More than 5 years have passed since last update.

SCAP on Windows

Last updated at 2018-06-03Posted at 2018-06-03

1 / 24

某所でSCAPの話をしたので、概要を置いておきます。

WidnowsでSCAPを使う場合、OpenSCAPをクロスコンパイルしよう
OVALスキャンだけであれば、既存のツールも使えないことはない。

概要

SCAPとは
WindowsでのSCAP適用
利用する
終わりに

Winodwsではどこまで(OSSで)SCAPは使えるのか、もっと流行ってよ！、という話です。

SCAPとは

SCAP: Security Content Automation Protocol

2002年の連邦セキュリティマネジメント法(FISMA)で、「全情報システムにセキュリティ要求事項を反映する」ことが必須になる
- これを自動化するために開発された仕組み
NISTで開発された、情報セキュリティ対策の 自動化と標準のための手順
- ソフトウェアの欠陥、製品名、構成の欠陥の列挙
- システムを検査し、脆弱性の有無を判別
- 検査結果を評価する仕組み

SCAPとは：標準仕様

SCAPは 6つの標準仕様 から構成される。

CVE: 共通脆弱性識別子
CCE: 共通セキュリティ設定一覧
CPE: 共通プラットフォーム一覧
CVSS: 共通脆弱性評価システム
XCCDF: 拡張可能な設定チェックリスト記述形式
OVAL: 公開された脆弱性と評価のための言語

SCAPとは：例)CVE

CVE

CVE-2017-0144
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
  - Description
    - 攻撃者が特別に細工されたメッセージを Microsoft Server Message Block 1.0 (SMBv1) サーバーに送信すると、リモートでコードが実行される
- Wannacry で使われた脆弱性
CVE-2014-0160
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-0160
  - Descripton
    - The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.
- OpenSSLのHeartBreed

SCAPとは：例)CVSS

CVSS

CVE-2017-0144
- https://nvd.nist.gov/vuln/detail/CVE-2017-0144
  - CVSS v3 Base Score: 8.1 HIGH
  - CVSS v3 Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2014-0160
- https://nvd.nist.gov/vuln/detail/CVE-2014-0160
  - CVSS v2 Base Score: 5.0 MEDIUM
  - CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

備考;Vector(CVSS v3)

AV: Attack Vector
AC: Attack Complexity
PR: Privileges Required
UI: User Interaction
S: Scope
C: Confidentiality
I: Integrity
A: Availability

SCAPとは：例)CPE

CPE

Windows Server 2012 R2 Standard
- cpe:2.3:o:microsoft:windows_server_2012:r2:-:-:*:standard:*:*:*
Microsoft Excel 2016 for Mac
- cpe:2.3:a:microsoft:excel_for_mac:2016:*:*:*:*:*:*:*
Oracle Java Runtime Environment 8 update 74
- cpe:2.3:a:oracl++8.0:update_74:*:*:*:*:*:*
YAMAHA RTX1200 Firmware 10.01.29
- cpe:2.3:o:yamaha:rtx1200:10.01.29:*:*:*:*:*:*:*

詳細: https://www.ipa.go.jp/security/vuln/CPE.html

SCAPとは：全体像

; OVAL書き忘れた…。唐突に出てきたSSGは下記

セキュリティポリシーを用意する
- SSG(SCAP Security Guide)や、SSGを編集したXCCDFを用意する
  - パスワード文字数、パスワード有効期限、等の具体的なセキュリティ設定を記述
  - SSGには、PCIDSS向けなどの、各用途向けのものが用意されている
OVAL情報を用意する
用意した情報でスキャンする
- 用意したポリシーをSCAP Interpriterに渡し、スキャンする

SCAPとは：実装

SCAPを用いて、OSのシステム設定や脆弱性の状況を検査できるツールが必要

オープンソースとしては、OpenSCAPがある
OVALやCPEやCVE情報を利用するツールは多々ある
- OpenVAS, Vulls, etc..

大半がLinux用で、Windows用がない！

WSUSやグループポリシーがあるから不要？

WindowsでのSCAP適用

WindowsでもSCAPを使いたい！

OpenSCAPは、Windows用にコンパイルできる
- が、バイナリでは配布していない
OVAL定義の評価をするものは、少しある
- OVALdi
  - BSD License?、バイナリ提供あり
- jOVLAL
  - LGPLv2.1、makeする必要あり
  - OpenJDK-11で動かず…

かんたんに使いたいから、とりあえず、ovaldi使います。

利用してみる

利用する

OVALdi

https://www.decalage.info/en/ovaldi
- OVALdi, also named the OVAL Interpreter, is an open-source tool developed by MITRE to demonstrate how the OVAL language may be used to scan a computer for vulnerabilities.

利用する：注意点

OVAL情報を元に、ローカルのWindowsサーバを検査する
- C:> ovaldi.exe -m -o OVAL_FILE.xml
- 5-10分でスキャン完了し、results.htmlが生成される
利用上の注意
- 英語以外のWindowsは、英語版と同様にサポートされていないようだ。
- 少し古いOVAL定義しか使えない(最新はv5.11.2だが、v5.10しか使えない)

利用する：概要

OVALdiを用意する
- https://www.decalage.info/en/ovaldi
- MSVCP100.dllが必要なので、別途入れておく
  - https://www.microsoft.com/ja-jp/download/details.aspx?id=14632
最新の 対象のWindows用の OVAL情報を用意する
- https://oval.cisecurity.org/repository/download
OVALdiに、OVALを渡し、スキャンする
- C:> ovaldi.exe -m -o XMLFILE.xml
結果が HTML/XML で出力される

利用する：ダウンロード

OVALdiをダウンロードし、インストールする
- C:\Program Files\OVAL\ovaldi-5.10.1.7-x64 等に解凍される
対象のOSバージョンのXMLをダウンロードする
- [By Platform][Microsoft]以下のプラットフォームを選択する
  - microsoft windows server2012 r2
  - → microsoft_windows_server_2012_r2.xml

※OVALdiは古いOVALスキーマしか対応していません。最新のv5.11.2ではなく、v5.10のOVALファイルをダウンロードすること

利用する：検査結果

OVALでのスキャン結果が、HTMLとXMLで出力される

内容を見ると、Oracle JREやAdobe Acrobatも検査している
Microsoft製品でよくあるKBベースの表示ではなく、CVEベースの表示

利用する：KBとCVE

セキュリティ更新プログラムは、KBと呼ばれる単位で配布されている

KB番号が振られたセキュリティ更新プログラムは、複数のCVE修正を含むことが多い
どのCVEがどのKBで修正されたのか、実際のところよくわからない
- とりあえずセキュリティ更新プログラムを当てておけ、運用

利用する：KBの例

2018 年 5 月 9 日 - KB4103725 (マンスリーロールアップ)

https://support.microsoft.com/help/4103725
- どのCVEに該当する脆弱性が修正されたのか、ここではわからない
- 「更新プログラム 4103725 のファイル情報」に更新されたファイルの詳細がある
  - ファイル名、バージョン、作成日、等
「セキュリティ更新プログラムガイド」のAPIをたたいて取得するのが、現状のスタイル
- https://portal.msrc.microsoft.com/ja-jp/security-guidance

利用する

WSUS運用と比べて、何が変わるのか

よさそうな点
- Linux等の混在環境の場合、CVEベースで残存脆弱性を管理できる
- Oracle JRE, Adobe Acrobat等も検知できる
- WSUS/WindowsUpdate 以外の脆弱性管理(セカンドオピニオン的な)
あまりよくなさそうな点
- どのKBの更新プログラムが適用されていないのか、はわからない
  - 結局はWSUS/WindowsUpdateへ依存
- OVALdi、メンテンされてなさそう
  - 2014年以降、更新されていない。OVAL v5.11系に対応していない。英語版Windows以外は動作が怪しい可能性がある(公式によると)。

終わりに

とはいえ更新プログラムはKB単位だから、更新適用管理という意味ではそれほど優位ではない。
OVAL interpreter、OVALだけでなく XCCDFをきちんと解釈できるものがあれば、セキュリティポリシーの統合的確認がやりやすいはず。

参考

IPA: セキュリティ設定共通化手順SCAP概説
- https://www.ipa.go.jp/security/vuln/SCAP.html
IPA: 脆弱性対策に向けた機械処理基盤SCAPと標準化動向SCAPと標準化動(2010/01)
- https://www.ipa.go.jp/files/000013454.pdf
IBM: SCAP について学習する
- https://www.ibm.com/support/knowledgecenter/ja/SSARLZ_9.0.0/com.ibm.tivoli.tem.doc_9.0/Security_and_Compliance/SCM_Users_Guide/c_learning_about_scap.html

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up