Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
preview:第0回 脆弱性対応勉強会 資料
Search
hogehuga
November 25, 2018
Technology
0
110
preview:第0回 脆弱性対応勉強会 資料
どのような勉強会にするのか、の概要が分かるように、用意する資料の概要(前半)を開示します。これをもとに、内容が薄いから参加取りやめなどがあれば検討ください。
hogehuga
November 25, 2018
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
330
フライングガーデンLT
hogehuga
0
140
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
75
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
400
最近のドローン界隈(仮)
hogehuga
0
83
サウナととのい と 水風呂ととのい
hogehuga
0
130
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.4k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
220
Other Decks in Technology
See All in Technology
DDDにおける認可の扱いとKotlinにおける実装パターン / authorization-for-ddd-and-kotlin-implement-pattern
urmot
4
390
エンジニア向け会社紹介資料
caddi_eng
14
230k
セキュリティ研修 Day1【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
160
[NIKKEI Tech Talk] KDDI/KAG Scrum & Community for Engineering Training
curanosuke
2
220
ABEMAにおけるLLMを用いたコンテンツベース推薦システム導入と効果検証
cyberagentdevelopers
PRO
1
750
コンテナ・K8s研修 - 後半 Kubernetes 基礎&ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
1
120
ギークの理想が7つ集まるエムスリーで夢を叶えよう - エムスリー株式会社
m3_engineering
1
260
コミュニティサービスに「あなたへ」フィードを リリースするまでの試行錯誤
takapy
1
150
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
CEL(Common Expression Language)で書いた条件にマッチしたIAM Policyを見つける / iam-policy-finder
fujiwara3
0
710
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
flatt_security
0
380
技術負債による事業の失敗はなぜ起こるのか / Why do business failures due to technical debt occur?
i35_267
0
190
Featured
See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
662
120k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
Why Our Code Smells
bkeepers
PRO
332
56k
For a Future-Friendly Web
brad_frost
173
9.2k
Pencils Down: Stop Designing & Start Developing
hursman
118
11k
Designing for humans not robots
tammielis
247
25k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
121
18k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
29
2.5k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.9k
Building a Scalable Design System with Sketch
lauravandoore
458
32k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.4k
Transcript
第0回脆弱性対応勉強会 2018/12/08-
発言は個人の見解であり、所属組織を代表 するものではありません。 また、所属組織の情報をもとにした見解で はなく、過去の経験や他のインシデントを 観察し、得た知見です。
脆弱性対応研 究会、とは サーバ等の運用をしていると、脆弱性対 応を定期的に実施する必要があるとおも います。 しかしながらこれらについて、 「どのように脆弱性を発見し、影響を判 断するのか」 がまとまった情報が少なく、そのノウハ ウを共有したく、この勉強会を作りまし
た。 特に、OSやフレームワークやライブラ リの階層について検討したいと思います。
本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法
➢自組織への適用判断 • 脆弱性対応ロールプレイ ➢CVE-2016-1000031; Apache Struts2 commons-fileupload library ✓ https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases- Security-Advisory-Apache-Struts
脆弱性対応の基礎復習
An overview of this section ここでは、脆弱性対応に関する知識の復 習をしようと思います。 • 使っている定義の再確認 •
CVE, CVSS, CVSS[ Score | Vector | Environment ] • 脆弱性発見後の、通常の報告経路 • どのようなフローで対応するのか • フローごとの検討事項 • 情報収集、脆弱性認知 • 脆弱性の詳細確認 • 自組織への適用判定 • 適用と、適用情報の管理
脆弱性対応のフロー 脆弱性対応をする際に、一般的には以下のような 対応フローが存在します。 • 脆弱性情報の収集 ➢脆弱性が発見されたことを認知 • 脆弱性の調査 ➢どのような脆弱性かを調査 •
管理対象への影響評価と決定 ➢管理対象への影響と適用要否の決定 • 実対応 ➢実サーバに適用をし、適用管理する 情報収集 脆弱性 の調査 対象への影響調査 /適用可否 更新と 更新管理