Talk Proposal Submission
If you are interested in attending this talk at PyCon JP 2017, please use the social media share buttons below. We will consider the popularity of the proposals when making our selection.
poster
Security Testing Suite ~機械学習濃いめ、脆弱性診断ビッグデータ増し増し、脆弱性自動炙り出しチャーシューを添えて~(ja)
Speakers
Isao Takaesu , Tomoyuki Kudo , Toshitsugu Yoneyama , Masafumi Masuya
Audience level:
Novice
Category:
Industry Uses
Description
All Pythonのセキュリティテスト自動化ツール群(Suite)を展示。
本Suiteは、サーバ・N/W機器やWebアプリ等のシステムに潜む脆弱性を”自動的に炙り出す”ことができます。従来の自動化ツールとは異なり、職人エンジニアのナレッジや膨大なテストログ(ビッグデータ)を機械学習を使って学習することで、職人エンジニアと同じようにインテリジェンスなセキュリティテストを自動的に実施します。
Objectives
Abstract
**Python + 機械学習 + ビッグデータ**を駆使したセキュリティテスト自動化ツール群の展示。
セキュリティテストは特殊な技術と経験が必要になるため、人材の確保が難しい状況です。
本ツール群は、この**セキュリティテストを自動化**するものであり、職人エンジニアの濃いめのナレッジや膨大なテストログ(ビッグデータ)を機械学習で増し増し学習することで、**インテリジェンスなセキュリティテストを自動的**に実施します。
今回紹介するのは、Suite内の以下の二つを予定しています!
-**PyPH**:サ ーバやN/W機器に潜む脆弱性を多角的な視点で分析
サーバやN/W機器内で稼働している材料(OS・ミドルウエア・フレームワーク等)の製品名とバージョン情報を、様々なトッピング(Google Custom Search、HTTPレスポンス解析、細工リクエストに対するサーバの挙動等)を用いて特定し、それらに対応する脆弱性情報(CVE)と脆弱性を確認するための検証手法(PoC:Proof of Concept)をリストアップします。そして、最適なPoCを選択して自動的に実行することもできます。
-**PyRecommender**:Webアプリに対する攻撃手法のレコメンドエンジン
Webアプリをクローリングしながら脆弱性の疑いのある箇所を探します。そして、疑いのある個所が見つかった場合、脆弱性の有無を確認するための検査値を人間(エンジニア)にレコメンドします。エンジニアはレコメンドされた検査値を使用するだけで、簡単に脆弱性の有無を確認することができます。
本ツール群はAll Pythonで開発されています。
**ご質問やスープ割をご希望の方はお気軽にお声掛けください!!**