Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
preview:第0回 脆弱性対応勉強会 資料
Search
hogehuga
November 25, 2018
Technology
0
110
preview:第0回 脆弱性対応勉強会 資料
どのような勉強会にするのか、の概要が分かるように、用意する資料の概要(前半)を開示します。これをもとに、内容が薄いから参加取りやめなどがあれば検討ください。
hogehuga
November 25, 2018
Tweet
Share
More Decks by hogehuga
See All by hogehuga
vuls祭り6: 脆弱性対応指標としてのSSVC
hogehuga
0
380
フライングガーデンLT
hogehuga
0
180
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
85
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
450
最近のドローン界隈(仮)
hogehuga
0
92
サウナととのい と 水風呂ととのい
hogehuga
0
150
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.5k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.1k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
Other Decks in Technology
See All in Technology
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
580
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
1.1k
Developers Summit 2025 浅野卓也(13-B-7 LegalOn Technologies)
legalontechnologies
PRO
0
710
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
520
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.6k
データの品質が低いと何が困るのか
kzykmyzw
6
1.1k
ユーザーストーリーマッピングから始めるアジャイルチームと並走するQA / Starting QA with User Story Mapping
katawara
0
200
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
960
プロセス改善による品質向上事例
tomasagi
2
2.5k
Nekko Cloud、 これまでとこれから ~学生サークルが作る、 小さなクラウド
logica0419
2
960
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
210
明日からできる!技術的負債の返済を加速するための実践ガイド~『ホットペッパービューティー』の事例をもとに~
recruitengineers
PRO
3
390
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
10
1.3k
Building an army of robots
kneath
303
45k
Automating Front-end Workflow
addyosmani
1368
200k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
Faster Mobile Websites
deanohume
306
31k
Making Projects Easy
brettharned
116
6k
The Invisible Side of Design
smashingmag
299
50k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Transcript
第0回脆弱性対応勉強会 2018/12/08-
発言は個人の見解であり、所属組織を代表 するものではありません。 また、所属組織の情報をもとにした見解で はなく、過去の経験や他のインシデントを 観察し、得た知見です。
脆弱性対応研 究会、とは サーバ等の運用をしていると、脆弱性対 応を定期的に実施する必要があるとおも います。 しかしながらこれらについて、 「どのように脆弱性を発見し、影響を判 断するのか」 がまとまった情報が少なく、そのノウハ ウを共有したく、この勉強会を作りまし
た。 特に、OSやフレームワークやライブラ リの階層について検討したいと思います。
本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法
➢自組織への適用判断 • 脆弱性対応ロールプレイ ➢CVE-2016-1000031; Apache Struts2 commons-fileupload library ✓ https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases- Security-Advisory-Apache-Struts
脆弱性対応の基礎復習
An overview of this section ここでは、脆弱性対応に関する知識の復 習をしようと思います。 • 使っている定義の再確認 •
CVE, CVSS, CVSS[ Score | Vector | Environment ] • 脆弱性発見後の、通常の報告経路 • どのようなフローで対応するのか • フローごとの検討事項 • 情報収集、脆弱性認知 • 脆弱性の詳細確認 • 自組織への適用判定 • 適用と、適用情報の管理
脆弱性対応のフロー 脆弱性対応をする際に、一般的には以下のような 対応フローが存在します。 • 脆弱性情報の収集 ➢脆弱性が発見されたことを認知 • 脆弱性の調査 ➢どのような脆弱性かを調査 •
管理対象への影響評価と決定 ➢管理対象への影響と適用要否の決定 • 実対応 ➢実サーバに適用をし、適用管理する 情報収集 脆弱性 の調査 対象への影響調査 /適用可否 更新と 更新管理
hogehuga
hirohito1108
ar_tama
legalontechnologies
masuda220
nwiizo
kzykmyzw
katawara
ikkimiyazaki
tomasagi
logica0419
oracle4engineer
recruitengineers
sonatard
lauravandoore
csswizardry
maggiecrowley
reverentgeek
kneath
addyosmani
jnunemaker
deanohume
brettharned
smashingmag
rocio
![本日の進め方 脆弱性対応の基礎知識部分を復習し、特定のCVE番号が振られた脆弱 性について考えてみようと思います。 • 脆弱性対応の基礎知識 ➢CVE、CVSS v2/v3、CVSS[Score|Vector|Environment]、脆弱性の報告経路、 OSSとパッケージのOSS ➢脆弱性情報の収集、とは ➢脆弱性情報の調査方法](https://files.speakerdeck.com/presentations/db815495dfd04e92857c1ab7ad748f7d/slide_3.jpg){kind=link}
