ssvcの検索結果1 - 9 件 / 9件

• あとで読む

  SSVCを参考にした脆弱性管理について本気出して考えてみている（進行中） - ペネトレーションしのべくん

  • 39 users
  • shinobe179.hatenablog.com
  • テクノロジー
  • 2022/03/07

  はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩んでいる人と傷を舐め合いたい あわよくば有識者の目に止まってご意見を賜りたい（辛辣なのはイヤ） SSVCとは？ Stakeholder-Specific Vulnerability Categolizationの略。CERT/CCが考案した脆弱性管理手法です。CVSSが「脆弱性の評価手法」であることに対して、SSVCは「脆弱性対応方針の判断手法」であると言えます。 たぶん今一番分かりやすい解説ページ。PWCだいしゅき！ www.pwc.com 実際の資料は、CERT/CCのGitHubリ

  • ssvc
  • CVSS
  • security
  • vulnerability
  • threat
  • セキュリティ
  • あとで読む

  
• あとで読む

  SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理

  • 27 users
  • www.pwc.com
  • テクノロジー
  • 2022/01/19

  SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理 セキュリティ上の脆弱性は日々新たに発見、報告、公開されており、年々そのペースは増加しています。企業は自社のIT環境、工場・設備などのOT環境、自社製品のセキュリティ対策に取り組むにあたり、こうした脆弱性情報を収集し、影響評価を行ったうえで適切な対処を行うことが必要です。 このような脆弱性情報の取り扱いについてはCVE（Common Vulnerability Enumeration）が広く利用されており、脆弱性ごとに一意なIDが割り当てられています。また、米国国立標準技術研究所（NIST）が管理・運営するNational Vulnerability Database（NVD）では、CVE-IDごとにCVSS（Common Vulnerability Scori

  • security
  • ssvc
  • cvss
  • あとで読む
  • セキュリティ
  • gender

  
• あとで読む

  SSVC方法論とは？　脆弱性管理手法の新潮流をCISAが解説

  • 17 users
  • www.itmedia.co.jp
  • テクノロジー
  • 2022/11/14

  米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2022年11月10日（現地時間）、脆弱（ぜいじゃく）性管理手法「SSVC方法論」（Stakeholder-Specific Vulnerability Categorization：利害関係者固有の脆弱性分類）に関するガイドラインを公開した。 SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。 近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。

  • security
  • あとで読む
  • management
  • network
  • セキュリティ
  • IT
  • business

  
• あとで読む

  SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法 | Vuls Blog

  • 10 users
  • vuls.biz
  • テクノロジー
  • 2024/07/18

  2024年7月12日に開催された「製造業における脆弱性管理の課題と対応方法@大阪」セミナーの「SSVC Supplier Treeの概要と自動化」セッションのスライドです。 米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC（Stakeholder-Specific Vulnerability Categorization）の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各De

  • セキュリティ
  • security
  • あとで読む

  

ssvcの関連エントリー

• 

  長男に「フロッピーディスクって何GBくらい保存出来たの？」と言われたので「1.44MB」と答えたら「それで何を保存してたの！？」って言われた

  119 users
• 

  📗 なぜ依存を注入するのか DIの原理・原則とパターンを読んだ感想 | Happy developing

  197 users
• 

  働きたくない人の脳内｜Aki

  458 users
• 

  精神科ではレントゲン撮れないから聴診器使って骨折を診断したら、看護師さんが魔物を見るような目でワイを扱っている苦笑→そんな技術が…

  80 users
• 

  『RustによるWebアプリケーション開発 設計からリリース・運用まで』という本を共著で書きました - Don't Repeat Yourself

  126 users
• 

  Macがスリープ中にバッテリーが爆減りしだしたので解決するためにした事

  316 users
• 

  資料生成AI「Napkin」でデカめの資料を作ってみたので知見を共有する

  87 users
• 

  写真を動かすAI絶対にヤバいよ。もうすでに『我が子の遺影を動かしませんか？』って葬儀屋がいた「本来は死別と向き合っていく為の時間が奪われる」

  401 users
• 

  作曲家・久石譲さん「生成AIに新しい曲は生み出せない」 - 日本経済新聞

  205 users
• 

  iPhone16 Proの新CM、Apple Intelligence活用法を紹介！ - iPhone Mania

  11 users
• あとで読む

  [新機能]日々沢山出る脆弱性のトリアージを自動化する「SSVC機能」にFutureVulsが対応したので自動で対応優先度をつけてみた | DevelopersIO

  • 5 users
  • dev.classmethod.jp
  • テクノロジー
  • 2022/09/30

  こんにちは、臼田です。 みなさん、脆弱性管理してますか？(挨拶 今回はめちゃくちゃイケてる脆弱性管理ソリューションであるFutureVulsの新機能を試してみたのでこちらの紹介です。 機能詳細 - 最新の自動トリアージエンジンSSVC | 最新のトリアージエンジン搭載の継続的脆弱性管理サービス FutureVuls FutureVulsと脆弱性管理 久しぶりのFutureVuls記事なのでかんたんに紹介します。 みなさんは管理しているITインフラストラクチャの脆弱性をどのように管理していますか？ 脆弱性管理のためには資産(サーバーなど)のリストとインストールしているパッケージのバージョンのリストが必要ですね。例えばサーバーリストをExcelの表にまとめて管理していますか？あるいは資産管理ツールやAWS Systems Manager Inventoryで自動収集していますか？それとも全くや

  
• あとで読む

  CVSSに代わる脆弱性の評価手法「SSVC」とは｜迅速な脆弱性対応を目指して

  • 5 users
  • www.nri-secure.co.jp
  • テクノロジー
  • 2024/01/05

  発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所）NVD[2]のCVSS Severity Distribution Ov

  • システム
  • 組織
  • security
  • IT
  • あとで読む
• あとで読む

  SSVCのDecision Tableを雑に実装してみる～DecisionRules.io編～ - Empowered by expect

  • 3 users
  • w4yh.hatenablog.com
  • テクノロジー
  • 2022/08/11

  概要 タイトルの通りです。インポート用のExcelファイルを置いておきます。 https://github.com/w4yh/SSVC-decision-tree ファイル： SSVC_Handling_SupplierTable_0.0.2.xlsx 概要 経緯 DecisionRules概要 Excelからのインポートでテーブルを作成する 実行 振り返り エクスカーション DecisionRules良かったです テーブルが力業 decisionのカタカナ表記 経緯 TwitterでSSVCのことを知りました。 📝CVSSにとって代わるかもしれない 脆弱性の管理方法 SSVC のすばらしいまとめ。CISAもSSVC推しだしhttps://t.co/VdVt6SrOKI— Yurika (@EurekaBerry) 2022年8月10日 元となるブログ記事やその引用記事などを読んで、これ

  • excel

  
• あとで読む

  CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC | Vuls Blog

  • 3 users
  • vuls.biz
  • テクノロジー
  • 2024/02/29

  CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。 これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す 当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない 当該プロジェクトは システム固

  
• あとで読む

  GitHub - vuls-saas/SSVC

  • 3 users
  • github.com/vuls-saas
  • テクノロジー
  • 2022/12/25

  You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

  • github