並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 11 件 / 11件

新着順 人気順

KEVの検索結果1 - 11 件 / 11件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

KEVに関するエントリは11件あります。 セキュリティsecurity軍事 などが関連タグです。 人気エントリには 『NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?』などがあります。
  • NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?

    米国国立標準技術研究所(NIST)は2025年5月19日(現地時間)、悪用される可能性のある脆弱(ぜいじゃく)性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」(LEV)を提案するホワイトペーパー(CSWP 41)を公開した。 LEVはソフトウェア/ハードウェアにおける数多くの脆弱性の中から、実際に悪用される可能性が高いものを特定し、修正対応の優先順位を決定するための補助指標となる。NISTおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の研究者が共同で執筆したこの文書では、既存の「Exploit Prediction Scoring System」(EPSS)および「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)の限

      NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
    • KEV・EPSS で脆弱性トリアージの緊急度を毎日見直す — 悪用シグナルで優先度を自動更新する設計

      CVSS は静的だが、緊急度は毎日動く CVSS スコアは脆弱性の「深刻度」を公開時点で固定する。だが運用で本当に知りたいのは「今この瞬間、どれだけ急いで直すべきか」だ。これは時間とともに動く。 KEV(CISA の Known Exploited Vulnerabilities カタログ)と EPSS(Exploit Prediction Scoring System)を毎日取り込めば、悪用の実態と確率を緊急度に反映できる。先週は low だった CVE が、公開された悪用コードの出た翌日に high へ浮上する——その変化を自動で拾う設計を示す。 この再計算は数値とフラグの照合で、決定的処理だ。AI にはやらせない。AI が引き取るのは前作で設計した「自社にとって効くか」の文脈推論だけに保つ。 なぜ CVSS だけでは緊急度が決まらないか 前作(CVE が自社に効くかを Claude

        KEV・EPSS で脆弱性トリアージの緊急度を毎日見直す — 悪用シグナルで優先度を自動更新する設計
      • CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita

        最近、対応すべき脆弱性の洗い出しに、米国の国土安全保障省 (DHS) のサイバーセキュリティ インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、通称 CISA)が公開している、悪用された脆弱性のリスト (Known Exploited Vulenraiblites catalog, 通称 KEV) を活用するのをよく目にするようになってきました。 今回は Microsoft セキュリティソリューションのアドベントカレンダーの記事という事で、KEV が話題になってる昨今、Microsoft のソリューションで、どうやって KEV対応を確認するんじゃ~ ということを書いてみます。 Known Exploited Vulenrabilites (KEV) catalog とは? Known Exploited Vulenrabi

          CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita
        • 塩川鉄也 on Twitter: "航空自衛隊入間基地周辺でのブルーインパルスによるカラースモーク被害について、防衛省に要請。 塗料が付着して取れないという被害が相次ぎ、これまでに狭山・所沢地域の住民を中心に、200件の問い合わせ。車の被害は800台、家屋も数件。「… https://t.co/KeV56qJuLA"

          航空自衛隊入間基地周辺でのブルーインパルスによるカラースモーク被害について、防衛省に要請。 塗料が付着して取れないという被害が相次ぎ、これまでに狭山・所沢地域の住民を中心に、200件の問い合わせ。車の被害は800台、家屋も数件。「… https://t.co/KeV56qJuLA

            塩川鉄也 on Twitter: "航空自衛隊入間基地周辺でのブルーインパルスによるカラースモーク被害について、防衛省に要請。 塗料が付着して取れないという被害が相次ぎ、これまでに狭山・所沢地域の住民を中心に、200件の問い合わせ。車の被害は800台、家屋も数件。「… https://t.co/KeV56qJuLA"
          • 脆弱性対応とKnown Exploited Vulnerability Catalog(KEV Catalog)の考え方  |IssueHunt

            世界中のホワイトハッカーたちが、お客様のプロダクトを守ります。成果報酬型でコストパフォーマンス抜群の脆弱性診断。運用サポート付き国産バグバウンティ・プラットフォーム「IssueHunt」が、セキュリティ対策をサポートします。

              脆弱性対応とKnown Exploited Vulnerability Catalog(KEV Catalog)の考え方  |IssueHunt
            • CISA KEV Viewer

              検索 条件クリア 脆弱性種別 影響対象ジャンル ベンダ/プロジェクト CWE(番号・名称) ランサムウェア利用 対応期限 3日以内 4〜14日以内 15〜21日以内 22〜45日以内 46日以上 不明 表示件数 CSV出力 脆弱性名 / CVE ベンダ/製品 / 影響対象 KEV追加日 / 対応期限 ランサムウェア利用 必要な対応 備考

              • 脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog)の解説

                NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本です。本記事では、米国の政府機関CISA(Cybersecurity&Infrastructure Security Agency)が公開しているKnown Exploited Vulnerabilities catalog [1](以降KEV)について解説します。

                  脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog)の解説
                • 脅威インテリジェンス×LLMで「使える」脆弱性管理CIを作る — SBOMからKEV優先度付け、AIトリアージまで

                  脆弱性スキャンの結果をそのまま並べても、数が多すぎて誰も見ません。そこに「実際に攻撃されているか」という脅威インテリジェンス(KEV・EPSS)で優先度を付け、さらにLLMで一次トリアージまで回すと、ようやく現場で使えるCIになります。本稿では、SBOM生成 → スキャン → 脅威インテリジェンスでの優先度付け → AIトリアージ → PRコメント、という流れをGitHub Actionsの無料枠で組み、実際に動かしてみます。コマンドと出力はすべて手元で実行・確認済みで、サンプル一式はそのままcloneして使えます。 サンプル一式 TL;DR コミットごとにCycloneDX形式のSBOMを自動生成し、成果物として残す そのSBOMや依存定義を脆弱性スキャンにかけ、結果をPRに返す 見つかったCVEを脅威インテリジェンス(KEV・EPSS)とCVSSで重み付けし、今すぐ対応すべきものだけを

                    脅威インテリジェンス×LLMで「使える」脆弱性管理CIを作る — SBOMからKEV優先度付け、AIトリアージまで
                  • Commvault脆弱性CVE-2025-34028:最大深刻度のRCE脆弱性がCISA KEVに追加、緊急対応が必要

                    Commvault脆弱性CVE-2025-34028:最大深刻度のRCE脆弱性がCISA KEVに追加、緊急対応が必要 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Commvault Command Centerに影響を与える最大深刻度のセキュリティ脆弱性(CVE-2025-34028)を、公開から1週間強で既知の悪用される脆弱性(KEV)カタログに追加した。 この脆弱性はCVSSスコア10.0の最大深刻度を持つパストラバーサルのバグで、バージョン11.38.0から11.38.19までの11.38 Innovation Releaseに影響する。この問題は2025年4月10日にリリースされたバージョン11.38.20と11.38.25で修正された。 サイバーセキュリティ企業watchTowr Labsの研究者Sonny Macdonaldが2025年4月7日

                    • CISA新指令BOD 26-04、KEV×完全制御は3日で対応─AI時代の脆弱性管理とは

                      「すべての脆弱性を平等に直す時代は終わった」——2026年6月10日に米CISAが発した指令BOD 26-04は、わずか1週間で文書から運用へと姿を変えました。発出後の6月15日・16日に追加された脆弱性には、早くも「BOD 26-04とフォレンジック・トリアージ要件に従って対応せよ」という指示が組み込まれ、最短3日という新ルールが現実に動き始めています。深刻度スコア(CVSS)依存の終わりを告げるこの転換は、なぜ今これほど急がれるのか。本記事では、指令の中身と、AIが攻撃を加速させる時代における意味を読み解きます。 CISAは2026年6月10日、拘束的運用指令BOD 26-04「リスクに基づくセキュリティ更新の優先順位付け」を発出しました。本指令は連邦民間行政機関(FCEB)の情報システムに適用されます。資産の露出、KEVステータス、悪用の自動化、技術的影響の4つの変数に基づき、脆弱性

                        CISA新指令BOD 26-04、KEV×完全制御は3日で対応─AI時代の脆弱性管理とは
                      • CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC | FutureVuls Blog

                        Home Blog CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要 EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。 これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す 当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない 当該プロ

                          CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC | FutureVuls Blog
                        1

                        新着記事