サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
vuls.biz
2024年7月12日に開催された「製造業における脆弱性管理の課題と対応方法@大阪」セミナーの「SSVC Supplier Treeの概要と自動化」セッションのスライドです。 米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC(Stakeholder-Specific Vulnerability Categorization)の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各De
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。 これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す 当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない 当該プロジェクトは システム固
皆様こんにちは。ウィスキーとサウナと四谷たけださんの牡蠣バター焼きをこよなく愛するVulsの神戸です。 突然ですが君たちの脆弱性調査は間違っている(かも)普段こんな手順で脆弱性調査をしていませんか。 JVNやNVD, JPCERT/CCなどで脆弱性情報を収集している 危険な脆弱性が公開されたら社内に周知して運用者に影響調査を指示する 運用者はrpmやdpkgコマンドで該当ソフトウェアのバージョンを調べる NVD記載のバージョンと、コマンドで取得したバージョンを比較して判断する もしこの方法でやっているという方はバージョン比較の判断方法を間違えており、過去に調査済みの脆弱性がシステムに残存している可能性が高いので、ぜひ本記事をお読みください。 本記事では正しい調査方法と、Vuls内部で実現している検知処理について紹介します。 君はバックポートを知っているかバグのないソフトウェアは存在しません
セキュリティは「コスト」ではなく「投資」脆弱性対応はサーバーシステムの運用に必要なオペレーションですが、FutureVulsを導入することでより効率的な運用ができ、我々として本来注力すべきゲーム開発に専念できる体制になったと思います。 運用のレベルが1つ上がりましたFutureVuls導入によって対策にリソースが割けるようになり運用のレベルが1つ上がりました。脆弱性管理は世界的にも当然の流れ。FutureVulsはサイバーセキュリティに携わる方々に是非使ってもらいたい。
このページを最初にブックマークしてみませんか?
『全社数千台以上のサーバやアプリケーションのSBOMと脆弱性を少人数で管理できる脆...』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く