概要SSVC で Deployer Tree を使う際に、HUMAN IMPACT の設定に戸惑うことが多いと思います。SSVC の定義上でも、複雑なので詳細が避けられているように見えます。 また、実運用上でも「脆弱性ひとつずつ」HUMAN IMPACT を定義することは難しく（脆弱性毎に定義をすることになる）、何らかの標準化が必要となります。 本記事では、SSVC の定義上での HUMAN IMPACT について確認し、実運用上のHUMAN IMPACTの定義で利用できそうなフレームワークをご紹介します。 Exective summary本来的に HumanImpact は、Situated Safety Impact と Mission Impact をもとに考えるのが良いと思われています。 しかしながら現時点の SSVC の考え方では、実装の簡素化のため、Mission Impact

2024年8月20日に開催された「Vuls祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜」のセッション「「残業？ 来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ 」の要点を書き起こた記事です。 YouTubeアーカイブはこちらです。 会場への質問 先日IPAの中核人材育成プログラム 卒業プロジェクトから、「脆弱性対応におけるリスク評価手法のまとめ」という資料が公開されました。この資料は本日紹介するSSVCやEPSS, KEVなどが日本語でわかりやすく説明されており、またトリアージについていくつかの方法が記載されているので一読をおすすめしますが、この中でこの図の通り60社への企業にアンケートを取っています。 意外におもったのが、CVSSの環境評価基準を60社中15社も使っている点です。私は2016年にVulsを開発して以降脆弱性管理をテーマに活動

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り～脆弱性の全体像と付き合い方～」のセッション「SSVC DeepDive」の内容です。 パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。 Xでのジョーシスな誰かのつぶやき（抜粋）ランサムウェアのニュースで騒がれている中、X（旧Twitter）にてこんな発言を目にしました。今回参加されているジョーシスの皆さんもお内情な悩みを抱えていると思いご紹介します。 Xでのジョーシスな誰かのつぶやきまとめると、こんな内容になると思います。 （会場の情シスの方、頷く方多数） 公開される

CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。 これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す 当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない 当該プロジェクトは システム固

脆弱性調査再び 久方ぶりに脆弱性関連の調査をすることになりまして。 今回は自分が面倒を見ているシステムが使っているソフトに残留している脆弱性一覧を引っこ抜くのが目的。 「考える前にアップデートすりゃいいじゃん」が基本指針なのですが、まぁ、いろいろなケースがあります。 NVDやJVNと格闘するのも数年ぶりですので、勉強し直しながらやっていこうかと思います。 脆弱性情報は基本全数ダウンロードさせてもらえるので、それを手元でアレコレする方針で考えます。 脱線。　そもそも今回の調査はサイト上の検索機能でうまいことできないの？ ちょっと微妙です。 実はNVDはバージョンまで指定していい感じに検索はできるのですが、、結果を一括でダウンロードするということが残念ながらできません。 （JVNはそもそバージョン指定の検索はさせてくれません、、） スナップショットがうまく取れていないのですが、VendorとP

こんにちは。井上です。 FutureVulsは「日々更新される脆弱性情報を補足し、より効果的な運用・管理をサポートする」サービスですが。 2022/9/13リリースにて運用部分で有用なSSVC(Stakeholder-Specific Vulnerability Categorization)をサポートしました。 本稿では、脆弱性対応の現状からSSVCの説明、SSVCの適用例を説明します。 目次 脆弱性対応の現状 問題点 どうしたらよいのか SSVCとは 概要 どのような利点があるのか SSVCを適用する 従来の判断 SSVCでの判断 まとめ 脆弱性対応の現状脆弱性を検知した後にどのように判断/対応するのか、は悩みどころの多い問題です。 一般的には以下を考慮して対応を検討しています。 脆弱性自体の危険度 自システムへの影響度 対策難易度 未対策でのリスク その為、上記を判断する基準を組織で

脆弱性検知ツールであるVuls OSS版の最新の構築手順をまとめたものです。 他のサイトでも類似の情報は見つかりますが、 IPA（情報処理推進機構）の資料が古く最新版の挙動を反映していない ググって見つかる情報も古く、そのままだと動かない が現状だったので、個人的に調べて手順書の形で、まとめてみました。 内容的には個人的メモですが、構築手順として使えると思います（※使えなくてもそっと見守ってください）。 内容は、概要、インストール手順、基本的な使い方、使用してみての感想、です。 正直、ツールでの検知・管理は限界がある気がしますが、一応は調べたので記しておきます。 なぜ脆弱性検知ツール？ 社内にサーバーが複数（というかたくさん）あると、どのサーバーの何のソフトウェアにどんな脆弱性があるのか、手動で管理するのは大変なので、ツールで自動化できたら運用負荷が軽減できそうです。 最初、NVD[1]や

脆弱性情報 (CVE : Common Vulnerabilities and Exposures) の対応状況を確認する手順をまとめておこうと思う． CVE データベース CVE 情報は全て以下にまとまっている． cve.mitre.org 全ての CVE にはユニークな ID が振られていて，例えば，環境変数 HTTP_PROXY を悪用して外部サイトと通信できてしまう可能性がある "httpoxy" なら CVE-2016-5385 だし，ImageMagick で任意のスクリプトが実行されてしまう可能性がある "ImageTragick" なら CVE-2016-3714 となる．"Shellshock" もそうだけど，どの脆弱性もカッコイイ別名（厨ニ）が付いてて，エンジニア同士の会話だとバズワード的に認識できて良いと思う． CVE - CVE-2016-5385 CVE - CV

vFeedの調査その1の続きです。 AdventCalendarドリブンで普段調査してくてもできていなかったことを調べてメモっていくシリーズ。 2017年12月時点でのVulsは、インターネット上に公開されているNVD, JVN, OVALの脆弱性データベースを利用している。これらの脆弱性データベースは、対応しているアプリケーションなどの種類が多ければ多いほど、脆弱性情報の掲載が早ければ早いほどVulsにとっては有益であり、具体的には 検知精度が向上(CPENameを使った脆弱性情報の検索時)する レポートに表示する情報がリッチになる という利点がある。 今回はvFeedという脆弱性データベースがあるという情報を入手したので、vFeedについて調べた結果をメモ代わりに書いておく。 get_certvn : retrieve information related to advisories

tl;dr Vuls -> S3 -> Lambda -> EC2に深刻度をタグ付けしてみたよ 他にも強制的にパッチ当てるとかセキュリティグループ変更して隔離するとかConfig Rulesと連携するとか色々できそうだよね はじめに 日々発見される脆弱性の根本対策は、ソフトウェアアップデートです。1日に百万種類のマルウェアが作成されいてる現在、シグニチャベースのアンチウィルスやIDS, IPSを入れているから大丈夫、とは言い切れません。パッケージマネージャの自動アップデート適用が可能であれば楽なのですが、アップデートが原因でサービス停止するリスクを恐れて手動アップデートで運用するケースが多く見受けられます。手動アップデートでの運用は非常に運用コストがかかります。運用者はJVNやNVDなどで日々情報収集をして、日々発見される脆弱性が自分の管理するどのサーバに該当するのかを判断しなければなりま

コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性（ぜいじゃくせい）とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い

前回、Vulsのコードを読む その１ 全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。 今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。 また、今回はソースコードを確認していく中でバグを発見しプルリクを出してみましたのでプルリクの投げ方についても簡単に解説していきたいと思います。 (追記 2019/11/23) 無事プルリクがマージされました！ go-cve-dictionaryの特徴 ソースコード main.go commands/ commands/fetchnvd.go 1. データベース接続 2. meta情報の取得 3. meta情報より更新が必要かどうか判断 (過去のmeta情報と比較) 4. NVDの脆弱性情報の収集、変換 5. 脆弱性情報をデータ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに Vulsがどうやってインストールされたパッケージとそのバージョンに対応するCVEを見つけ出すのか疑問に思いました。 GolangもVulsも何も分からないので間違ってたら突っ込んでください 関数呼び出しリスト（？ こういうときどういう図にすれば良いかわかんないですね… ローカルのCentOSをDeep Scanする場合を仮定しています。主要なものだけ抜き出してます。 ()は深さ？みたいなもののつもりです (0) commands/scan.go Execute vuls scanされたとき呼び出される (1) scan/ser

こちらの内容は・・・ ・上司からセキュリティ脆弱性の運用を内製化したいがお金はかけたくないと言われ ・エージェントレスだから行けると思ったら、上司からssh接続するなんてありえないと言われ ・運用担当から、Vulsのデフォルトの通知方法ではやりたくないと駄々をこねらてしまった ・・・こんな人向け できること ・Vuls Serverを用いたセキュリティ脆弱性通知の環境を構築 ・１日１回、CVE情報（cvss3）の更新とVuls Report通知を行う ・前日のReportの結果に差分がある場合のみメール通知＆バックログに通知する ・Target Serverにある特定のパッケージ情報（kernelやhttpd等）だけを通知する 環境 ・AWS上に構築したCentos７ ・Vuls 0.5.0 構成 ・ざっくりとこんな構成で作った 作業内容 1.CentoOS7サーバー用意 2.go-cve

概要 自宅サーバのセキュリティチェックをして見た。 脆弱性診断ツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------

このページは、技術書典4にて頒布し、BOOTHにて販売している同人誌の一部抜粋です。 私の現場での知見がベースとなっており、内容に関して偏っている部分や、一般的ではない部分等も多いと思いますので、内容が正しくないと感じた場合は、ぜひコメント欄でコメントをいただけますと幸いです。 第1章　はじめに 1-1 本書執筆の理由とサイバー攻撃を受けた実体験 はじめまして。著者の加藤泰明です。 東京都内のIT企業にて、SaaSのバックエンドを支えるインフラエンジニアとして働きながら、趣味でウェブアプリケーションを個人開発しています。 先輩エンジニアサーチ Ruby on Railsアプリ この同人誌の執筆を進めているとき、2018年2月1日にリリースされた投げ銭サービス「Osushi」が、資金決済法の問題や、サービスの脆弱性（二重決済される、他のユーザーと同じユーザーIDを設定するとそのユーザーのプロ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

はじめに AdventCalendarドリブンで普段調査してくてもできていなかったことを調べてメモっていくシリーズ。 2017年12月時点でのVulsは、インターネット上に公開されているNVD, JVN, OVALの脆弱性データベースを利用している。これらの脆弱性データベースは、対応しているアプリケーションなどの種類が多ければ多いほど、脆弱性情報の掲載が早ければ早いほどVulsにとっては有益であり、具体的には 検知精度が向上(CPENameを使った脆弱性情報の検索時)する レポートに表示する情報がリッチになる という利点がある。 今回はvFeedという脆弱性データベースがあるという情報を入手したので、vFeedについて調べた結果をメモ代わりに書いておく。 vFeedとは？ vFeedIO https://vfeed.io/about/ 各種脆弱性データベースの集約した脆弱性DB。 非商用、

For a system administrator, having to perform security vulnerability analysis and software update on a daily basis can be a burden. To avoid downtime in a production environment, it is common for a system administrator to choose not to use the automatic update option provided by the package manager and to perform update manually. This leads to the following problems. The system administrator will