QA@IT

セキュリティ製品のシグネチャ更新について

116 PV

様々な製品の脆弱性って日々公表されておりますが、セキュリティ製品を提供するベンダはどのように対応しているのでしょうか。セキュリティ製品ベンダって脆弱性情報を公表前に得ていて、世間一般に知られる前にその脆弱性に対応できるシグネチャを作成するのでしょうか。

個人的には全ての脆弱性に対応するのは無理だと思うので、元々あるシグネチャでCVE○○に関する攻撃を防ぐことができましたーとか、できるようになりましたとか、後追いなのではないかと思っています。。

あと、いくら開発元から脆弱性情報が出てもセキュリティ製品ベンダとしては攻撃方法がわからないと、自社の製品がブロックできるかどうかは、実際に攻撃を受けてみないとわからないということで良いのでしょうか。

  • 「セキュリティ製品を提供するベンダ」の"セキュリティ製品"とは、どのような製品をイメージされていますか?
    アプリケーションファイアウォール?クライアントにインストールするアンチウィルス?
    -
  • 返信が遅くなり大変申し訳ございません。
    "セキュリティ製品"とはWAFやIPSを指しています。
    アンチウイルスは製品個別の脆弱性には対応しないというイメージなのですが、そんなことも無いのでしょうか?
    -

回答

"セキュリティ製品"とはWAFやIPSを指しているとの事でしたので、Akamai(WAF)の下記情報が参考になると思います。

アカマイ・テクノロジーズ合同会社(以下「アカマイ」)は、自社のサービスを通して収集される攻撃情報に関するビッグデータをほぼリアルタイムに解析し、ウェブへのサイバー攻撃防御に反映する機能「Client Reputation (以下CR)」により、Apache Struts2の新たな脆弱性を狙った攻撃を、本脆弱性の公開前からブロックしていたことを明らかにしました。


  • セキュリティ製品を提供するベンダはどのように対応しているのでしょうか。セキュリティ製品ベンダって脆弱性情報を公表前に得ていて、世間一般に知られる前にその脆弱性に対応できるシグネチャを作成するのでしょうか。

    • 対象のソフトウェアや脆弱性発見者によると思いますが、上記URLを読むとApache Struts2の脆弱性(CVE-2017-5638)については事前に情報を得ることも、事前にシグネチャを作成することも無かったようです。
  • 個人的には全ての脆弱性に対応するのは無理だと思うので、元々あるシグネチャでCVE○○に関する攻撃を防ぐことができましたーとか、できるようになりましたとか、後追いなのではないかと思っています。。

    • ご認識の通り手動でシグネチャを作成するのはどうしても後追いになるので、上記URLのようにその他様々な情報をもとに対策をしているようです。
  • あと、いくら開発元から脆弱性情報が出てもセキュリティ製品ベンダとしては攻撃方法がわからないと、自社の製品がブロックできるかどうかは、実際に攻撃を受けてみないとわからないということで良いのでしょうか。

    • セキュリティ製品ベンダが脆弱性情報から攻撃方法を読み取れない事は無いと思うので、そのような事も無いかと思います。
編集 履歴 (0)
  • 返信が遅れたにも関わらず、丁寧にご回答いただきありがとうございました。
    攻撃者とセキュリティベンダーの熾烈な戦いな日夜繰り広げられているのですね。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。