1ディレクトリにあります。例:
[installation_directory]/plugins/java/1/CustomScanner/1
Windowsでは、当該ロケーションはインストールパスのルート内のplugins\java\1\CustomScanner\1ディレクトリにあります。例:
[installation_directory]\plugins\java\1\CustomScanner\1
ファイルをコピーし終わったら、スキャンテンプレート設定内でそのチェックを選択して即座に利用可能です。