_脆弱性診断研究会_78_TruthPositiveのお話.pdf

Transcript

1. None

2. この資料の大半は、公開するのでガシガシメモらなく ておｋです(　´∀｀)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78

3. 名前 （ハンドル） 柴雑種 （汚いニンジャとは覚えないでください） 本名 柴田　諭史 仕事 ・3～4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋

   　→いちおフリーだったんですが 　　諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78

4. トゥルース・ポジティブ（Truth Positive） トゥルース・ネガティブ（Truth Negatibe） フォールス・ポジティブ（False Positive） フォールス・ネガティブ（False Negative） 試験に出ます！！ 脆弱性診断研究会#78

5. 4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した（陽性） False →間違い Negative →検出しなかった（陰性） 脆弱性診断研究会#78

6. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように！ （Truth Positive） 脆弱性診断研究会#78

7. (；´Д｀) と言われても ようわからん… 何か事例ないんか？ 脆弱性診断研究会#78

8. 脆弱性診断研究会#78

9. アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数：1.5億件弱（※カナダ等他国籍も含む） ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因：Struts2の脆弱性（S2-045：JakartaParser） 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805

10. 元CEOが公聴会に召喚： 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78

11. 脆弱性発覚！ スキャン実施 = OK ⇒False-Negative 侵入成功＆ データ取得 脆弱性診断研究会#78 修正実施 （これもしていない）

    （修正できていない）

12. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように！ （Truth Positive） 脆弱性診断研究会#78

13. 脆弱性発覚！ 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功＆ データ取得 スキャン実施 =

    OK ⇒検出できない！ 　False-Negative 別のスキャナ（PoC） 　⇒検出！ 　　Truth-Positive 再スキャン ⇒検出しない！ 　⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知

14. 脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ﾟДﾟ)y─┛~~

15. 4つのキーワード、覚えて帰りましょう！ Truth →正しい Positive →検出した（陽性） False →間違い Negative →検出しなかった（陰性） 脆弱性診断研究会#78

16. 脆弱性診断研究会#78 16