SSVC Supplier Treeã®æ¦‚è¦ã¨è‡ªå‹•åŒ– | è£½é€ æ¥ã«ãŠã‘る脆弱性管ç†ã®èª²é¡Œã¨å¯¾å¿œæ–¹æ³• | FutureVuls Blog
2024å¹´7月12æ—¥ã«é–‹å‚¬ã•ã‚ŒãŸã€Œè£½é€ æ¥ã«ãŠã‘る脆弱性管ç†ã®èª²é¡Œã¨å¯¾å¿œæ–¹æ³•@大阪ã€ã‚»ãƒŸãƒŠãƒ¼ã®ã€ŒSSVC Supplier Treeã®æ¦‚è¦ã¨è‡ªå‹•åŒ–ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®ã‚¹ãƒ©ã‚¤ãƒ‰ã§ã™ã€‚ 米国CISAãŒæŽ¨å¥¨ã™ã‚‹è„†å¼±æ€§ç®¡ç†ã®å„ªå…ˆé †ä½ä»˜ã‘手法ã§ã‚ã‚‹SSVC(Stakeholder-Specific Vulnerability Categorization)ã®æ¦‚è¦ã‚’説明ã—ã€PSIRT用ã®æ±ºå®šæœ¨ã§ã‚ã‚‹Supplier Treeを紹介ã—ã¾ã™ã€‚SSVCã¯è„†å¼±æ€§ã‚’リスクベースã§å„ªå…ˆåº¦ä»˜ã‘ã™ã‚‹ãƒ•ãƒ¬ãƒ¼ãƒ ワークã§ã™ãŒã€ãã®ã¾ã¾çµ„ç¹”ã«é©ç”¨ã™ã‚‹ã¨äººçš„工数ã¨å°‚門知è˜ãŒå¿…è¦ã§ã™ã€‚講演者ã¯SSVCã®å°Žå…¥ã«ã¯è‡ªå‹•åŒ–ãŒè‚è¦ã§ã‚ã‚‹ã¨è€ƒãˆã€è‡ªå‹•åŒ–ã®æ–¹æ³•ã‚’模索ã—ã¦ã„ã¾ã™ã€‚本セッションã§ã¯ã€SSVC Supplier Treeを用ã„ã¦è£½é€ æ¥ã®PSIRTã®è„†å¼±æ€§ãƒˆãƒªã‚¢ãƒ¼ã‚¸ã‚’自動化ã™ã‚‹æ–¹æ³•ã‚’探求ã—ã¾ã™ã€‚具体的ã«ã¯ã€Supplier Treeã®å„De
脆弱性スコアã«æƒ‘ã‚ã•ã‚Œã¦ã‚‹ï¼ŸCVSSã®æ·±åˆ»åº¦ã‚’ç†è§£ã—ã€åŠ¹æžœçš„ã«æ´»ç”¨ã™ã‚‹
本文ã®å†…容ã¯ã€2022å¹´4月20æ—¥ã«Miguel HernándezãŒæŠ•ç¨¿ã—ãŸãƒ–ãƒã‚°Are vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元ã«æ—¥æœ¬èªžã«ç¿»è¨³ãƒ»å†æ§‹æˆã—ãŸå†…容ã¨ãªã£ã¦ãŠã‚Šã¾ã™ã€‚ 脆弱性ã¯ã©ã“ã«ã§ã‚‚ã‚ã‚Šã¾ã™ã€‚ã‚»ã‚ュリティ専門家ã«ã¨ã£ã¦ã€ã“れらã®è„†å¼±æ€§ã‚’大è¦æ¨¡ã«èª¿æŸ»ã—ã€ç·©å’Œã—ã€æ˜¯æ£ã™ã‚‹ã“ã¨ã¯å¤§å¤‰ãªä½œæ¥ã§ã™ã€‚ã©ã®çµ„織もã€ã™ã¹ã¦ã®è„†å¼±æ€§ã‚’見ã¤ã‘ã¦ä¿®æ£ã™ã‚‹èƒ½åŠ›ã‚’æŒã£ã¦ã„ã‚‹ã‚ã‘ã§ã¯ãªã„ã“ã¨ã‚’心ã«ç•™ã‚ã¦ãŠã„ã¦ãã ã•ã„。é‡è¦ãªã®ã¯ã€è„†å¼±æ€§ã¨ã¯ä½•ã‹ã‚’ç†è§£ã—ã€CVSSスコアã®æ„味を解釈ã—ã€åˆ¶ç´„ã•ã‚ŒãŸæ™‚間制é™ã‚„ç´æœŸå†…ã§ãƒªã‚½ãƒ¼ã‚¹ã®å„ªå…ˆé †ä½ä»˜ã‘ã¨æœ‰åŠ¹åˆ©
ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³å°Žå…¥æŒ‡å—書 :IPA 独立行政法人 æƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹
ソフトウェア開発者ã§ãªãã¨ã‚‚ã€ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ã¨ã„ã†è¨€è‘‰ã¯èžã„ãŸã“ã¨ãŒã‚ã‚‹ã¨æ€ã„ã¾ã™ã€‚ã—ã‹ã—ã€ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ãŒå分ã«å®Ÿæ–½ã§ãã¦ã„ã‚‹ã¨è¨€ãˆã‚‹çµ„ç¹”ã¯å¤šããªã„ã®ã§ã¯ãªã„ã§ã—ょã†ã‹ã€‚ ã„ã–ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ã‚’実施ã—よã†ã¨ã—ã¦ã‚‚「何をã™ã‚Œã°ã‚ˆã„ã®ã ã‚ã†ï¼Ÿã€ã€Œã©ã†ã‚„ã‚Œã°è‰¯ã„ã®ã ã‚ã†ï¼Ÿã€ã¨ãªã‹ãªã‹æ‰‹ãŒå‹•ã‹ãªã„。ãã‚“ãªçŠ¶æ³ã®ä¸€åŠ©ã¨ãªã‚‹ã‚ˆã†ã€æˆ‘々ãŒã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ã‚’å¦ã³ã€å®Ÿè·µã—ãŸå†…容を文書化ã—公開ã™ã‚‹é‹ã³ã¨ã—ã¾ã—ãŸã€‚ ã‚»ã‚ュリティåˆå¿ƒè€…ã§ã‚‚èªã¿ã‚„ã™ã„よã†ã«ã€ä»¥ä¸‹ã®ç‰¹å¾´ã‚’念é ã«ãŠã„ã¦æœ¬æ›¸ã‚’執ç†ã—ã¾ã—ãŸã€‚ 軽快ãªæ–‡ç« 図表を多用ã—ãŸã‚°ãƒ©ãƒ•ã‚£ã‚«ãƒ«ãªè¦‹ãŸç›® ã‚ャラクターã®ã‚»ãƒªãƒ•ã«å…±æ„Ÿã—ãªãŒã‚‰ç†è§£ãŒã§ãã‚‹ 1ç« ã€€ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ ï¼ã‚»ã‚ュリティ・ãƒã‚¤ãƒ»ãƒ‡ã‚¶ã‚¤ãƒ³ã®æ¦‚è¦ã‚„å¿…è¦æ€§ã®èª¬æ˜Ž 2ç« ã€€è„…å¨åˆ†æž ï¼çµ„織やシステムã«å¯¾ã™ã‚‹è„…å¨åˆ†æžã®å®Ÿæ–½æ–¹æ³• 3ç« ã€€ã‚»ã‚ュリティ
SSVCã®Decision Tableを雑ã«å®Ÿè£…ã—ã¦ã¿ã‚‹ï½žTwine編~ - Empowered by expect
DecisionRulesç·¨ã‹ã‚‰ã®ç¶šç·¨ã§ã™ã€‚ æ¦‚è¦ ã‚¿ã‚¤ãƒˆãƒ«ã®é€šã‚Šã§ã™ã€‚Twineã«ã‚¤ãƒ³ãƒãƒ¼ãƒˆã§ãã‚‹htmlファイルを置ã„ã¦ãŠãã¾ã™ã€‚ãã®ã¾ã¾é–‹ã„ã¦å®Ÿè¡Œã‚‚ã§ãã¾ã™ã€‚ https://github.com/w4yh/SSVC-decision-tree ファイル: Harloweã¨SugarCubeã®2種類ã®ã‚¹ã‚¿ã‚¤ãƒ«ã§ä½œã£ã¦ã¿ã¾ã—ãŸã€‚ SSVC_Supplier_Decision_Table_Harlowe_0.0.2.html SSVC_Supplier_Decision_Table_SugarCube_0.0.2.html æ¦‚è¦ å®Œæˆå“ 経緯 Twine è¨è¨ˆ インãƒãƒ¼ãƒˆã¨å®Ÿè¡Œ 振り返り 完æˆå“ 最åˆã«ãƒ‡ãƒ¢ä»£ã‚ã‚Šã«SugarCube版ã®ã‚¹ã‚¯ãƒªãƒ¼ãƒ³ã‚·ãƒ§ãƒƒãƒˆã‚’載ã›ã¦ãŠãã¾ã™ã€‚ ã“ã“ã§ã¯ Exploitation=Active, Automatable=yes, Value Density=c
SSVCã®Decision Tableを雑ã«å®Ÿè£…ã—ã¦ã¿ã‚‹ï½žDecisionRules.io編~ - Empowered by expect
æ¦‚è¦ ã‚¿ã‚¤ãƒˆãƒ«ã®é€šã‚Šã§ã™ã€‚インãƒãƒ¼ãƒˆç”¨ã®Excelファイルを置ã„ã¦ãŠãã¾ã™ã€‚ https://github.com/w4yh/SSVC-decision-tree ファイル: SSVC_Handling_SupplierTable_0.0.2.xlsx æ¦‚è¦ çµŒç·¯ DecisionRulesæ¦‚è¦ Excelã‹ã‚‰ã®ã‚¤ãƒ³ãƒãƒ¼ãƒˆã§ãƒ†ãƒ¼ãƒ–ルを作æˆã™ã‚‹ 実行 振り返り エクスカーション DecisionRules良ã‹ã£ãŸã§ã™ テーブルãŒåŠ›æ¥ decisionã®ã‚«ã‚¿ã‚«ãƒŠè¡¨è¨˜ 経緯 Twitterã§SSVCã®ã“ã¨ã‚’知りã¾ã—ãŸã€‚ ðŸ“CVSSã«ã¨ã£ã¦ä»£ã‚ã‚‹ã‹ã‚‚ã—ã‚Œãªã„ 脆弱性ã®ç®¡ç†æ–¹æ³• SSVC ã®ã™ã°ã‚‰ã—ã„ã¾ã¨ã‚。CISAã‚‚SSVC推ã—ã ã—https://t.co/VdVt6SrOKI— Yurika (@EurekaBerry) 2022å¹´8月10æ—¥ å…ƒã¨ãªã‚‹ãƒ–ãƒã‚°è¨˜äº‹ã‚„ãã®å¼•ç”¨è¨˜äº‹ãªã©ã‚’èªã‚“ã§ã€ã“ã‚Œ
SSVCã‚’å‚考ã«ã—ãŸè„†å¼±æ€§ç®¡ç†ã«ã¤ã„ã¦æœ¬æ°—出ã—ã¦è€ƒãˆã¦ã¿ã¦ã„る(進行ä¸ï¼‰ - ペãƒãƒˆãƒ¬ãƒ¼ã‚·ãƒ§ãƒ³ã—ã®ã¹ãã‚“
ã¯ã˜ã‚ã« ã“ã“最近脆弱性管ç†ã«ã¤ã„ã¦ãšã£ã¨è€ƒãˆã¦ã„ãŸã®ã§ã™ãŒã€SSVCを知ã£ã¦ã‹ã‚‰ã¨ã„ã†ã‚‚ã®ã€ã‹ãªã‚Šã‚·ãƒ³ãƒ—ルã«è€ƒãˆã‚‰ã‚Œã‚‹ã‚ˆã†ã«ãªã‚Šã¾ã—ãŸã€‚試ã¿è‡ªä½“ã¯ã¾ã 途上ãªã®ã§ã™ãŒã€ä»¥ä¸‹ã®ã‚ˆã†ãªã“ã¨ã‚’目的ã¨ã—ã¦ã€SSVCã®æ¦‚è¦ã‚„ã€ç¾æ™‚点ã§ã®çµŒéŽã‚„ç§ã®è€ƒãˆã‚’æ–‡å—ã«èµ·ã“ã—ã¦ã¿ã¾ã™ã€‚ アイデアを整ç†ã—ãŸã„ 脆弱性管ç†ãƒ»é‹ç”¨ã«æ‚©ã‚“ã§ã„る人ã¨å‚·ã‚’èˆã‚åˆã„ãŸã„ ã‚ã‚よãã°æœ‰è˜è€…ã®ç›®ã«æ¢ã¾ã£ã¦ã”æ„見を賜りãŸã„(辛辣ãªã®ã¯ã‚¤ãƒ¤ï¼‰ SSVCã¨ã¯ï¼Ÿ Stakeholder-Specific Vulnerability Categolizationã®ç•¥ã€‚CERT/CCãŒè€ƒæ¡ˆã—ãŸè„†å¼±æ€§ç®¡ç†æ‰‹æ³•ã§ã™ã€‚CVSSãŒã€Œè„†å¼±æ€§ã®è©•ä¾¡æ‰‹æ³•ã€ã§ã‚ã‚‹ã“ã¨ã«å¯¾ã—ã¦ã€SSVCã¯ã€Œè„†å¼±æ€§å¯¾å¿œæ–¹é‡ã®åˆ¤æ–手法ã€ã§ã‚ã‚‹ã¨è¨€ãˆã¾ã™ã€‚ ãŸã¶ã‚“今一番分ã‹ã‚Šã‚„ã™ã„解説ページ。PWCã ã„ã—ã‚…ãï¼ www.pwc.com 実際ã®è³‡æ–™ã¯ã€CERT/CCã®GitHubリ
脆弱性管ç†ã§CVSS基本値ã ã‘ã«æŒ¯ã‚Šå›žã•ã‚Œãªã„ãŸã‚ã®ãƒ¡ãƒ¢ã€CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog
â– Known Exploited Vulnerabilities Catalogã¨ã¯ 「Known Exploited Vulnerabilities Catalogã€ï¼ˆä»¥ä¸‹ã€KEVC)ã¯ã€ç±³å›½åœŸå®‰å…¨ä¿éšœçœã®CISA(Cybersecurity & Infrastructure Security Agency)ãŒ2021å¹´11月3æ—¥ã‹ã‚‰å…¬é–‹ã—ã¦ã„ã‚‹æƒ…å ±ã§åå‰ã®é€šã‚Šæ‚ªç”¨ã•ã‚ŒãŸã“ã¨ãŒçŸ¥ã‚‰ã‚Œã¦ã„る脆弱性ã®ã‚«ã‚¿ãƒã‚°ã§ã™ã€‚ã“ã®ã‚«ã‚¿ãƒã‚°ã«æŽ²è¼‰ã•ã‚Œã¦ã„る脆弱性ã¯2022å¹´2月4日時点ã§352件ã§ã€ã“れらã¯æ—¢ã«æ‚ªç”¨ãŒç¢ºèªã•ã‚Œã¦ãŠã‚Šã€ã‹ã¤ã€ã‚¢ãƒ¡ãƒªã‚«ã®é€£é‚¦æ”¿åºœã«å¤§ããªå½±éŸ¿ã‚’åŠã¼ã™ãŸã‚ã€å¯¾å¿œãŒæ€¥ãŒã‚Œã‚‹ã¨åˆ¤æ–ã§ãã‚‹ã‚‚ã®ã§ã™ã€‚ ã“ã®ã‚«ã‚¿ãƒã‚°ã«æŽ²è¼‰ã•ã‚Œã¦ã„ã‚‹é …ç›®ã¯ä»¥ä¸‹ã®é€šã‚Šã§ã™ã€‚ CVEç•ªå· ï¼ˆCVE) ベンダー/プãƒã‚¸ã‚§ã‚¯ãƒˆå (Vendor/Product) 製å“脆弱性å (Vulnerability Name)
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - ralvares/ssvc.me: Exploit & Vulnerability Intelligence Repository
CVE Exploits
360æ¼æ´žäº‘å¹³å°
Calculator - SSVC: Stakeholder-Specific Vulnerability Categorization
GitHub - IBM/tls-vuln-cheatsheet: A quick reference for understanding the nature and severity of vulnerabilities in TLS configurations and implementations.
Importance of report writing for pen testers
Understanding Stake-holder Specific Vulnerability Categorization (SSVC) for Risk Prioritization  
CVE Database - Security Vulnerabilities and Exploits | Vulners.com
Navigating the Cyber Threat Landscape with SOCRadar's Vulnerability Intelligence and CVERadar - SOCRadar® Cyber Intelligence Inc.
CVE Radar - SOCRadar LABS
https://www.ssi.gouv.fr/en/digital-risk-management/
GitHub - w4yh/SSVC-decision-tree: Sample implementation of SSVC decision tree
A Critical First Look at Stakeholder Specific Vulnerability Categorization (SSVC) | Secursive Blog
{{#tags}}- {{label}}
{{/tags}}