Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
vuls祭り6: 脆弱性対応指標としてのSSVC
Search
hogehuga
August 26, 2022
Technology
0
370
vuls祭り6: 脆弱性対応指標としてのSSVC
SSVC: Stakeholder-Specific Vulnerability Categorizationについて、概要を説明します。
hogehuga
August 26, 2022
Tweet
Share
More Decks by hogehuga
See All by hogehuga
フライングガーデンLT
hogehuga
0
170
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
82
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
440
最近のドローン界隈(仮)
hogehuga
0
89
サウナととのい と 水風呂ととのい
hogehuga
0
140
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.5k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.1k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
110
Other Decks in Technology
See All in Technology
5分でわかるDuckDB
chanyou0311
10
3.2k
kargoの魅力について伝える
magisystem0408
0
200
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.8k
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
31k
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
440
AIのコンプラは何故しんどい?
shujisado
1
190
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
370
なぜCodeceptJSを選んだか
goataka
0
160
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
190
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
220
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
550
UI State設計とテスト方針
rmakiyama
2
450
Featured
See All Featured
Why Our Code Smells
bkeepers
PRO
335
57k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
RailsConf 2023
tenderlove
29
940
What's in a price? How to price your products and services
michaelherold
243
12k
4 Signs Your Business is Dying
shpigford
181
21k
Code Review Best Practice
trishagee
65
17k
Thoughts on Productivity
jonyablonski
67
4.4k
Docker and Python
trallard
42
3.1k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Building Applications with DynamoDB
mza
91
6.1k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Transcript
Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日
フューチャー株式会社
Copyright © 2022 by Future Corporation Confidential - 2 -
サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください(FutureVulsの問合せ or 私個人宛)
Copyright © 2022 by Future Corporation Confidential - 3 -
who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演(サイバーコロッセオ等) ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬(水風呂道) 当日投影
Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点
Copyright © 2022 by Future Corporation Confidential - 5 -
現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある
Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは
Copyright © 2022 by Future Corporation Confidential - 7 -
SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類(by google translate) 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。
Copyright © 2022 by Future Corporation Confidential - 8 -
以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation(攻撃コードの公開有無や、悪用レベル) ✓ : none/poc/active ➢ Exposure(脆弱なコンポーネントの露出レベル) ✓ : small/controlled/open ➢ Utility(対象システムの価値密度) ✓ Automatable(攻撃の自動化) ◆ : yes/no ✓ Value Density(対象システムの価値密度) ◆ : diffuse/concentrated ➢ Human Impact(=攻撃された際の業務影響) ✓ Situated Safety Impact(業務での被害の大きさ) ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact(業務必須機能への影響) ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留(許容) ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes
Copyright © 2022 by Future Corporation Confidential - 9 -
今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる
Confidential Copyright © 2022 by Future Corporation 3. まとめ
Copyright © 2022 by Future Corporation Confidential - 11 -
まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか(Outcomes)が提示される ◼ どうするか(Outcomes)という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか(Outcomes)が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。
本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。
hogehuga
chanyou0311
magisystem0408
coosuke
loglass2019
kzsuzuki
shujisado
ytaka23
goataka
scarletplover
duelist2020jp
.png){kind=icon}
pharma_x_tech
rmakiyama
bkeepers
paulrobertlloyd
tenderlove
michaelherold
shpigford
trishagee
jonyablonski
trallard
lynnandtonic
mza
kastner
marcelosomers
