Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
vuls祭り6: 脆弱性対応指標としてのSSVC
Search
hogehuga
August 26, 2022
Technology
0
360
vuls祭り6: 脆弱性対応指標としてのSSVC
SSVC: Stakeholder-Specific Vulnerability Categorizationについて、概要を説明します。
hogehuga
August 26, 2022
Tweet
Share
More Decks by hogehuga
See All by hogehuga
フライングガーデンLT
hogehuga
0
170
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
79
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
430
最近のドローン界隈(仮)
hogehuga
0
89
サウナととのい と 水風呂ととのい
hogehuga
0
140
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.5k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
110
Other Decks in Technology
See All in Technology
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
110
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
180
Why does continuous profiling matter to developers? #appdevelopercon
salaboy
0
190
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
Terraform Stacks入門 #HashiTalks
msato
0
350
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
430
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
Engineer Career Talk
lycorp_recruit_jp
0
150
AIチャットボット開発への生成AI活用
ryomrt
0
170
Featured
See All Featured
Adopting Sorbet at Scale
ufuk
73
9.1k
What's in a price? How to price your products and services
michaelherold
243
12k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
A Philosophy of Restraint
colly
203
16k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
What's new in Ruby 2.0
geeforr
343
31k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Transcript
Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日
フューチャー株式会社
Copyright © 2022 by Future Corporation Confidential - 2 -
サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください(FutureVulsの問合せ or 私個人宛)
Copyright © 2022 by Future Corporation Confidential - 3 -
who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演(サイバーコロッセオ等) ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬(水風呂道) 当日投影
Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点
Copyright © 2022 by Future Corporation Confidential - 5 -
現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある
Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは
Copyright © 2022 by Future Corporation Confidential - 7 -
SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類(by google translate) 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。
Copyright © 2022 by Future Corporation Confidential - 8 -
以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation(攻撃コードの公開有無や、悪用レベル) ✓ : none/poc/active ➢ Exposure(脆弱なコンポーネントの露出レベル) ✓ : small/controlled/open ➢ Utility(対象システムの価値密度) ✓ Automatable(攻撃の自動化) ◆ : yes/no ✓ Value Density(対象システムの価値密度) ◆ : diffuse/concentrated ➢ Human Impact(=攻撃された際の業務影響) ✓ Situated Safety Impact(業務での被害の大きさ) ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact(業務必須機能への影響) ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留(許容) ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes
Copyright © 2022 by Future Corporation Confidential - 9 -
今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる
Confidential Copyright © 2022 by Future Corporation 3. まとめ
Copyright © 2022 by Future Corporation Confidential - 11 -
まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか(Outcomes)が提示される ◼ どうするか(Outcomes)という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか(Outcomes)が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。
本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。