OWASP ModSecurity CRS Version 3.0 rc1について — | サイオスOSS | サイオステクノロジー

OWASP ModSecurity CRS Version 3.0 rc1について
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
今回は、OWASP ModSecurity CRS Version 3.0が8月にRC1がリリースされたので、ModSecurity CRS Version 3.0について、簡単に見てみます。
OWASP ModSecurity CRS(Core Rule Set)とは
広く知られているように、ModSecurityはOSSのWeb Application Firewall(WAF)です。現在は、TrustwaveのSpiderLabsが開発を行っています。
このModSecurityは色々なhttpdサーバと組み合わせて使う事が可能で、既にこのセキュリティブログで紹介したように、nginxとModSecurityを組み合わせてWAFを作ることも可能です。
このModSecurityでは、攻撃検知のためのルールセットが用意されており、それらを有効・無効・修正することで検知を行ったり精度を高めていったりします。この準備された基本となるルールセットは「Core Rule Set (CRS)」と呼ばれており、現在はOWASPがCRSをメンテナンスしています。
このCRSですが、現在のバージョンは2.x(2016/03/09に2.9.1がリリースされています。)となっています。
このCRSの3.0 RC1が2016/08/16にリリースされたため、この記事では新しい機能などの差分を見ていきたいと思います。
OWASP Core Rule Set(CRS) v3.0について
CRS v3.0 RC1での改善点で目立った所が、上述のRC1のサイトに載っていますので、主だった所を説明します。
ModSecurityの代表的な機能(libinjectionなど)を利用できるようになった
libinjectionは、Black Hat USA 2012で紹介された、SQLi攻撃の迅速で正確な検知を行えるもので、mod_securityやirobee, その他ハニーポットや様々なWAFで動作しています。CRS v3.0からは、これも利用できるようになっています。
新たに、false positiveを減らすために偏執的レベルで改良を行った
CRSをこれまで以上に有効にするための新しい防御
現在の多くのルールで有効性の改善
より多くのドキュメントと、直感的なファイルレイアウト
多くの一般的なfalse positiveの軽減
サンプリングモードなどの、設定オプションの追加
テスト・サポートスクリプトの追加
アノマリーベースの保護をデフォルトに
パフォーマンスについて
新しいバージョンのリリースということで、パフォーマンスがどうなるかという点も気になる所です。Trustwaveのブログでも、パフォーマンス測定の結果が公開されていますが、v2.2.9に比べてv3.0はJMeterで計測した所、パフォーマンスがやや悪くなっています。
これに関しては、現在OWASPの方でも問題点の把握などに取り組んでおり、現時点ではRC1ということもあるため、正式リリースまでには改善されるものと思われます。
まとめ
ModSecurity CRS version 3.0では、色々な改良点が加えられています。
これを機に、WAFのテストと導入を検討してみるのもいいでしょう。
また、実際にはWAFは導入後のメンテナンスと運用が重要になってきます。
これらに関しても、別の機会でご紹介したいと思います。
[セミナー告知]
9/14に「OSSセキュリティナイター vol.2」と題して、セキュリティのセミナーを行います。
この回では「まだまだ続く急増するランサムウェア その脅威とOSSの対策」として、ランサムウェアのリスクとOSSでの対策方法などをお話します。
また、LinuxFoundationでのセキュリティに対する取り組みや、Intel Security (マカフィー株式会社)による脆弱性リスク管理も併せてご紹介します。
http://connpass.com/event/37360/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。
- セキュリティ分野別一覧
- 最新の記事
- Linux Kernel 等の脆弱性(CVE-2018-8897, CVE-2018-1087) 2018年05月09日
- 389-ds-baseの脆弱性(CVE-2018-1089) 2018年05月09日
- wgetの脆弱性(CVE-2018-0494) 2018年05月07日
- Ansible Towerの脆弱性(CVE-2018-1101) 2018年05月03日
- python-paramikoの脆弱性(CVE-2018-7750) 2018年05月03日
- OpenShiftの脆弱性(CVE-2018-1102) 2018年05月02日
- PHPの複数の脆弱性(CVE-2018-10546, CVE-2018-10547, CVE-2018-10548, CVE-2018-10549) 2018年05月02日
- Linux Kernelの脆弱性(CVE-2018-1000199) 2018年05月02日
- GlusterFSサーバの脆弱性(CVE-2018-1112) 2018年04月27日
- nmapの脆弱性(CVE-2018-1000161) 2018年04月25日
- PackageKitの脆弱性(CVE-2018-1106) 2018年04月25日
- phpMyAdminの脆弱性(CVE-2018-10188) 2018年04月25日
- Linux Kernelに複数の脆弱性(CVE-2018-10322, CVE-2018-10323) 2018年04月25日
- Linux Kernelの脆弱性(CVE-2018-8781) 2018年04月25日
- GlusterFSの脆弱性(CVE-2018-1088) 2018年04月19日
- MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月19日
- Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月18日
- Linux Kernelの脆弱性 (CVE-2018-10124) 2018年04月17日
- OpenSSLの脆弱性情報 ( CVE-2018-0737 : Low) 2018年04月17日
- GNU Patchの脆弱性(CVE-2018-1000156) 2018年04月08日
フォローしませんか?