ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

その脅威!Orca Security は対応できますか?

こんにちは、Orca Security 担当の尾谷です。

少し前の話ですが、2021年の末に Apache Log4j の脅威が見つかりました。CVSS (共通脆弱性評価システム) で脅威の 10.0 と評価され、いろんなサイトでまとめ記事が公開されました。 そのあとは、2022 年の春に Spring Framework の脆弱性が見つかりセキュリティ業界では非常に話題になりました。

今日は、Orca Security がその脅威に対応しているか?判断する方法をご紹介させていただきます。

[更新] Discovery では、スキャンしたアカウントにて検知していない脅威も 一部 候補として表示されます。詳細は下部で解説しております。

トレンドの脅威を検知しているかどうかはひと目でわかる

トレンドの脅威に関しては News で確認ができます。

From the news に表示されているアイテム (画像では 31 アイテムが表示されています。) に関しては、スキャンしたアカウントにてそのアラートを検知しているかどうかをひと目で判断できるように可視化されます。

例えば、以下は Azure ストレージアカウントキーを悪用して複数のストレージにアクセスができてしまう脅威を Orca Security が発見していますが、この問題が発生していない場合は「You are safe!」が表示されます。

逆に、2023年4月30日に EOL (製品保守期限切れ) を迎える Ubuntu 18.04 にて 25 のアラートを検知していることが分かります。

ダッシュボードにある From the news のブロックのどれかをクリックすると、

右側からレイヤーがスライドして詳細が表示されます。

See in Alerts をクリックすると、全アラートにアクセスできます。

特定の脅威を検知することができるかは完全に判断できない

現段階で、Orca Security は、スキャンしたアカウントにて検知した脅威のみが表示され、特定の脅威を検知する機能があるかどうかを判断するための検索機能はなく、データベースも公開されていません。
[更新] Discovery では、スキャンしたアカウントにて検知していない脅威も 一部 候補として表示されます。詳細は下部で解説しております。

そのため、特定の脅威を検知することができるかを判断するためには、都度問い合わせが必要です

例えば、Apache Log4j の脆弱性は CVE-2021-44228 で公開されており、CVE-2021-45046、CVE-2021-45105 といった関連の脅威も発表されていますが、これらの検知機能が備わっているかどうかは明記されていませんが、環境で検知している場合、以下の手順で判断できます。

  1. ナビゲーションペインにある Vulnerabirities (バルネラビリティ)をクリックします。
  2. 左側の CVE の検索ボックスに該当の CVE 番号を入力します。
  3. 環境で検知している場合は、項目が表示されます。

[候補] Discovery の候補を確認する

[更新] Orca Security 社より、Discovery を利用するとスキャンしたアカウントにて検知していない脅威に関しても、一部 候補として表示されることを教えていただきました。

弊社検証環境にて、昨年春に発表された Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)を例に調べてみます。
弊社の環境では、本脆弱性は検知されていません。
そのため、Vulnerabilities で CVE を検索してもヒットしません。

しかし、Discovery にて [Vulnerability] の Query にチェックを入れ、

CVE の ID で Select parameter に CVE-2022-22965 を入力して、5 秒ほど待つと候補が表示されます。

Discovery でも表示されない場合

上記の手順で表示されない場合は、スキャンがまだ終わっていないか、Orca Security がその脆弱性に対応していないか、アカウント内で検知しなかったかどれかになります。
このうち、スキャンの完了状況は、別途、こちらの ブログ記事にてご紹介しています。

それ以外の場合は、大変お手数ですが Orca Security に問い合わせをお願いします。

弊社代理店経由での確認も可能ですので、お気軽にご相談ください。