Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
preview:第0回 脆弱性対応勉強会 資料
Search
hogehuga
November 25, 2018
Technology
0
120
preview:第0回 脆弱性対応勉強会 資料
どのような勉強会にするのか、の概要が分かるように、用意する資料の概要(前半)を開示します。これをもとに、内容が薄いから参加取りやめなどがあれば検討ください。
hogehuga
November 25, 2018
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
400
フライングガーデンLT
hogehuga
0
200
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
92
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
470
最近のドローン界隈(仮)
hogehuga
0
110
サウナととのい と 水風呂ととのい
hogehuga
0
150
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.5k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.1k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
Other Decks in Technology
See All in Technology
Developer 以外にこそ使って欲しい Amazon Q Developer
mita
0
190
KubeCon + CloudNativeCon Europe 2025 Recap: The GPUs on the Bus Go 'Round and 'Round / Kubernetes Meetup Tokyo #70
pfn
PRO
0
160
SwiftUIとMetalで簡単に作るレアカード風UI
stoticdev
1
110
golang-migrate VS Atlas !? 技術選定のポイントと学び ~DBマイグレーションツール選定の実例を通して~ / golang-migrate vs Atlas ! What is the point of technology selection and what you can learn from the examples of DB migration tool selection?
nttcom
0
110
スプリントゴールで価値を駆動しよう
takufujii
3
1.4k
20250514 1Passwordを使い倒す道場 vol.1
east_takumi
0
160
Azure の裏側を支える SRE の世界
tsubasaxzzz
2
310
計装を見直してアプリケーションパフォーマンスを改善させた話
donkomura
2
210
GPU 클라우드 환경에서의 회복탄력적 AI 운영 : 훈련 및 추론을 위한 견고한 아키텍처와 전략
inureyes
PRO
0
140
開発も運用もビジネス部門も! クラウドで実現する「つらくない」統制とセキュリティ / Effortless Governance and Security Enabled by the Cloud
kanny
1
280
技術的負債を「戦略的投資」にするためのPdMとエンジニアの連携と実践
satomino
3
830
本番環境への影響リスクが低い Real Application Testing (SQL Performance Analyzer) の実施方法の検討と実践
jri_narita
0
230
Featured
See All Featured
The Invisible Side of Design
smashingmag
299
50k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.3k
Rails Girls Zürich Keynote
gr2m
94
13k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Java REST API Framework Comparison - PWX 2021
mraible
31
8.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Adopting Sorbet at Scale
ufuk
76
9.4k
Embracing the Ebb and Flow
colly
85
4.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
122
52k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
430
Transcript
第0回脆弱性対応勉強会 2018/12/08-
発言は個人の見解であり、所属組織を代表 するものではありません。 また、所属組織の情報をもとにした見解で はなく、過去の経験や他のインシデントを 観察し、得た知見です。
脆弱性対応研 究会、とは サーバ等の運用をしていると、脆弱性対 応を定期的に実施する必要があるとおも います。 しかしながらこれらについて、 「どのように脆弱性を発見し、影響を判 断するのか」 がまとまった情報が少なく、そのノウハ ウを共有したく、この勉強会を作りまし
た。 特に、OSやフレームワークやライブラ リの階層について検討したいと思います。
本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法
➢自組織への適用判断 • 脆弱性対応ロールプレイ ➢CVE-2016-1000031; Apache Struts2 commons-fileupload library ✓ https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases- Security-Advisory-Apache-Struts
脆弱性対応の基礎復習
An overview of this section ここでは、脆弱性対応に関する知識の復 習をしようと思います。 • 使っている定義の再確認 •
CVE, CVSS, CVSS[ Score | Vector | Environment ] • 脆弱性発見後の、通常の報告経路 • どのようなフローで対応するのか • フローごとの検討事項 • 情報収集、脆弱性認知 • 脆弱性の詳細確認 • 自組織への適用判定 • 適用と、適用情報の管理
脆弱性対応のフロー 脆弱性対応をする際に、一般的には以下のような 対応フローが存在します。 • 脆弱性情報の収集 ➢脆弱性が発見されたことを認知 • 脆弱性の調査 ➢どのような脆弱性かを調査 •
管理対象への影響評価と決定 ➢管理対象への影響と適用要否の決定 • 実対応 ➢実サーバに適用をし、適用管理する 情報収集 脆弱性 の調査 対象への影響調査 /適用可否 更新と 更新管理
hogehuga
mita
pfn
stoticdev
nttcom
takufujii
east_takumi
tsubasaxzzz
donkomura
inureyes
kanny
satomino
jri_narita
smashingmag
jcasabona
gr2m
destraynor
lemiorhan
chriscoyier
mraible
cassininazir
ufuk
colly
aki_iinuma
bluesmoon
![本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法](https://files.speakerdeck.com/presentations/db815495dfd04e92857c1ab7ad748f7d/slide_3.jpg){kind=link}
