SSVCにおける Human Impact 決定方法例 | Vuls Blog
概要SSVC で Deployer Tree を使う際に、HUMAN IMPACT の設定に戸惑うことが多いと思います。SSVC の定義上でも、複雑なので詳細が避けられているように見えます。 また、実運用上でも「脆弱性ひとつずつ」HUMAN IMPACT を定義することは難しく(脆弱性毎に定義をすることになる)、何らかの標準化が必要となります。 本記事では、SSVC の定義上での HUMAN IMPACT について確認し、実運用上のHUMAN IMPACTの定義で利用できそうなフレームワークをご紹介します。 Exective summary本来的に HumanImpact は、Situated Safety Impact と Mission Impact をもとに考えるのが良いと思われています。 しかしながら現時点の SSVC の考え方では、実装の簡素化のため、Mission Impact
Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ | Vuls Blog
2024年8月20日に開催された「Vuls祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜」のセッション「「残業? 来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ 」の要点を書き起こた記事です。 YouTubeアーカイブはこちらです。 会場への質問 先日IPAの中核人材育成プログラム 卒業プロジェクトから、「脆弱性対応におけるリスク評価手法のまとめ」という資料が公開されました。この資料は本日紹介するSSVCやEPSS, KEVなどが日本語でわかりやすく説明されており、またトリアージについていくつかの方法が記載されているので一読をおすすめしますが、この中でこの図の通り60社への企業にアンケートを取っています。 意外におもったのが、CVSSの環境評価基準を60社中15社も使っている点です。私は2016年にVulsを開発して以降脆弱性管理をテーマに活動
CERT Coordination Center
Vulnerability Notes Database The Vulnerability Notes Database provides information about software vulnerabilities. Vulnerability notes include summaries, technical details, remediation information, and lists of affected vendors. Most vulnerability notes are the result of private coordination and disclosure efforts. For more comprehensive coverage of public vulnerability reports, consider the Natio
JPCERT コーディネーションセンター Weekly Report
Weekly Reportとは Weekly Reportとは、JPCERT/CCが得たセキュリティ関連情報のうち、JPCERT/CCが重要と判断したものを抜粋してまとめたものです。多様なセキュリティ情報源や膨大なセキュリティ情報の量に対応し、情報を取捨選択する際の目安となるべく、JPCERT/CCが整理した情報を日本語で紹介するものです。 公開日は毎週水曜日となります。ただし、月曜から水曜の間に祝祭日が含まれる場合やGW、年末年始の時期はこの限りではありません。 掲載する情報につきましては、「紹介するセキュリティ関連情報の選定基準」をご覧ください。 Weekly ReportはWebページでの公開のほか、メーリングリストを通じて発行されます。また、過去に公開したWeekly Reportやひとくちメモはライブラリにて公開しております。
脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://vulncheck.com/api?index=vulncheck-kev
VulnCheck KEV - VulnCheck
Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ | ドクセル
API Overview
VulnCheck KEV
GitHub - myseq/vcheck-cli: A cmdline tool for VulnCheck KEV.
OWASP RISK RATING CALCULATOR
GitHub - vuls-saas/SSVC
Prioritizing vulnerability response: A stakeholder-specific vulnerability categorization (version 2.0)
A Deep Dive into KEV
GitHub - hogehuga/threatWatchDog
Storm⚡️Watch
SSVC On Demand Training
CISA Stakeholder-Specific Vulnerability Categorization Guide
Cyber Threat Intel & Threat Hunting
